|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 01. Mai 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Künstliche Intelligenz (KI)
- Arztpraxen im Kampf mit e-Rezept und e-AU
- Videoüberwachung kleinkariert
- Aktuelles aus dem Datenschutz
|
1. Künstliche Intelligenz (KI)
Gefühlt wurde den ganzen Monat nur über KI gesprochen. Der Text des EU AI-Acts ist inzwischen bekannt und durch die erste Lesung im EU-Parlament gegangen. In Hamburg hat die Schulbehörde Leitlinien zu KI für Lehrkräfte herausgegeben und gefühlt hat jeder auf dem Gebiet KI etwas publiziert. Es ist allein schon eine Herausforderung dieses alles nur zu lesen. Es zu verstehen, zu bewerten, Relevanzen für die verschiedenen Branchen zu erkennen und dann irgendwie umzusetzen, steht noch auf einem ganz anderem Blatt. Die Komplexität des Themas macht ratlos, denn neben einem Vollzeitjob kann das keiner inhaltlich bewältigen.
|
Es fängt schon bei der Definition von KI an: Dr. Klaus Meffert, bekannt als Dr. DSGVO, beklagt, und das nicht zu Unrecht, die Definition im AI-Act der EU. Die OECD hat andere Ansätze zur Definition, die besser sind, wenn man das so sagen kann, aber am Ende auch nicht jede Form von KI erfassen. Allein schon bei der Definitionsfrage scheiden sich die Geister und streiten sich die Gelehrten.
|
Inhaltlich ist die Grundsatzfrage von KI die, die wir schon aus dem Ansatz "nachhaltige Digitalisierung" kennen: Wie viele und welche Kompetenzen kann der Mensch an KI Systeme abgeben, ohne dass er von der Technik entmündigt wird und ein ausreichendes Verständnis der Entscheidungsfindung erhalten bleibt? KI soll einen Zusatznutzen bringen und die Arbeit von Menschen besser machen. Besser machen heißt mehr Qualität und mehr Effizienz schaffen. Tatsächlich führt KI in vielen Bereichen zu diesem gewünschten Effekt, insbesondere im Bereich der LLM (Large Language Modelle). KI verbinden die meisten Menschen mit ChatGPT und eben einem LLM. Tatsächlich ist KI viel mehr als nur LLM und man muss jeden Anbieter und jede KI individuell betrachten. Die Tools der inzwischen diversen Anbieter haben ganz unterschiedliche Anwendungsbereiche und vor allem ganz unterschiedliche Qualität. Aber auch LLM müssen sehr differenziert betrachtet werden. Für einige "Prompts", so nennt man die Eingaben in eine KI, werden sehr gute Ergebnisse erzielt, weitaus bessere als Menschen es ohne KI erreichen, für andere nicht. Hierbei spielen auch die Daten, mit welcher die KI trainiert wurde, eine entscheidende Rolle.
|
Darüber hinaus ist der rechtliche Rahmen oftmals schwierig. Hierbei ist es meistens nicht der Datenschutz, sondern vielmehr das Urheberrecht, was Fragen aufwirft. So kann der Betreiber einer Webseite nach § 44b UrhG einen Nutzungsvorbehalt festlegen, dass seine Seite nicht für Textmining genutzt werden darf. Woher weiß der Endnutzer einer KI, ob diese sich daran gehalten hat? Und wenn die KI einen neuen Text aus vielen anderen Texten erstellt: Wer ist dann der Urheber dieses Textes und haben die hierzu wesentlich beitragenden Texte, hinter denen Menschen stehen, noch ein Urheberrecht? Werde ich Urheber, auch wenn eine KI den Text für mich geschrieben hat und es keine menschliche Schöpfung ist? Und wie ist es mit KI generierter Musik und dem Schutz vor Plagiaten? Hier gibt es viele Fragen und noch wenig Antworten, denn das meiste wird der Gesetzgeber regeln müssen.
|
Das Thema geht dann über in die sogenannten "Future Skills", die man in Bezug auf KI haben sollte und bestenfalls schon in der Schule erlernt (die Utopie darf zu mindestens geäußert werden), um mit KI richtig umzugehen. Ein neuer Begriff ist hier AOI (Augmented Organizational Intelligence), die betriebliche Aufbau- und Ablauforganisation verbessern soll. Das führt generell über in den Bereich der Augmented Intelligence (Erweiterte Intelligenz). Auch hier wird wild diskutiert. Interessante Schlagwörter dazu habe ich bei Frau Prof. Dr. Yasmin Weiß gelesen, deren Beiträge ich sehr schätze und die mit Sicherheit eine der größten Kompetenzen auf diesem Gebiet besitzt:
|
- Augmented Creativity
- Augmented Empathy
- Augmented Analytical Skills
- Augmented Problemsolving Skills
Kling schrägt und ist es auch, aber dahin geht der Trend. Der Mensch erweitert seine Kompetenzen auf allen Ebenen durch den Einsatz von KI, auch im schöpferischen und emotionalen Bereich. Gerade bei letzterem bekomme ich persönlich einige Bauchschmerzen, aber man darf sich auch diesem nicht verschließen und muss mit der Zeit gehen. Zu mindestens so viel Mitgehen, dass man den Ansatz versteht. Und mit dem Ansatz kommen Dutzende neue Begriff und Abkürzungen einher, die das ganze nicht einfacher machen. Das Thema wird konstant im Fokus und damit auch im Newsletter bleiben.
|
Und ganz aktuell: Die Datenschutzorganisation "NOYB", das steht für "Non of your Business" und dahinter steht der uns gut bekannte Österreicher Max Schrems, der schon das seinerzeitige Datenschutzabkommen mit der USA vor dem EuGH gekippt hatte, hat eine Beschwerde gegen OpenAI und ChatGPT eingereicht. Es wird dem Unternehmen vorgeworfen personenbezogene Daten zum Teil zu erfinden, falsche Daten zu generieren und generell auch (falsche) personenbezogene Daten zu nutzen, ohne dass für betroffene Personen eine Möglichkeit der Korrektur oder Löschung besteht. Schauen wir mal, wie das Spektakel am Ende ausgeht. Ganz unberechtigt sind die Vorwürfe und Fragestellungen nicht. Zu KI gibt es viele rechtliche Fragen, die noch ungeklärt sind.
|
2. Arztpraxen im Kampf mit e-Rezept und e-AU
Die Funktionalität der EDV in Arztpraxen ist sehr unterschiedlich, um es einmal so zu formulieren. So berichten zum Beispiel einige Praxen, dass das Absenden eines e-Rezepts oder einer e-AU so um die 27 Sekunden dauert, während der Mauszeiger einen drehenden Kreis zeigt und man nicht anderes machen kann. Auch das Öffnen von KIM-Postfächern dauert bei einigen Praxen 10 bis 15 Sekunden. Ähnliche Werte haben auch einige Apotheken beim Abrufen der e-Rezepte, wenn die Gesundheitskarte eingelesen wurde. Und wie ich bei meiner Recherche gelernt habe, können auch Krankenkassen oftmals keine e-AU abrufen, aber ich bin zum glück nicht für Krankenkassen tätig.
|
Das interessante daran ist, dass es sich bei verschiedenen Softwareanbietern für Arztpraxen-Management sehr unterschiedlich darstellt. Generell geht es seitens der Telematik-Infrastruktur recht schnell. Es ist das Zusammenspiel von Hardware, Management-Software und Telematik. Einige Software läuft dabei besser als andere. Ich darf hier ja keine Werbung machen und auch keinen Rufmord betreiben, aber es gibt Anbieter, die sollte man besser nicht wählen. Davon aber mal abgesehen, gibt es Praxen, wo alles läuft und welche, wo unter gleicher Software und Rahmenbedingungen das ganze nicht läuft. Und mir ist nicht klar warum das so ist, um ehrlich zu sein. Es braucht bestimmte Ressourcen an Servern, an Endgeräten und die richtige Verbindung der Telematik. Und bei den meisten läuft es dann recht problemlos, bei einigen nicht. Ich habe dazu auch mal Statistiken recherchiert, die recht deprimierend sind. Danach sind nur 10% der Arztpraxen wirklich zufrieden. Ca. 25% beklagen Abstürze und Probleme in den Praxis-Anwendungen. Noch deutlich unzufriedener ist man mit dem Support seitens der Softwareanbieter.
|
Passend zum grundsätzlichen Thema, nämlich der Verarbeitung von Gesundheitsdaten hat das EU-Parlament Ende April die Schaffung eines europäischen Gesundheitsdatenraums beschlossen. Kernpunkte sind die ePA (elektronische Patientenakte) jetzt auch für Privatversicherte und vor allem die Zurverfügungstellung der Gesundheitsdaten an die Pharmaindustrie. Dieses ist ein heikles und komplexes Thema. Ich werde das näher ausführen, wenn der genaue Text der Verordnung vorliegt. In jedem Fall kann einer Weitergabe der Daten in anonymisierter Form nur sehr begrenzt widersprochen werden. Das hat Pros und Contras, und ich lasse das mal so stehen. Nicht zu diesem Thema passend, aber auch das hat das EU-Parlament Ende April beschlossen: Anonyme Barzahlungen über EUR 3.000 sind zukünftig verboten und Barzahlungen über EUR 10.000 werden komplett verboten. Und der Text sieht nicht vor, dass es Ausnahmen für Politiker*innen gibt. Spendendinner & Co. müssen demnächst dann wohl anders organisiert werden. ;)
|
3. Videoüberwachung kleinkariert
Das ist auch wieder so eine Geschichte, wo man nicht drauf kommt, bevor es nicht passiert ist: Ein Kollege berichtet in seinem Newsletter von einem Fall, den ich mal mit etwas Humor schildere: Ausgangssituation ist eine korrekte Videoüberwachung einiger Bereiche, mit Löschkonzept, Zugriffskonzept und korrekten Schildern, eigentlich nichts zu bemängeln. Und dann läuft einer mit einer Brille auf der Nase durch und sagt: "Damit ist eindeutig erfasst, dass ich eine Fehlsichtigkeit habe, sie speichern und verarbeiten damit Gesundheitsdaten von mir und das ist nicht rechtmäßig, noch steht es auf dem Schild."
|
Einfache Lösung: Wer Videoüberwachung betreibt, der schreibt zukünftig dann folgendes auf das Schild: "Die Videoüberwachung erfolgt aufgrund unseres berechtigten unternehmerischen Interesses unter Wahrnehmung unseres Hausrechts zur Verhinderung von Straftaten und zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Rechtsgrundlage der Videoüberwachung ist Art. 6 Abs. 1 lit. f) DSGVO, ggf. in Verbindung mit Art. 9 Abs. 2 lit. f) DSGVO, wenn hierbei besonders schutzwürdige personenbezogene Daten gespeichert und verarbeitet werden."
|
Ich werde diesbezüglich auch nochmal auf meine Kunden, die Videoüberwachung einsetzen, gesondert zukommen. Brillenträgern wollen wir im Datenschutz natürlich auch gerecht werden und Ihnen eine Extrazeile nicht vorenthalten.
|
4. Aktuelles aus dem Datenschutz
Ich muss hiermit beginnen: Die DSK (Datenschutzkonferenz der Länder) hat im Rahmen der Überarbeitung des BDSG u.a. vorgeschlagen, den §43 Abs. 3 BDSG zu streichen, damit Geldbußen auch an Behörden verhängt werden dürfen, wenn diese den Datenschutz nicht umsetzen. Natürlich bringt es nichts, wenn der Staat sich eine Geldbuße an sich selbst zahlt, aber - Schande auf mein Haupt! - nur für den Spaß will ich das und es fühlt sich dann vielleicht ein wenig so an, als wären Behörden nicht privilegiert im Datenschutz.
|
Dann zu einer Meldung, die u.a. in der Tagesschau zu lesen war und die ein sehr großes Problem veranschaulicht: VW wurde Opfer einer Cyberattacke. Das allein ist weder verwunderlich und passiert regelmäßig. "Das Schlimme" dabei ist, dass diese Attacke im Zeitraum 2010 bis 2015 stattgefunden hat, erst jetzt erkannt wurde, und in diesen 5 Jahren bis zu 19.000 hochsensible Dateien aus dem Bereich Motoren- und Getriebeentwicklung gestohlen wurden. Cyberkriminelle sind oftmals über lange Zeiträume in unseren Netzen, stehlen Daten, niemand merkt es und weiß es. Das ist ein großes Problem. IT-Sicherheit hat seit 2015 einiges dazugelernt, aber das Problem besteht fort. Kurz rein, kurz abgezogen, wieder raus und das betroffene Unternehmen hat keine Ahnung und wird es niemals feststellen. Und das betrifft Industriespionage mehr als personenbezogene Daten. Passend hierzu die Meldung eines Angriffs auf die Heinrich-Heine-Uni in Düsseldorf: Diese hatte jüngst neue Intrusion-Defense-Systeme installiert und den Angriff sehr schnell erkannt sowie darauf reagiert. Binnen weniger Stunden wurden die Angreifer aus dem System ausgeschlossen und so vermutlich eine Verschlüsselung und mehr verhindert. Dennoch reichte die Zeit für die Hacker 2 größere sensible Datenfiles zu finden und abzuziehen. Intrusion überhaupt zu erkennen und dann schnellgenug abzuwehren, ist eine der ganz großen Herausforderungen unserer Zeit.
|
Der Meta-Konzern erlaubt ab Mai auf Facebook, Insta und Threads das Posten von Fotos und Audios, die mit Hilfe von künstlicher Intelligenz erstellt oder manipuliert sind. Er folgt damit einer Empfehlung seines unabhängigen Aufsichtsgremiums und stellt Bedenken gegen KI zu Gunsten der Rede- und Meinungsfreiheit zurück. KI generierte Inhalte sollen einen Hinweis erhalten, dass Sie für jedermann kenntlich sind. Das ganze steht so u.a. in einem Artikel der "Zeit". Ich muss zugeben, dass ich nicht wusste, dass der Meta-Konzern so ein Aufsichtsgremium überhaupt hat und dass da bisher keine KI manipulierten Inhalte zugelassen waren. Vielleicht war es zwar nicht erlaubt, aber niemand hat sich dran gehalten oder es überhaupt gelesen, ggf. hat die KI von Facebook alle geposteten KI-Inhalte auch nicht gefunden.
|
Und wo wir schon wieder bei KI sind, hier ein Satz des BSI unter Bezug auf einen Artikel aus Golem: "Sie ist zwar nicht für die kommerzielle Nutzung, sondern als "Design- und Kunstobjekt" entwickelt worden, trotzdem zeigt der Kameraprototyp Nuca, was mittels KI schon heute möglich ist. Nuca erstellt in Sekunden ein Nacktbild von einer fotografierten Person – ohne deren Einwilligung und ganz ohne komplizierte Bildbearbeitung. Die aufgenommenen Daten werden dazu an einen Server gesendet, der die Merkmale der aufgenommenen Person anhand eines eigens entwickelten Klassifikators analysiert und daraus das Bild eines nackten Körpers erzeugt. Das Gesicht aus dem Originalfoto wird von einem Open-Source-Tools eingefügt." - Genau das haben wir gebraucht, Persönlichkeits-rechte und Datenschutz freuen sich!
|
Und dann zitiere ich nochmal das BSI: "Auf den ersten Blick erkennen, ob ein IT-Produkt sicher ist – das klingt fast zu schön, um wahr zu sein. Aber nur fast: Mit dem IT-Sicherheitskennzeichen bietet das BSI ein Tool, das Transparenz und Orientierung in Sachen IT-Sicherheit schafft. Nutzende können sich bei Produkten und Diensten, die das Kennzeichen tragen, auf ein Basis-Sicherheitsniveau verlassen, egal ob es um Router, smarte Kameras oder den E-Mail-Provider geht. Ab sofort kann von Anbietern auch das neue IT-Sicherheitskennzeichen für Videokonferenzdienste beantragt werden." Ich bin ja etwas skeptisch. Sicher ein guter Ansatz und sicher mit den Kennzeichen besser als ohne dem Kennzeichen. Ich will das überhaupt nicht schlechtreden, aber man sollte dennoch nicht davon ausgehen, dass damit jede Sicherheitslücke ausgeschlossen ist.
|
Es gibt eine Nachfolgerin für Ulrich Kelber, den scheidenden Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI). Dieses soll nun Frau Prof. Specht-Riemenschneider werden. Ich persönlich hätte Herrn Kelber gerne behalten, aber auch die Nachfolgering klingt nach einer guten Besetzung. Spannend war ja die politische Entscheidungsfindung: Die SPD, die ursprünglich Ulrich Kelber in dieses Amt gebracht hatte, wollte diesen nicht mehr haben, nachdem er seinen Job gemacht und die Regierung andauernd wegen Datenschutzmängeln kritisiert hat. Daher haben sie "kann weg" gesagt, und ausgedealt, dass die Grünen und die FDP sich jemanden für das Amt suchen dürfen, weil sie mit Herrn Kelber die Lust an Datenschutz offensichtlich verloren haben. Dafür hat die SPD jetzt das Recht erhalten, den ersten unabhängigen Polizeibeauftragten des Bundestages benennen zu dürfen. Ich drücke der SPD die Daumen, dass der dann mehr Dankbarkeit zeigt und nicht auf die Idee kommt, die Regierung zu kritisieren. ;)
|
Der Spiegel berichtet hochdramatisch über einen Sicherheitsvorfall bei Linux Systemen mit xz-Software und die generelle Problematik von Open-Source-Anwendungen. Die tatsächliche Dramatik des Vorfalls lässt sich schwer einschätzen, aber richtig ist die "Open-Source Problematik". Unternehmen sollte hiervon weitgehend Abstand nehmen und Open-Source-Anwendungen nicht einsetzen.
|
Der EuGH hat die EU-Verordnung zur Pflicht zur Abgabe eines Fingerabdrucks in Personal-ausweisen mit Wirkung ab 2027 für ungültig erklärt. Allerdings nur wegen eines Formfehlers und generell die Verpflichtung zur Abgabe von Fingerabdrücken für Personalausweise für in Einklang mit den Grundrechten stehend erklärt. Der Ball liegt damit wieder bei der Politik, diese Geschichte neu in Gang und zu einem Ergebnis zu bringen. Die Pflicht ist höchst umstritten und hoffentlich wird die Pflicht zur Abgabe von Fingerabdrücken für Personalausweise nun nicht eingeführt.
|
Der Landesbeauftragte für den Datenschutz in Niedersachsen weist daraufhin, dass die Angabe eines Geburtsdatums in Online-Shops grundsätzlich nicht zwingend für den Bestellprozess ist und nicht ohne weiteres, also ohne erforderlichen Grund, erfolgen darf. Das gilt auch zur Überprüfung der Volljährigkeit oder von Bewertungen und wurde durch das Oberverwaltungsgericht Niedersachsen festgestellt. Betreiber von Online-Shops sollten hier, wenn sie Geburtsdaten erheben, ihre Praktik überarbeiten.
|
Die Darknet-Plattform Nemesis-Market wurde vom BKA in Zusammenarbeit mit den USA und Litauen zerschlagen. Diese war 2021 gegründet worden und hatte inzwischen bis zu 150.000 Nutzende. Vorwiegend wurden hier illegale Betäubungsmittel und gefälschte Dokumente gehandelt. EUR 90.000,-- an Kryptowährungen wurden dabei sichergestellt. In diesem Geschäft ist eine solche Summe eher Taschengeld, so dass man das wirkliche Vermögen wohl nicht gefunden hat und auch nicht finden wird.
|
Das BSI berichtet ferner, unter Bezug auf eine Stellungnahme des Anbieters, dass die App "Stay informed", die um die 10.000 Kitas, Horte und Schulen nutzen, ein Datenleck hatte und die Daten in der App nicht ausreichend geschützt waren. Dieses im Zeitraum vom 20.10.2021 bis 18.08.2023. Inzwischen ist das Problem behoben und basierte auf einem "Klartext http-Protokoll ohne Transportverschlüsselung". Das fällt auch über 2 Jahre natürlich niemanden auf, weil... Ja, weil...? Ich verstehe es nicht!
|
|
Ansonsten das übliche: Amazon hat aus Sicherheitsgründen die QR-Funktion seines Amazon TV-Sticks deaktiviert. Vermehrt werden politische Parteien mit Spear-Phishing bzw. Spoofing und anderen Methoden aus dem Ausland angegriffen, um vertrauliche Informationen abzuziehen. Das BSI weißt nochmal darauf hin, dass Malware auch über YouTube Kanäle verbreitet werden kann. Neue Schwachstellen wurden bei Lexmark-Druckern gefunden und es ist zu empfehlen, hier dringend ein Systemupdate zu machen, wenn man diese in einem Netzwerk betreibt. Microsoft Exchange-Server hatten auch mal wider eine kritische Schwachstelle. Firefox hat einige Sicherheitslücken geschlossen. Die größte Datenschutzkonferenz der Welt fand übrigens Ende März in Washington mit 5.000 Teilnehmern statt, aber eigentlich muss man das nicht wissen, denn inhaltlich brachte es nichts Neues. Und in Bayern wurden von der Aufsichtsbehörde mal wieder Fragebögen zu Ransomware Schutz an die Unternehmen im Land verschickt.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich dann auch wirklich einen Blick in die Jahresberichte der Datenschutzbehörden für 2023 werfen und über die NIS-2 Umsetzung berichten, zu der ich noch an Details am Grübeln bin. Das hatte ich ja schon in diesem Newsletter vor, aber es gab zu viel anderes in der Datenschutz und digitalen Welt, das passiert ist.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
