Guten Tag und herzlich willkommen in meinem Datenschutz-Blog.
Spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung der Europäischen Union in Kraft trat, ist das Thema Datenschutz zu einem festen Begleiter geworden.
Ich greife verschiedene Themen auf und stelle sie hier vor. Bei Fragen kann ich unter ulf.tschech@ihrdatenschutzbeauftragter.info kontaktiert werden.
Fotografie als Medienart feiert bald ihren 200. Geburtstag. Lässt man die Anfangsjahre außer Betracht, so kommt man zu einem erstaunlichen Ergebnis: Mit KI wurden in den letzten Monaten mehr Fotos erzeugt, als in der gesamten Geschichte der Fotografie bisher (Quelle). Mehr als 15 Mrd. Bilder kommen, verteilt auf verschiedene Anbieter, da zusammen. Wahnsinn!
Quelle: Bild siehe oben, Daten im Bild angegeben
Dieser Frage geht eine Studie der University of Washington, der Carnegie Mellon University und der Xi’an Jiaotong University (China) nach. Die Antwort ist vielleicht erwartbar. KI-Modelle werden mit Texten trainiert. Die Texte wirken sich auf die politische Orientierung der KI aus.
(Quelle: a. o. a. O., S. 4)
Mit einer, betrachtet man den Tag in seiner Gesamtheit, wirklich geringfügigen Verspätung von 8 Minuten erreichen wir Paris Est. Es ist inzwischen 23:10 Uhr und es gibt die erste Überraschung. Auf den Bahnsteig kommt man nur mit gültiger Fahrkarte. Alle, die auf ihre Lieben warten, stehen auf dem Querbahnsteig. Das habe ich als Kind zuletzt erlebt – in Oschatz. Mein Großvater kaufte grundsätzlich ein Perronticket, so nannte er die die gegen ein geringes Entgelt zu erwerbende Bahnsteigkarte. In Paris Est stehen die Empfangskomitees also vor dem Bahnsteig.
Für uns steht die Frage: Uber oder Metro zum Hotel. Ein Uber kostet 23:10 Uhr gerade mal 9,95 €. Die Metro kostet und nur 3,20 € und einen kleinen Fußweg. Die Ticketfrage wird entscheiden. Es ist inzwischen 23:15 Uhr und die Ticketschalter der Pariser Metro sind immer noch besetzt. Also Metro! Ich kaufe zwei Navigo-Pass-Cards und lade je 10 Fahrten auf. Damit kostet eine Fahrt 1,60 €. Über die offizielle „Bonjour RATP“ App der Pariser Metro kann man dann beliebig weitere Tickets aufladen. Sehr cool, sehr simpel.
Die Metro Linie 4 fährt im 5-Minuten-Takt. Rein – raus – Fußmarsch – Hotel.
Der Weg nach Paris ist erstaunlich schnell erledigt, zumindest wenn man die Bahn nutzt. In nur acht Stunden und zwanzig Minuten kann man mit dem Zug von Dahlen aus nach Paris Est reisen. Soweit der Plan…
Unsere Reise beginnt mit einem Zugausfall in Leipzig. Im Ersatzzug gelten die Sitzplatzreservierungen nicht mehr. Aber wir sind zeitig da und haben perfekte Plätze. Es entsteht auf dem Weg nach Frankfurt eine geringfügige Verspätung. Vor Fulda allerdings geht nichts mehr – Oberleitungsschaden. Und hier muss ich mal eine Lanze für die Bahnangestellten brechen: Freigetränke für alle, ein Reklamationsformular an den Platz und allerlei Auskünfte für alle, die ihre Züge verpassen.
Schnell gibt es einen Plan. Der Zug fährt rückwärts und dann auf einer alternativen Strecke nach Frankfurt. Schöner Plan, klappt allerdings nicht. Jemand hat eine Scheibe im Zug eingeschlagen. Die Verspätung wird immer größer.
Dann die nächste Hiobsbotschaft. Der ICE fährt nicht über Frankfurt Hbf. Für uns heißt das, über zwei Stunden im RE zu verbringen. Zum Glück erwischen wir Sitzplätze.
In Frankfurt angekommen zu einem Zeitpunkt, an dem wir eigentlich schon in Paris sein sollten, geht es ums Umbuchen unserer Sitzplatzreservierung. In Frankreich im ICE/TGV darf man nur mit einer Sitzplatzreservierung reisen. Das Servicecenter der Bahn ist super organisiert. Nun umbuchen können wir nicht. Das Kontingent ist alle. Wir hoffen auf nicht reservierte Plätze. Und erneut haben wir Glück.
Wird fortgesetzt…
Im Juli veröffentliche Bitkom Research eine Studie zur Smartphone-Nutzung in Schulen. Die Ergebnisse lassen sich schnell zusammenfassen. Schule ist immer noch zu 54 % smartphonefreies Gebiet. Ein Drittel der befragten Schülerinnen und Schüler (SuS) dürfen ihr Smartphone in Pausen und Freistunden nutzen. Genutzt werden sie dann zu Kommunikation und Musikkonsum.
Das Smartphone hat einen Verbreitungsgrad erreicht, der kaum noch zu steigern ist, zumindest bei Jugendlichen. Hier lag 2022 die Abdeckung bei 96% der 12- bis 19-jährigen Jugendlichen (JIM-Studie 2022, S. 6). Auch bei Kindern ist der Gerätebesitz bei Smartphones signifikant hoch. In der Altersgruppe der 6- bis 13-jährigen Kinder besitzen/nutzen 44 % ein Smartphone (KIM-Studie 2022, S. 6). Der Anteil bei Besitz und Nutzung steigt mit dem Alter.
Worin könnten Gründe für eine so bemerkenswerte Nichtbeachtung einer Gerätekategorie und einer alltäglichen Informationsquelle in Schule liegen?
Die Ablenkung vom Lernen
Ein Hauptgrund, warum einige Schulen die private Handy-Nutzung verbieten, liegt in den potenziellen Ablenkungen, die diese Geräte mit sich bringen. Smartphones sind mit sozialen Medien, Spielen und einer Vielzahl von Apps ausgestattet, die SuS leicht von ihrem Lernfokus ablenken können. Spitzenreiter laut Bitkom-Studie sind Musik hören (80 %), mit Mitschülerinnen und Mitschülern kommunizieren (70 %) oder soziale Netzwerke wie TikTok oder Instagram zu nutzen (66 %). Statt sich auf den Unterricht zu konzentrieren, könnten Schüler unerlaubterweise ihre Handys benutzen und somit ihre schulische Leistung und Konzentration beeinträchtigen.
Beeinträchtigung sozialer Interaktion
Ein weiteres Argument für ein Verbot der privaten Handy-Nutzung in Schulen ist die mögliche Beeinträchtigung der sozialen Interaktion. Wenn SuS während der Pausen oder Freistunden ihre Smartphones nutzen, könnten sie sich in virtuellen Welten verlieren und weniger Zeit mit ihren Mitschülern verbringen. Dies könnte sich negativ auf ihre sozialen Fähigkeiten und die Entwicklung persönlicher Beziehungen auswirken.
Gefahren von Cyber-Mobbing und Sucht
Die zunehmende Verbreitung von Cyber-Mobbing ist ein weiterer besorgniserregender Aspekt, der eine Rolle bei der Debatte spielt. Die private Nutzung von Smartphones in der Schule könnte die Möglichkeit für Mobbingvorfälle erhöhen, da Schüler ihre Geräte in weniger beaufsichtigten Situationen nutzen könnten. Darüber hinaus besteht die Gefahr einer Smartphone-Sucht, die sich negativ auf das Wohlbefinden und die schulische Leistung der SuS auswirken kann.
Förderung eines fokussierten Lernumfelds
Schulen, die ein Verbot der privaten Handy-Nutzung durchsetzen, argumentieren, dass dies zu einem fokussierteren Lernumfeld führt. Indem die Ablenkungen minimiert werden, könnten SuS besser auf den Unterricht und die pädagogischen Aktivitäten eingehen. Einige Schulen fördern alternative Ansätze, wie das Einrichten von Handy-freien Zonen oder das Sammeln von Smartphones zu Beginn des Schultages, um die Aufmerksamkeit und das Engagement der SuS zu verbessern.
All diese Kontra-Argumente lassen sich auch in ihr Gegenteil verkehren. Aufgabe von Schule muss es sein, SuS einen verantwortungsvollen Umgang mit Technologie zu vermitteln. Immerhin geben 66 % der Befragten SuS an, ihr Smartphone zur Informationsbeschaffung zu Unterrichtselemente Themen zu nutzen. Berücksichtigt man dabei das Regelwerk der Schulen, dürfte das nicht immer erlaubt oder gewollt sein. Eine Einbeziehung einer omnipräsenten Technologie in Unterrichtsgestaltung (Recherche, Ergebnissicherung, Ergebnispräsentation, Kooperation, Teamorganisation… Die Liste von Chancen ist unendlich lang.) ist inzwischen mehr als angebracht. Das setzt Kompetenzen der Lehrpersonen voraus. Und vielleicht sind wir genau an diesem Punkt noch zu rückständig. Vielleicht sind wir noch zu sehr Overheadprojektor- und Polylux-Schule und zu wenig digitale Schule.
Erst am Montag wurde die Sicherheitsmaßnahme 16.5.1 (a) von Apple veröffentlicht. Inzwischen ist die wieder zurückgezogen. Es gab Probleme in Safari. Jetzt steht 16.5.1 (c) zum Download bereit. Die Installation ist dringend empfohlen.
Apple veröffentlicht heute ein Sicherheitsupdate für iOS, und iPadOS unter der Versionsnummer 16.5.1 (a). Apple nennt das eine Sicherheitsmaßnahme und empfiehlt die Installation dringend.
Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework (dem Nachfolger des „Privacy Shields Abkommens“) in einem Angemessenheitsbeschluss ein hinreichendes Schutzniveau attestiert. Damit ist es wieder möglich, personenbezogene Daten (pbD) aus dem EWR in die USA zu übertragen. Einzige Voraussetzung: Die Empfänger pbD müssen vom US-Wirtschaftsministerium zertifiziert und in der dazu geführten Datenbank geführt werden.
Es sind damit keine Begleitmaßnahmen mehr erforderlich. Gründe für die Zulässigkeit einer Datennutzung sind aber weiterhin gültig.
Weitere rechtliche Prüfungen werden folgen. Es bleibt also spannend. Warum das neue Abkommen in der Kritik steht, wird hier sehr gut zusammengefasst.
OpenTalk ist gestartet. Für diese neue Videokonferenz-Plattform ist der Quellcode auf OpenCode veröffentlicht. Es geht um nichts geringeres als Zoom, Teams und anderen, nicht DS-GVO-konforme, Anbietern eine datenschutzgerechte und transparente Lösung entgegenzustellen. Die Preise sind moderat (die Premium-Lösung kostet 125 Euro pro Jahr netto).
Welche Ausreden will man jetzt noch bringen? OK – Funktionalität. Die werde ich testen. Ansonsten sollte es schwer fallen, weiter an den Gespenstern (Zoom, Teams, WebEx…) festzuhalten.
Meike Kamp (Berliner Beauftragte für Datenschutz und Informationsfreiheit)
Der Europäische Datenschutzausschuss harmonisiert die Bußgeldleitlinien im Geltungsbreich der DS-GVO. Grundlagen für die Bemessung von Bußgeldern sind Art eines Verstoßes, Schwere, Umsatz der verantwortlichen Stelle gemäß Art. 83 ABS. 4-6. In die Bußgeldbemessung fließen außerdem ein die Wirksamkeit des Bußgeldes sowie seine abschreckende Wirkung.
Die Leitlinien zu den Rechten Betroffener konkretisieren Art. 15 DS-GVO. Besonders das Auskunftsrecht wurde präzisiert. Welchen Umfang hat das Auskunftsrecht und welche Modalitäten müssen beachtet werden? Dazu gibt es eine wesentliche Abgrenzung offenkundig unbegründeter und exzessiver Anträge.
Souveräne Clouds stellen ein immer wiederkehrendes Thema dar. Hier werden Mindestkriterien für digitale Souveränität der Anbieter und der Anwender beschrieben: selbstständig, selbstbestimmt, sicher.
Mich nerven auch immer wieder Pur-Modelle auf Websites (Zugang zu Inhalten entweder als kostenpflichtiges Abo oder durch Einwilligung in eine Verarbeitung pbD für werbliche Zwecke). Hierfür gilt: Das Angebot eines trackingfreien Modells (auch kostenpflichtig) ist ausreichend.
Die Position der Datenschutzkonferenz zu Microsoft Online Dienste (Office 365) ist eindeutig:
MS praktiziert eine Verarbeitung personenbezogener Daten (pbD) zu eigenen und nicht legitimen Zwecken. Es erfolgt keine korrekte Löschung pbD. Es bestehen keine angemessenen Maßnahmen zum Schutz vor Übermittlung in Drittländer. Die TOMs sind nicht angemessen.
Fazit: Microsoft kann nicht nachweisen, dass datenschutzkonform gearbeitet wird.
Unabhängig von dieser Bewertung durch die Datenschutzkonferenz findet man häufig, besonders medial geführt, folgende Argumentationen: MS365 wird ja überall genutzt, also muss man großzügig sein. Andere nutzen es doch auch.
Zuletzt wurde konkreter auf das Recht auf eine Kopie pbD eingegangen.
Dem Anspruch auf Kopie pbD Betroffener muss die verantwortliche Stelle durch eine originalgetreue und verständliche Reproduktion der Daten Nachkommen. Das schließt Auszüge aus Dokumenten, ganze Dokumente und Auszüge aus Datenbanken ein.
Referent Martin Rost (Mitarbeiter beim
ULD Schleswig-Holstein und Autor des Buches
„Das Standard-Datenschutzmodell (SDM): Einführung,
Hintergründe und Kontexte zum Erreichen der Gewährleistungsziele“)
Ich lasse an dieser Stelle mal alle zu fachspezifischen Inhalte weg. Sehr cool fand ich die Einleitung in das Thema. Eine häufig anzutreffende Meinung ist ja, dass es im Datenschutz darum geht, Daten zu schützen. Fachlich etwas näher am Thema seiend führt zu der Annahme (so auch ich bisher), dass Datenschutz immer der Schutz von Menschen ist. Das stimmen sicherlich. Aber Datenschutz meint eben vor allem, Prozesse von Datennutzung so zu gestalten, das möglichst geringe Risiken für Betroffene bestehen. Und damit stehen eben Prozesse im Zentrum aller Überlegungen.
Datenschutzmaßnahmen stellen ein ausgewogenes Verhältnis her zwischen der Organisation der verantwortlichen Stelle mit Mitarbeitern, Dienstleistern, eingesetzter Software, Leistungserbringern, Logistik, Staat mit vielleicht untätiger Politik…
Dr. Behrang Raji (Legal Counsel Data Protection)
Ein spannender Redebeitrag zum Thema KI und Datenschutz. Wichtig finde ich den Bezug zu den Vorschlägen aus Schleswig Holstein für eine ChatGPT-Nutzung in Unternehmen und Einrichtungen:
Richtlinien für den Umgang im Unternehmen schaffen.
Die Nutzung privater Accounts für dienstliche Zwecke sollte untersagt werden.
Es sollten keine personenbezogenen Daten für die Prompts genutzt werden.
Es sollten nur Unternehmensinformationen verwendet werden, die bereits öffentlich sind.
Die Nutzung des Dienstes unter Verwendung personenbezogener Daten zum Zweck der Erstellung von Beurteilungen der Persönlichkeit, der Arbeitsleistung sollte verboten werden.
Bei generierten Texten sollte ChatGPT als Quelle angegeben und und zusammen mit den Prompts dokumentiert werden.
Die Ausgaben von ChatGPT sollten immer auf Richtigkeit überprüft werden.
Der Dienst darf nicht genutzt werden, um Entscheidungen über natürliche Personen zu treffen (Art. 22 DSGVO).
Mark Semmler (Dipl. Informatiker und IT Security Specialist)
Mark Semmler erlebe ich zum zweiten Mal auf dem Datenschutztag. Und es war wieder ein Erlebnis.
Ich fasse nur einige Punkte seines Vortrages zusammen. In der Gesamtheit kann man dieses Feuer aus Sprache, Fakten und Inhalt nicht wiedergeben.
Ransomware ist immer noch ein Multimilliardengeschäft und weist inzwischen eine starke Diversifizierung auf. Über 100 Gruppen agieren weltweit, wobei etwa 95 % aller Akteuere aus Russland und Weißrussland kommen. Zielgerichtete Angriffe auf kritische Infrastrukturen haben deutlich zugenommen.
Hinzu kommen Fakenews, die auf Twitter und Facebook verbreitet werden. Semmler spricht von A-BC-D-Kriegsführung. Das D steht für „digital“. Das technisches Niveau der Akteure ist niedrig und mittelhoch und immer noch, erstaunlicherweise, erfolgreich.
Dabei ist derKonkurrenzdruck gestiegen. Es geht nur noch darum, schnell Daten von Opfern zu verschlüsseln und Geld zu machen:
Kunde durch eine Backdoor öffnen – in der Breite Kunden unter Kontrolle bekommen – Daten verschlüsseln – Geld fordern.
Der Handlungsdruck auf Seiten der Angreifer bedeutet für Betroffene eine deutlich geringere Reaktionszeit.
Dieser Markt ist immer noch nicht ausgetrocknet. Neu Angriffe erfolgen zunehmend auf kleine und mittlere Unternehmen.
Was fordert Semmler von der Politik? Maßnahmen müssen verpflichtend werden und gesetzlich verankern sein. Lösegeldzahlung müssen unter Strafe gestellt werden. Nur so kann dieser Sumpf trocken gelegt werden. Semmler selbst verhandelt kein Lösegeld mehr. Auslöser für diese Entscheidung war der Ukraine-Krieg.
Ein toller, informativer Tag geht zu Ende. Es hat sich gelohnt!