2023.06 Subjektiv ausgewählte Datenschutz-Highlights

Klage gegen die Eigentümer von ChatGPT wie die in den USA. Der Vorwurf: Diebstahl geistiges Eigentums und personenbezogener Daten für das Training der künstlichen Intelligenz. Heise meldet, dass sich die Klage gegen Microsoft und dem Unternehmen OpenAI richtet.
Wer die Kläger sind, ist nicht bekannt. Sie werden in der Klage nur mit Kürzeln angegeben. Laut den Klägern verstößt das Vorgehen der Unternehmen unter anderem gegen die Datenschutz Grundverordnung in Europa aber auch gegen Datenschutzgesetze in Kalifornien. Details bei Heise.

Die irische Datenschutzbehörde DPC steht schon länger unter Druck der anderen europäischen Datenschutzbehörden wie aber auch einzelner Institutionen, wie zum Beispiel die Nichtregierungsorganisationen NOYB (None Of Your Business). Eine der Hauptvorwürfe ist immer wieder, dass die PPC Verfahren verschleppt oder sehr wirtschaftsfreundlich scheidet. Die Organisation Netzpolitik.org schreibt jetzt, dass es der irischen Regierung jetzt mit dieser andauernden Kritik zu reichen scheint. Deshalb hat sie ein Gesetz verabschiedet, dass Informationen zu laufenden Paaren tätig als vertraulich einzustufen sind.
Der europäische Datenschutzausschuss (EDPB) sieht das sehr kritisch und wird eventuell dagegen vorgehen.
Anmerkung der Redaktion: ein angenehmer Nebeneffekt ist damit sicherlich der, dass, wenn die Antragsteller nicht wissen wie's vorangeht, sie auch keine Kritik üben können...

Update:
Heise berichtet in diesem Artikel, dass die Nichtwahl des neuen Datenschutzbeauftragten für Sachsen-Anhalt wohl eine Regierungskrise in dem Bundesland auslösen wird.
Dem Vernehmen nach, lag die nicht Wahl wohl nicht an der Qualität des Kandidaten - sondern an einer in einem Machtkampf zerstrittenen CDU. Aus der FDP kam der Vorwurf "politische Spielchen" zu spielen und aus der CDU kam, dass es wohl um "feige Heckenschützen" ging. Gerüchten nach, versuchten CDU Abgeordnete wohl die AfD zum Mitstimmen zu bewegen.
Den ergänzenden Artikel zu der Thematik finden Sie hier bei Heise unter diesem Link.

...........................

Die Wahl des Landes Datenschützer in Sachsen-Anhalt ist wieder einmal gescheitert. Damit hat das Land seit 2018 keinen Landesdatenschutzbeauftragten. Der Mitteldeutsche Rundfunk MDR berichtet. Obwohl die Regierungskoalition aus ihrer Sicht alles getan hat, dass diesmal die Wahl gut läuft, ist der Kandidat wieder durchgefallen.
Denn die Regierungskoalition in Sachsen-Anhalt (CDU, SPD, FDP) hatte doch extra ein Gesetz geändert, damit es doch bitteschön keine öffentliche Ausschreibung der Stelle gibt.
Es gab zwar einen Gegenkandidaten, der sogar gegen dieses Verfahren ein Eilverfahren anstrengte - was dann aber vom Gericht abgelehnt wurde (wir berichteten).
Anmerkung der Redaktion: wenn es eine Steigerung von Peinlichkeit gibt, dann finden wir sie wohl in der Wahl eines Landesdatenschutzbeauftragten im Bundesland Sachsen-Anhalt. Als externer Beobachter kann man nur fassungslos diese Situation beobachten. Und hoffen, dass der Gegenkandidat trotz des gescheiterten Eilverfahrens die Problematiken der Wahl von Landesdatenschutzbeauftragten bis zum europäischen Gerichtshof bringt. Denn vermutlich werden die Verfahren, wie in Deutschland die Landesdatenschutzbeauftragten und auch der Bundesdatenschutzbeauftragte bestimmt werden, nicht den Anforderungen der DSGVO standhalten.

Die Mobilnummer eines Betroffenen gibt seinen Risiko-Wert für Unternehmen wieder. Skurril? Irgendwie schon, dass die Telefonnummer eine Risiko-Abschätzung geben soll. Netzpolitik.org berichtet, dass die Plattform des US Unternehmens Telesign solche Berechnung vornimmt. Laut Telesign werden monatlich über 5 Milliarden eindeutige Telefonnummern entsprechend verifiziert. Das ist etwa die Hälfte aller weltweiten Mobilfunknutzer.
Die österreichische Datenschutzorganisation NOYB geht jetzt gegen das Unternehmen war. NOYB nutzt dazu auch eine Recherche einer belgischen Zeitung, wonach Telesign Daten für die Telefone vom belgischen Unternehmen BICS bekommt - ein Dienstleister, der weltweites Roaming und Daten-Austausch zwischen Kommunikations-Netzen ermöglicht.
NOYB wird jetzt bei der belgischen Datenschutz Behörde eine Beschwerde einreichen. Mehr bei Netzpolitik.org.

Registermodernisierungsgesetz: das Wortungetüm enthält die Regelung, dass die Steuer-ID die Basis für eine einheitliche Bürgernummer wird. Golem berichtet, dass die Ampel-Koalition eine solche Identifikationsnummer plant. Das wurde schon im Koalitionsvertrag vereinbart - auch wenn Grüne und FDP dies noch in der Opposition abgelehnt haben. Durch diese Identifikationsnummer ist es den Behörden möglich, Daten der Bürger besser untereinander auszutauschen.
Golem berichtet auch, dass die Gesellschaft für Freiheitsrechte (wie FF) eine Klage plant.

Die Stimmen vom Vorgesetzten oder von der Freundin-Freund fälschen? Sie glauben, dass sie dies erkennen werden? Im Tagesschau Podcast Deepfakeg: bei Anruf Klon finden Sie in 25 Minuten Informationen dazu, die sie sicherlich beunruhigen werden. Auf der rechten Seite der direkte Link zum Podcast in der ARD Mediathek.

Kein Datenschutz - aber trotzdem interessant und dramatisch: Heise berichtet über eine Forschungsgruppe die ermittelt hat, dass die Grundwasserentnahme die Achse der Erde jedes Jahr um mehrere Zentimeter verschiebt. Um was für dramatische Mengen von Grundwasser es sich dabei handelt, ist dem Artikel zu entnehmen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder DSK haben eine Pressemitteilung zur geplanten EU Regelung zur Transparenz und zum Targeting politischer Werbung vorgestellt. Dort wird die Problematik erläutert, dass es für einzelne Personen im Internet in der Regel nicht erkennbar ist, dass bestimmte Botschaften auf ihr individuelles Interessensprofil zugestellt - und das die politischen Werbetreibenden diese Informationen ohne Zustimmung zusammengestellt haben.
Die Information ist erhältlich über das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, welches in 2023 den Vorsitz der Datenschutzkonferenz innehat.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit BfDI beschäftigt sich in einem Arbeitspapier mit der Authentifizierung im Bereich der Telekommunikation - also der Thematik, wo sich Kundinnen bzw. Kunden identifizieren müssen. Über die Risiken und Möglichkeiten einer Authentifizierung wird ausführlich berichtet.

Die Commission Nationale de l'Informatique et des Libertés (CNIL), die französische Datenschutzbehörde, hat kürzlich eine Geldstrafe in Höhe von 40 Millionen Euro gegen CRITEO verhängt. CRITEO ist ein Unternehmen, das personalisierte Werbung und Retargeting-Dienste anbietet.

Bei ihren Untersuchungen stellte die CNIL fest, dass CRITEO verschiedene Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) begangen hat, darunter:

1. Mangelnde Einholung der Einwilligung: CRITEO hat es versäumt, die explizite und informierte Einwilligung der betroffenen Personen für die Verarbeitung ihrer personenbezogenen Daten einzuholen. Gemäß der DSGVO müssen Unternehmen eine klare Zustimmung von den Nutzern erhalten, bevor sie deren Daten für Werbezwecke verwenden.


2. 
   

   Fehlende Transparenz: CRITEO hat es versäumt, ausreichend transparent über die Verarbeitung personenbezogener Daten zu informieren. Die Datenschutz-Grundverordnung legt großen Wert auf die Transparenz und fordert von Unternehmen, dass sie die betroffenen Personen über den Umfang und die Zwecke der Datenverarbeitung informieren.

   
   


3. 
   

   Mangelnde Möglichkeit zur Ausübung von Rechten: Die CNIL stellte fest, dass CRITEO es den Nutzern nicht leicht gemacht hat, ihre Rechte in Bezug auf ihre personenbezogenen Daten auszuüben. Die DSGVO gibt den Personen das Recht, ihre Daten einzusehen, zu berichtigen oder zu löschen, und Unternehmen müssen sicherstellen, dass diese Rechte leicht zugänglich sind.

   
   

Die CNIL hat beschlossen, eine Geldstrafe von 40 Millionen Euro gegen CRITEO zu verhängen, da das Ausmaß und die Schwere der Verstöße erheblich waren. Diese Geldstrafe soll sowohl als abschreckendes Signal für CRITEO als auch als Signal für andere Unternehmen dienen, die in ähnlicher Weise gegen die Datenschutzbestimmungen verstoßen.

CRITEO hat angekündigt, die Geldstrafe anzufechten und seine Bemühungen zu verstärken, um sicherzustellen, dass seine Aktivitäten im Einklang mit den geltenden Datenschutzbestimmungen stehen. Das Unternehmen hat betont, dass es die Bedenken der CNIL ernst nimmt und daran arbeitet, seine Datenschutzpraktiken zu verbessern.

Der Link auf der rechten Seite führt direkt zu dem englischsprachigen Artikel der CNIL.

Meta will eine Alternative für Twitter auf den Markt bringen. Elon Musk will dieses Thema in einem achteckigen Käfig-Ring als Kampf austragen. Zuckerberg hat zugesagt. Spiegel hat die Details.
Anmerkung der Redaktion: Wie bitte? Zwei Konzernlenker mit unkontrollierten Testosteronausbrüchen? Da kann man sich schon so einiges fragen....

Die PIN Nummer mit seiner EC-Karte zusammen in einer Geldbörse auf zu bewahren, ist üblicherweise grob fahrlässig. Allerdings hat das Münchner Amtsgericht entschieden das, wenn man die PIN Nummer verschlüsselt, es nicht fahrlässig sein muss. Die Süddeutsche Zeitung hat diesen Fall und das Urteil dazu beschrieben.

Hamburg installiert im öffentlichen Raum Videokameras zur Erkennung von "verdächtigen Bewegungen": laut Netzpolitik.org soll es sich dabei erst einmal dreimonatigen Testlauf mit vier Kameras handeln. Ein ähnliches Projekt in Mannheim lässt allerdings Zweifel an der Funktionalität aufkommen. Dort gibt es eine Fehlerquote im niedrig-stelligen Bereich. Interessant: laut Netzpolitik.org kann das Systemschlägen nicht zuverlässig von entscheiden... Mehr Informationen im verlinkten Artikel.

Künstliche Intelligenz: beschäftigen wir uns wirklich ausreichend mit den zukünftigen Risiken oder konzentrieren wir uns nur auf die Risiken die gerade aktuell zu sehen sind? Diese Frage erörtert Heise in einem Artikel zur Konferenz RightsCon.

ChatGPT-Texte erkennen: nicht so einfach... Heise hat sich dieses Themas angenommen und in einem Podcast KI-Update die Thematik erklärt. Mehr Infos rechts beim Link.

Google warnt die eigenen Mitarbeiter vor der Nutzung der hauseigenen künstlichen Intelligenz Bard: Heise berichtet, dass der Grund relativ profan ist. Gibt man in die KI vertrauliche Daten (sei es Datenschutz oder Datensicherheit) ein, so ist nicht sichergestellt, dass diese Informationen auch vertraulich bleiben.
Laut Google ist auch eines der Probleme, dass die KI lernt - also eingegebene Daten für weitere Ergebnisse bei Dritten in der Zukunft nutzt. Das gefährdet möglicherweise innovative - aber noch vertrauliche - Ideen.

Anmerkung der Redaktion: wir können es nicht oft genug sagen. Aber der Einsatz von KI ist nicht so toll, wie man es im ersten Moment vermuten könnte.

(HEISE)

Salesforce will KI mit Datenschutz und Datensicherheit in seinen Anwendungen: Heise meldet, dass Salesforce einen Weg gefunden hat, wie die Datenverarbeitung mit künstlicher Intelligenz und gleichzeitiger Datensicherheit und Datenschutz umgesetzt werden kann.

Anmerkung der Redaktion: ein sehr interessanter Ansatz, der das oft noch ungelöste Problem der Weitergabe von wichtigen Unternehmensdaten an unbekannte Drittel (Cloud) eventuell verhindern kann

Die künstliche Intelligenz von Google Bard bekommt in der EU noch keine Zulassung: Heise meldet, die irische Datenschutzbehörde (Data Protection Commission (DPC)) hat den Betrieb noch untersagt, da Google noch keine Datenschutz-Folgenabschätzung vorgelegt hat.

Ein neuer Datenschutzbeauftragter für Niedersachsen: die Frankfurter Allgemeine meldet, dass die bisherige Datenschutzbeauftragte dagegen beim Verwaltungsgericht vorgeht.

Anmerkung der Redaktion: Datenschutzbeauftragte sind unabhängig. Allerdings ist es leider in den Bundesländern Usus, dass Datenschutzbeauftragte nicht unbedingt nach Fähigkeit sondern nach politischem Gusto benannt werden. Ob sich das mit der in der DSGVO festgeschriebenen Unabhängigkeit abbilden lässt, ist zumindestens als problematisch anzusehen. Und die Diskussion ist überfällig.