DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Künstliche Intelligenz (KI)
Wahlwerbung und Datenschutz
Verfahren gegen Tech-Konzerne
Aktuelles aus dem Datenschutz

1. Künstliche Intelligenz (KI)

Und wieder ein kleiner Part zur künstlichen Intelligenz. Vorab etwas zur fortschreitenden Digitalisierung: Laut einer Studie von Microsoft hat sich unsere durchschnittliche Aufmerksamkeitsspanne auf 8 Sekunden verkürzt. Zum Vergleich: Ein Goldfisch schafft 9 Sekunden, denn er lebt ohne Digitalisierung. Das lassen wir mal so stehen und jeder darf sich reflektieren, wie oft Ereignisse auf digitalen Geräten zu einer Ablenkung der Aufmerksamkeit führen.

Interessant ist die Frage nach dem Einsatz von KI unter Aspekten der betrieblichen Mitbestimmung. So hat ein Hamburger Unternehmen seinen Mitarbeiter*innen die bekannte KI ChatGPT zur Verfügung gestellt und den Einsatz dieser zur Durchführung von Arbeit erlaubt. Hierzu gab es eine Arbeitsanweisung mit Rahmenbedingungen. Der Betriebsrat des Unternehmens war nicht einbezogen worden und zog dagegen vor das Arbeitsgericht. Die Klage wurde abgelehnt. Es besteht kein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1, Nr. 6 oder Nr. 7 BetrVG. Ein Betriebsrat darf nur bei Fragen der Ordnung des Unternehmens mitbestimmen, nicht bei Fragen der Durchführung von Arbeit und den hierzu gestellten Mitteln. Es liegt auch keine Überwachung von Mitarbeiter*innen vor, da ChatGPT solche nicht tätigt und die Anweisung des Unternehmens, den Einsatz des Tools für erbrachte Leistungen jeweils durch Hinweis kenntlich zu machen, keine Überwachung von Arbeit darstellt. Es gibt auch keine Hinweise darauf, dass der Einsatz des Tools zu einer psychischen Belastung und dementsprechend zu einer Gefährdung der Arbeitnehmer*innen führt. Unternehmen können LLM (Large Language Modelle) also ohne Einbezug des Betriebsrats im Unternehmen einführen.

Die Einführung eines LLM ohne Betriebsrat bedeutet nicht, dass die Anwendung dadurch auch datenschutzkonform ist. Zum Einsatz von LLM hat die Datenschutzkonferenz der Länder (DSK) eine Orientierungshilfe herausgebracht. Diese ist nur 15 Seiten lang, was bei solchen Hilfen eine Ausnahme ist. Gewöhnlich sind es immer gleich 50 bis 100 Seiten. Der Inhalt zusammengefasst: Ja, man kann LLM datenschutzkonform einsetzen, wenn man damit keine personenbezogenen Daten und vor allem keine besonders schutzwürdigen Daten verarbeitet. Ansonsten wird es schwierig.

Wenn wir schon bei ChatGPT sind: Es gibt eine neue Version des Tools und in diesem Tool die Stimme "Sky". Sie soll so ähnlich wie die Stimme der amerikanischen Schauspielerin Scarlett Johansson klingen. Scarlett Johansson hat Open AI daher auf Unterlassung verklagt und Open AI die Stimme "Sky" vorerst zurückgezogen. Stimmen klingen oftmals ähnlich. Eine Problematik, die uns in Zukunft wohl öfter beschäftigen wird.

Zu KI bilden sich drei Kategorien heraus: "Funny AI", "Malicious AI" und "Generative AI". Letzte wird oftmals auch "Tranformational AI" genannt. Hier geht es um die KI, die niemand zum Spaß oder zu böswilligen Zwecken einsetzt, sondern um die Nutzung von KI zur Durchführung von Arbeit und Einsatz im Alltag, mit dem Ziel effizienter zu werden. Effizienter heißt KI so einzusetzen, dass man Aufgaben besser und schneller erledigen kann. Dieses Einsatzfeld "Augmented Intelligence" gehört zu den sogenannten "Future Skills" und wird unsere Zukunft prägen. Die Frage "Was zeichnet richtig gute Arbeit aus?" wird zukünftig eine andere Antwort als bisher bekommen.

Und in dieser Zukunft wird eine weitere Grundqualifikation sein zu wissen, wie man richtig gute Prompts formuliert. Es gibt nämlich immer noch zahlreiche Fehler in KI und die LLMs können bei weitem nicht alle Fragen richtig beantworten. Insbesondere nicht, wenn diese komplex und schwierig formuliert sind. Das Internetmagazin Golem hat darüber jüngst einen Artikel gebracht und einige solche Fälle zusammengetragen. So wurde einem Nutzer von Google Gemini vorgeschlagen, er solle den Käse auf seiner Pizza mit einem nicht giftigen Klebstoff befestigen. Google Gemini behauptete auch, dass Hunde in der amerikanischen NFL spielen. KI ist also noch lange nicht immer ganz ausgereift.

2. Wahlwerbung und Datenschutz

Die EU-Wahl steht an und bestimmt hat der eine oder andere Wahlwerbung zugeschickt bekommen. Dürfen die Parteien das und woher haben sie unsere Adressen? Gemäß dem Bundesmeldegesetz (BMG) dürfen Parteien von den Bürgerämtern Daten aus den Melderegistern erhalten. Und zwar Vor- und Nachname und Adresse sowie ggf. einen vorhandenen Ansprache-Titel, wie "Dr." oder "Prof.". Andere Daten dürfen die Meldebehörden nicht übermitteln. Ferner ist die Auskunft an bestimmte Altersgruppen gebunden. Eine Partei muss eine Meldebehörde also für eine bestimmte Altersspanne anfragen und erhält hiernach die entsprechenden Daten zugespielt. Somit erhalten Parteien zusätzlich zu den Namens- und Adressdaten auch Kenntnis über ein ungefähres Alter der Personen.

Eine Anfrage einer Partei an eine Meldebehörde darf nur 6 Monat vor einer anstehenden Wahl erfolgen. Die erhaltenen Daten dürfen nur zum Zweck der Zusendung von Wahlwerbung genutzt werden und zu keinem anderen Zweck. Die Daten sind spätestens einen Monat nach der Wahl zu löschen.

Bürger*innen können, wenn sie keine Übertragung von Daten an eine Partei wünschen, einer solchen Übertragung generell widersprechen. Ein solcher Widerspruch kann bei jeder Meldebehörde getätigt werden. Er hat nur Wirkung für die Zukunft. Man kann auch den Widerspruch jeder Datenübertragung, wie zum Beispiel an Mandatsträger, Presse, Rundfunk, Adressbuchverlage etc. bei der Meldebehörde vornehmen. Ein Widerspruch gegen eine Übertragung der eigenen Daten nur für bestimmte Parteien ist aus technischen Gründen nicht möglich.

3. Verfahren gegen Tech-Konzerne

Das ist ein interessantes Thema, das sich sehr breit gestaltet. Es war ja immer der Ansatz, dass man endlich gegen die Tech-Konzerne vorgehen muss. Man braucht dafür natürlich eine Rechtsgrundlage, die mit einigen neuen EU-Verordnungen und Gesetzen jetzt geschaffen ist. Ich picke mal einige Themen raus:

Da ist zum einen die Ausnutzung der Marktmacht und Monopolstellung. Es geht also um Wettbewerbsrecht. Hier greift der DMA (Digital Markets Act). Dieser hat in der Tat einiges bewegt und es ist mehr Wettbewerb möglich. Die Tech-Konzerne haben etwas verändert. Apple hingen am wenigsten und der Konzern wurde deswegen auch mit einem hohen Bußgeld belegt. Der Datenschutz ist mit dem DMA nur sekundär und eher marginal betroffen.

Ein Verfahren wurde gegen Tiktok und Facebook eröffnet. Hier geht es darum, dass diese Konzerne die vorgenannten Plattformen so betreiben, dass diese sich gezielt an minderjährige Personen wenden, um diese süchtig nach ihrer Plattform zu machen. Anders formuliert: Eine bewusste Gesundheitsschädigung wird als Marketingmittel eingesetzt oder billigend in Kauf genommen. Man nennt dieses neuerdings "Rabbit-Hole-Effekt". Fragen Sie mich nicht warum. Interessant wird es, ob diese Anschuldigung vor Gericht juristisch zu belegen ist und ich bin auf dieses Verfahren sehr gespannt. Datenschutzthemen spiele hier am Rande mit hinein, denn es werden für diese Marketingmethoden auch personenbezogene Daten verarbeitet.

Der Verbraucherschutz hat jüngst die Onlineshops Shein und Temu abgemahnt. Grund sind nicht lautere Mittel Kunden zu Käufen zu bewegen. Sogenanntes "Push-Force-Marketing" wird gerügt. Im Falle von Shein waren es, wenn ich mich richtig erinnere, 23 Punkte, die beanstandet wurden. Shein hat daraufhin tatsächlich, und ich persönlich war erstaunt, eine strafbewehrte Unterlassungserklärung unterzeichnet und sich verpflichtet, die benannten Praktiken nicht mehr einzusetzen. Es geht also doch! Mal schauen, wie sich jetzt Temu verhält. Bisher machen diese munter weiter mit "Push-Force-Methoden". Auch dieses hat einen Bezug zum Datenschutz, denn hier wird dafür gekämpft, dass eine Nutzung personenbezogener Daten zu solchen Marketingpraktiken nicht rechtmäßig ist.

Und dann wurde von der EU ein Verfahren gegen Facebook eröffnet, wegen Inhalten, die als Wahlmanipulation im Vorfeld der Europawahl qualifizieren bzw. dass Facebook nicht entschieden genug gegen solche Inhalte vorgeht. Bei diesem Verfahren bin ich ratlos und es stellen sich mir viele Fragen: Warum nur Facebook und nicht auch allen anderen Socialmedia-Portale? Und wie definiert man die Grenze zwischen Meinungsfreiheit und wahlmanipulierender Desinformation? Grundsätzlich sind Desinformationen nicht strafbar, wenn diese nicht gegen ein Gesetz verstoßen. Man kann also so viel herumlügen und Verschwörungstheorien aufstellen, wie man will. Erst wenn diese Lügen zur Beeinflussung einer Wahl führen oder jemanden verleumden, ist es strafbar. Der Ansatz wäre also, dass man zu einer Partei falsche Tatsachen verbreitet, damit diese gewählt wird bzw. damit diese nicht gewählt wird, je nachdem, was man beabsichtigt. Diese zwei Methoden finden sich, seinen wir einmal ehrlich, auf nahezu jeder politischen Offline-Veranstaltung jeder Partei und in fast jedem Post der meisten politischen Parteien im Internet. Sperren wir jetzt also die Accounts von 80% unserer Politiker*innen? Oder wünscht sich die EU hier den Ansatz, dass nur Privatpersonen gesperrt werden, keine Politiker*innen, wenn sie Fakenews im Vorfeld von Wahlen verbreiten? Das entspräche nicht dem demokratischen Gedanken. Also mir geht der Ansatz nicht auf und ich freue mich, dass Datenschutz hierbei nicht relevant ist.

Und da wir bei Politik sind, hier der dümmste Satz jemals zur Falschverwendung des Wortes Datenschutz, den ich die letzten Jahre gehört habe: "Die Aufteilung einer Parteispende in drei Tranchen zu jeweils EUR 9.990,-- ist zur Wahrung des Datenschutzes der Spender, damit deren Namen nicht veröffentlicht werden müssen, unter Umständen notwendig." Datenschutz legitimiert nicht die Umgehung von anderen Gesetzen und die Intransparenz von Parteispenden. Völliger Quatsch!

4. Aktuelles aus dem Datenschutz

Der Hamburger Flughafen wurde gehackt. Als Hamburger muss ich damit beginnen. Es wurde bekannt, weil die Hacker ihren Erfolg stolz veröffentlicht haben. Allerdings betraf es nur ein Subunternehmen, welches für Wachdienste zuständig ist. In die Server wurde eingedrungen und man hat Informationen über die Urzeiten und Wachgänge abgezogen. Die Systeme des Flughafens selbst wurden nicht infiltriert. Somit nur ein kleiner Vorfall, der aber deutlich zeigt, dass auch Subunternehmen IT-Sicherheit beachten müssen. Gerade bei kritischer Infrastruktur, was mit NIS2 ja nun auch verschärft wird.

Es gibt ein paar gesetzliche Veränderungen, die zu rein formalen Notwendigkeiten führen: Durch das DDG ist das TMG nicht mehr existent. Es muss im Impressum einer Webseite also jetzt "nach § 5 DDG" und nicht mehr "nach § 5 TMG" heißen. Und auch an allen anderen Stellen, wo man das TMG ggf. stehen hat. Gleichermaßen ist aus dem TTDSG das TDDDG geworden. Aussprechen kann ich es nicht, aber in einigen Datenschutzerklärungen auf Webseiten und für Kunden ist dieses enthalten. Ich werde hier zeitnah modifizierte Versionen für meine Kunden erstellen.

Das BSI (Bundesamt für die Sicherheit in der Informationstechnologie) leitet einen Beitrag mit "KI ermöglicht Phishing in nie dagewesener Qualität" ein. Der Satz sagt alles, mehr muss man nicht dazu sagen. Und der Satz gilt leider auch für Sextortion und andere Cyber-Kriminalität.

Kliniken, Arztpraxen und Gesundheitseinrichtungen sind ein beliebtes Ziel von Cyber-Kriminellen. Laut einem Bericht des SWR hat es kürzlich das Uni-Klinikum Mainz, die katholische Jugendfürsorge in Augsburg und die Kassenärztliche-Vereinigung Hessen erwischt. Neben diesen Einrichtungen war auch der Schuhhändler Salamander betroffen.

Die Lufthansa hingegen wurde nicht gehackt, sondern hat selbst ein Datenleckt produziert. Ob das alles erwähnenswert ist, ich weiß es nicht. Es hat inzwischen etwas von Alltag.

Dann etwas für Fußballfans: Das Passwort "Bayer04Lev" ist derzeit eines der beliebtesten Passwörter. Hingegen ist das Passwort "FCBayern" aus der Liste Top 40 geflogen. Ich kommentiere den Niedergang der Bayern auf allen Ebenen nicht und merke nur an, dass solche Passwörter nicht wirklich sicher sind und auch das Passwort "TaylorSwift" weiterhin keine gute Idee ist. Auf Platz 1 in Deutschland ist übrigens weiterhin "Passwort1", jetzt gefolgt von "Schalke04". Auch die Passwörter "Fussball", "Borussia", "Ronaldo1" oder "Dormund09" finden sich in den Top 40. Fußballfans und Kreativität, vielleicht sollte mal jemand eine Studie darüber machen. ;)

Google Fit wird nicht mehr unterstützt. Wer die App hat, der löscht sie am besten und installiert eine andere derartige App. Crushftp hat(te) eine große Sicherheitslücke. Anders als das Wort "crush" suggeriert handelt es sich nicht um ein Dating-Portal, sondern um eine Anwendung zum Filetransfer. Wer dieses nutzt, sollte unbedingt auf die neueste Version 10.7.1 oder höher updaten. Ferner wurde bekannt, dass es möglichweise eine Sicherheitslücke in Android-Smart-TVs gibt, die es Hackern erlaubt auf die persönlichen Daten des damit verbundenen Gmail-Kontos zuzugreifen. Machen Sie auch regelmäßig bei Ihrem Fernseher Updates.

Abschließend noch zum BfDI (Bundesbeauftragter für den Datenschutz und die Informations-sicherheit). Der scheidende Präsident der Behörde hat kurz vor Übergabe der Geschäfte noch eine Klage gegen den BND (Bundesnachrichtendienst) erhoben. Der BfDI hat diverse Kontrollrechte, aber den BND hat diese nicht zugelassen und Einsicht in Akten wie Prozesse strikt verweigert und meint, dass das aus Gründen der Geheimhaltung rechtens ist. Das muss jetzt vom Bundesverwaltungsgericht geklärt werden.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich dann auch wirklich einen Blick in die Jahresberichte der Datenschutzbehörden für 2023 werfen und über die NIS-2 Umsetzung berichten, was ich schon im letzten Newsletter versprochen hatte.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de