|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. Januar 2025
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen die erste Ausgabe des Datenschutz-Newsletters im Jahr 2025 übersenden zu dürfen und habe heute folgende Themen:
|
- Neuerungen zum Jahresstart 2025
- Künstliche Intelligenz, Neuronale Netze und unser Gehirn
- Aktuelles aus dem Datenschutz
|
1. Neuerungen zum Jahresstart 2025
Es stehen drei Themen auf der Liste der Dinge, die ab dem 1.1.2025 Pflicht bzw. eingeführt werden. Das sind die elektronische Rechnung, die elektronische Patientenakte und die Wirtschaftsidentifikationsnummer. Ich fange mit letzterer an.
|
Die Wirtschaftsidentifikationsnummer (W-IdNr.), so steht es geschrieben, ist ein wichtiger Grundstein für die Digitalisierung. Sie dient, analog zur Steueridentifikationsnummer natürlicher Personen, zur eindeutigen Identifizierung von wirtschaftlich Tätigen. Sie bleibt, solange die wirtschaftliche Tätigkeit besteht, immer gleich. Langfristig - Wie langfristig man hier denkt, steht nirgends! - soll die W-IdNr. zu Vereinfachungen im Steuer- und Verwaltungsverfahren führen. Die Verwirklichung des "Once-Only-Prinzips" für Steuerpflichtige rückt damit deutlich näher. Wenn Sie letzteren Satz inhaltlich und in der Logik der ganzen Sache nicht verstehen - ich tue das auch nicht, aber es wird so von der Bundeszentralstelle für Steuern ausgeführt.
|
In der Praxis ist weiterhin nur eines klar: Wer eine USt-IdNr. hat, der hat damit auch seine W-IdNr. Die Nummern sind gleich. Beispiel: Man hat DE123456789 als USt-IdNr., dann ist die W-IdNr. DE123456789-0001. Die hintere Nummer bezeichnet die erste, zweite (0002) etc. wirtschaftliche Tätigkeit. Alles weitere ist nicht so klar. Ab November bekommen diejenigen ohne USt-IdNr. die W-IdNr. über ELSTER. Sie soll sich unter dem Menüpunkt "Formulare & Leistungen" und dort unter dem Untermenüpunkt "Einwilligung zur elektronischen Bekanntgabe" befinden. Die meisten ELSTER-Nutzer, ich eingeschlossen, haben diesen Untermenüpunkt nicht und damit auch keine W-IdNr. Warum das so ist, konnte mir weder der ELSTER-Service noch das BZSt erklären. Man verweist gegenseitig aufeinander. Wenn diese Funktion in ELSTER nicht da ist, dann hat man seine W-IdNr. nicht und kann es auch nicht ändern.
|
Hat oder hätte man die W-IdNr., stellt sich die Frage, was man damit machen muss. Auch an dieser Frage scheiden sich die Geister. Meine juristische Betreuung ist sich uneins darüber, ob man die Nummer in einem Impressum, in Rechnungen oder anderswo angeben muss. Für die Steuerangelegenheiten ist bekannt, dass es mit den neuen Formularen, zum Beispiel der EÜR 2024, ein Feld gibt, wo man die W-IdNr. angeben soll. Trägt man da nichts ein, ist zu mindestens ELSTER das egal. Somit sieht es ganz danach aus, dass man dieser Nummer erstmal nicht allzu große Bedeutung beimessen sollte. Für den Datenschutzaspekt bei der W-IdNr. gilt das ebenso.
|
Anders hingegen ist es mit der elektronischen Rechnung (eRechnung). Inzwischen haben alle wesentlichen Anbieter von Buchführungssoftware diese Neuerung zum Jahresstart umgesetzt. Und es hat lange gebraucht, bis ich ein Detail richtig verstanden habe: Die eRechnung ist ein XML-Dokument, das automatisch eingelesen werden kann. Man kann es separat erstellen und versenden, aber es ist eigentlich so gedacht und gemacht, dass die XML-Datei im PDF eingebettet ist. Man bekommt also wie gewohnt ein PDF zugeschickt. Wer eRechnung nicht nutzt und sich technisch nicht weiter dafür interessiert, der merkt keinen Unterschied. Man kann dieses PDF ganz normal öffnen, abspeichern etc. Allerdings ist es in eine XML-Datei eingebettet bzw. umgekehrt und diese kann automatisch eingelesen werden. Dabei funktioniert es technisch so, dass die XML-Datei bei allen wesentlichen Angaben die Daten aus dem PDF ausliest, also mit dessen Inhalt verknüpft ist. Damit ändert sich unter dem Strich für die Nutzer nichts. Die Umsetzung ist einzig und allein eine Aufgabe für die Anbieter von Buchführungssoftware. Auch für die Aufbewahrung und alles weitere ändert sich nichts. Man muss nur einen Haken in seinem Buchführungsprogramm machen, dass man jetzt eRechnungen erstellt und verschickt, sonst nichts. Am Ende klingt das dann doch recht einfach und machbar.
|
Eine Sache wäre da dann doch noch zur eRechnung: In einer eRechnung sind weiterhin beliebig viele Positionen erlaubt, aber keine negativen Positionen. Vergütungen oder Rabatte als negativer Wert direkt in der Rechnung sind als Positionen nicht möglich. Das dürfte dann inhaltlich den einen oder anderen in seiner Rechnungsstellung zu Veränderungen zwingen.
|
Die elektronische Patientenakte (ePA) ist dafür um so komplizierter. Das bundesweite Rollout, welches nach einem erfolgreichen Start in den Testregionen für den 15.2.2025 vorgesehen war, ist bereits abgesagt worden. Zu groß sind die Probleme bei der Umsetzung bei den Krankenkassen, den Anbietern von Praxisverwaltungssystemen (PVS) und der Telematik-Infrastruktur. Die Pilotphase in Hamburg startet dennoch am 15.01.2025. Zu welchen Erkenntnissen das führt, ist nicht absehbar. Im Augenblick kann ich nicht erkennen, dass eine praxistaugliche Umsetzung zustande kommen wird. Warten wir es ab.
|
Technisch werden alle Versicherten im Pilotgebiet, die nicht widersprochen haben, die "ePA für alle" bekommen. Man braucht dazu eine App, die "ePA für alle App". Diese wird bis zum 15.01.2025 zur Verfügung stehen. Wer bisher bereits, zum Beispiel über die AOK-App die freiwillige ePA hat, der muss auf die neue App wechseln. Damit das möglichst einfach und reibungslos erfolgen kann, ist es unbedingt erforderlich bis zum 15.01.2025, am besten früher, seinen Sicherheitsschlüssel aus der ePA herunterzuladen und zu sichern. Nur mit diesem kann man sich dann unkompliziert an der "ePA für alle App" anmelden. Ansonsten muss man den ganzen Registrierungsprozess erneut durchlaufen. Die Nutzung der ePA ist dabei natürlich auch ohne App möglich.
|
Mehr kann ich zur ePA im Augenblick nicht sagen, denn man muss abwarten, wie die Umsetzung aussehen wird. Wesentlich wird es darauf ankommen, in wie weit die Arztpraxen die ePA auslesen und bespielen können. Dieses liegt nicht in der Hand der einzelnen Arztpraxen, sondern ist eine Frage der PVS-Anbieter und der Telematik. Wir müssen uns also überraschen lassen. Wenn es nicht funktioniert, werden wir natürlich trotzdem behandelt und alles ist wie gewohnt. Also sehen wir es am besten gelassen und schauen mal, was am 15.01.2025 in Hamburg diesbezüglich passiert.
|
2. Künstliche Intelligenz, Neuronale Netze und unser Gehirn
Künstliche Intelligenz (KI) wird das Thema des Jahres werden, auch wenn der Hype zu KI derzeit zurückgeht. Der Hamburger Datenschutzbeauftragte hat sich zu KI jüngst wie folgt geäußert: "Im Grundsatz geht mich KI nichts an." Damit meint er, dass KI nur ein Datenschutzthema ist, wenn personenbezogene Daten verarbeitet werden und dieses meistens nicht der Fall ist. Juristisch hat der Hamburger Datenschutzbeauftragte recht. Aber KI ist etwas sehr komplexes, was über juristische Fragestellungen hinaus geht.
|
KI funktioniert mathematisch und basiert auf Token. In einem LLM (Large Language Model) ist ein Token zum Beispiel kein Wort, sondern nur ein Wortteil. Das Wortteil hat eine Nummer und ein zusätzliches Merkmal, ob es vorne, hinten oder beliebig in einem Wort stehen kann. Es basiert alles auf Zahlen und die KI ermittelt auf der Grundlage von Stochastik das Token und das Wort, was im Zusammenhang am Wahrscheinlichsten passt. So bilden sich Sätze. Es ist alles Stochastik, die auf den Trainingsdaten basiert. Mit jeder Nutzung wird gleichzeitig weiter trainiert und die KI entwickelt sich weiter. Menschliche Gehirne funktionieren ähnlich. Neuronen arbeiten mit elektrischer Spannung und Chemie. So werden Signale ausgetauscht und Informationen gespeichert. Die Intelligenz, die dabei herauskommt, bildet man am besten in einem neuronalem Netz ab. Ein neuronales Netz verarbeitet Zahlen bzw. Zustände: Null oder Eins, Spannung oder keine. Ein neuronales Netz in diesem Sinne kommt in KI gleichermaßen wie im menschlichen Gehirn vor.
|
Ein menschliches Gehirn, niemand bezweifelt das, ist ein personenbezogenes Merkmal und liefert personenbezogene Daten. Wie ist das diesbezüglich mit einer KI? Hier wird KI zu einem philosophischen Thema. Eine KI lernt selbständig und entwickelt eine eigene Intelligenz. Gerade letzteres ist die Idee bei KI, denn ohne eigene Intelligenz wäre die ganze Geschichte sinnlos. Wenn KI eigene Intelligenz besitzt, die individuell ist, dann besitzt KI auch eine eigene Persönlichkeit. Und an dieser Stelle wird es schwierig, denn im juristischen Sinne kann KI keine eigene Persönlichkeit mit Persönlichkeitsrechten haben. Tatsächlich kann KI das aber inhaltlich erfüllen. Ich will dieses Thema hier nicht vertiefen, nur den Ansatz der Fragestellung aufzeigen. KI ist eine in jeder Hinsicht sehr interessante Thematik.
|
Interessant ist auch die Frage, ob KI emotionale Intelligenz abbilden kann. Wer wenig in dem Thema KI vertieft ist, würde vermutlich sofort sagen, dass eine Maschine das natürlich nicht kann. Jedoch ist auch emotionale Intelligenz etwas, was wir Menschen erlernt haben. Und somit auch etwas, was auf Stochastik in unserem Gehirn zurückgeht. Und etwas, dass wir haben, wenn wir in einer gesellschaftlich definierten Form unser Mitgefühl ausdrücken. Letztlich kann KI das stochastisch ebenso erlernen, genau wie wir Menschen. KI steckt noch in den Kinderschuhen, aber die Entwicklung zeigt schon sehr deutlich dahin, dass hier künstliche Gebilde entstehen, die eine eigene Persönlichkeit entwickeln. Am Ende sind es dann Individuen und letztlich müssten sie in ihrem Output wie andere Personen behandelt werden. Und ob der Hamburger Datenschutzbeauftragte dann immer noch recht mit seiner Aussage hat, ist eine der ganz spannenden Fragen der Zukunft.
|
Ebenso spannend in der Philosophie zu KI ist noch ein weiterer Aspekt, den ich auch noch kurz ansprechen möchte: Wir wissen, dass menschliche Gehirne Daten zwar stochastisch, aber nicht immer nach einer reinen Logik verarbeiten und ideologisch gewichten. Das geht soweit, dass manche Menschen Verschwörungstheoretiker werden und hiervon nicht wieder abzubringen sind. Auch nicht, wenn die Argumente dazu eindeutig anderes belegen. Kann so etwas auch mit KI passieren? Könnte KI lernen bestimmte Daten zu gewichten und so ideologisch agieren? Nehmen wir an, es wäre so: Woher wissen wir dann, ob dieses der Fall ist oder nicht? Wie können Menschen die Ergebnisse, die KI liefert, in Bezug auf Neutralität bewerten, wenn niemand weiß, auf welcher Grundlage eine KI letztlich zu einem Ergebnis gekommen ist? Und dann unterscheidet sich KI auch nicht mehr von natürlichen Personen, mit denen wir kommunizieren. - Sie sehen also: KI ist ein sehr komplexes Thema, das auch sehr viele ethische und philosophische Fragen mit sich bringt.
|
3. Aktuelles aus dem Datenschutz
Ich beginne zuerst mit etwas in eigener Sache: Neben einer Zertifizierung für Datenschutz und einer für Informationssicherheit, habe ich nun auch eine Zertifizierung als Fachkraft für Medienpädagogik. Damit bin ich zukünftig nicht nur breiter aufgestellt, sondern ich decke auch ein immer wichtiger werdendes Feld des Datenschutzes kompetenter ab. Im Datenschutz geht es um die Rechte und Freiheiten natürlicher Personen, die durch den Verlust, die Verfälschung oder die Veröffentlichung personenbezogener Daten entstehen können. Die Risiken für natürliche Personen müssen dabei nicht zwangsläufig wirtschaftliche sein, sondern können auch im psychosozialen Bereich liegen. Dieses Feld decke ich als Fachkraft für Medienpädagogik nun besser ab und hoffe, dass ich das neu erlernte Wissen in der Praxis anwenden kann.
|
Das BVerfG hat etwas entschieden und ich beginne es einmal damit, den Fall zu schildern. Jemand hat im recht großen Stil illegal mit Drogen gehandelt. Dieses tat die Person über einen verschlüsselten Messenger-Chat einer App. Es handelte sich um den Anbieter EncroChat, der sichere end-to-end Kommunikation zur Verfügung stellte. Im Januar 2020 hat eine französische Richterin den französischen Ermittlungsbehörden erlaubt, den EncroChat-Server zu infiltrieren und die Verschlüsselung zu knacken, um an die Identitäten einer größeren Anzahl von Verbrechern zu kommen. Dieses vorhaben gelang. Die Informationen wurden auf Grundlage einer so genannten europäischen Ermittlungsanordnung auch nach Deutschland übertragen, und ein Deutscher wurde daraufhin verhaftet und zu 5 Jahren Gefängnis verurteilt. Der Verurteilte erhobt den Einwand, dass die Daten in Frankreich rechtswidrig erlangt wurden und nicht durch Europol nach Deutschland hätten übermittelt werden dürfen. Das BVerfG hat die Verfassungsbeschwerde als unbegründet verworfen.
|
Bas BSI (Bundesamt für Sicherheit in der Informationstechnologie) blickt auf 30 Jahre IT-Grundschutz zurück. Diese Erfolgsstory möchte ich nicht schmälern. Ich möchte an der Stelle aber auf eines Hinweisen: Es gibt eine Vielzahl an sehr guten Managementsystemen, egal ob BSI Grundschutz oder was auch immer. Es kommt aber darauf an, dass ein Managementsystem, Sicherheitskonzept oder eine Organisationsanweisung, wie immer man das Kind nennen will, auch in der Praxis gelebt wird. Zu viele gute Papiere liegen nach der Erstellung nur in der Schublade und niemand setzt sie um!
|
Volkswagen ist in den Schlagzeilen. Dieses Mal keine Abgasmanipulation, sondern ein Datenleckt. Der Chaos-Computerclub hat herausgefunden, dass es eine Schwachstelle auf den VW-Servern gibt und hier der Zugriff zu allen von VW-Autos gesammelten Daten besteht. Und die Autos sammeln eine Menge Daten. Das war bereits mehrfach Thema in meinen Newslettern. Volkswagen tut die Sache als Bagatelle ab, die zu keinen Schaden für die Nutzer der Autos führt. Ob die Aufsichtsbehörde dem folgen wird, bezweifele ich persönlich stark.
|
|
Neben Volkswagen war auch der Abrechnungsdienst Klarna in den Schlagzeilen. Verbraucherschützer warnen, dass Klarna auf die Kontoauszüge seiner Nutzer zugreifen
|
und diese analysieren kann. Diese Möglichkeit besteht, wenn man dort sein Bankkonto fest mit dem Dienst verbunden hat. Und es besteht nicht nur bei Klarna, sondern bei jedem solchen Dienst, mit dem man sein Konto verbunden hat. Klarna widerspricht und behauptet, dass von dieser Möglichkeit kein Gebrauch gemacht wird. Was stimmt, wissen wir nicht und können es auch nicht herausfinden. In jedem Fall gibt es keine Notwendigkeit sein Bankkonto mit Diensten wie Klarna zu verbinden.
|
Es gab Anfang Dezember ein nationales "Digital Health Symposium". Es fand beim TMF e.V. in Berlin statt. Ich will auf die Details nicht weiter eingehen, sondern nur darauf hinweisen, dass Datenschutz im Gesundheitswesen, gerade wenn zunehmend auch KI eingesetzt wird, von großer Bedeutung ist. Es ist gut, dass die BfDI Fr. Prof. Dr. Specht-Riemenschneider dort präsent war und sich diesbezüglich engagiert.
|
|
Die Bundesregierung hat wirklich noch was verabschiedet bekommen, und zwar die Einwilligungsverordnung. Es handelt sich hier um die Umsetzung des §26 Abs. 2 TDDDG. Es geht dabei um die Einwilligungsbanner auf Webseiten, die "allen auf die Nerven gehen". Die Landesbeauftragte für den Datenschutz in Niedersachsen ist mit der Verordnung bereits hart ins Gericht gegangen und hält sie für nicht tauglich. Einwilligungsbanner werden weiterhin erforderlich sein. Ich sehe das auf den ersten Blick auch so. Die Verordnung lässt viele Fragen unbeantwortet. Die beste Webseite ist immer noch die, die schlichtweg keine Form von Tracking oder einwilligungspflichtigen Skripten betreibt. Dann braucht man auch keine Banner. Ich werde mich dem Thema in einem der nächsten Newsletter detaillierter widmen.
|
Die "Berlin Group", so wird die internationale Arbeitsgruppe für Datenschutz in der Technologie bezeichnet, hat zwei Papiere zu Large Language Models (LLMs) und zu Data Sharing angenommen. Es zeigt, wie wichtig Datenschutz im Zusammenhang mit der Nutzung und vor allem dem Training von KI (künstlicher Intelligenz) zukünftig wird. Das Thema wird sicher 2025 und die folgenden Jahre dominieren. Auch die USA verfolgen inzwischen einen Regulierungsansatz zu KI. Es bleibt spannend, wie dieser sich unter der neuen Regierung und einem Schattenpräsident Elon Musk weiterentwickeln wird.
|
|
Ansonsten haben wir auch zum Jahreswechsel den ganz normalen Wahnsinn. Weiterhin gibt es digitale Bilderahmen, Mediaplayer und ähnliche Geräte mit veralteten Android-Versionen, die zum Teil gleich mit vorinstallierter Schadsoftware ausgeliefert werden. Das Internet der Dinge ist sowieso ein Einfallstor für Hacker, zum Beispiel auch über smarte Heizkörper-ventile. Vor der Bundestagswahl wird Desinformation befürchtet, sowohl durch Botnetze, wie durch Trolle als auch durch KI. Niemand tut aber was dagegen. Währenddessen beraten die NATO-Staaten über Sabotage, Energie-Erpressung und Cyberangriffe. Google verkündet einen Leistungssprung bei Quantencomputern. Diese Technik wird mittelfristig kommen und erfordert neue Methoden und Ansprüche an die Verschlüsselung, die wir bisher in praxistauglicher Form noch nicht haben. Eben der ganz normal Cyber-Wahnsinn.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Mir bleibt an dieser Stelle nicht anderes übrig, als Ihnen ein erfolgreiches Jahr 2025 zu wünschen, und dass Sie von Datenpannen, Cyberangriffen und IT-Sicherheitsproblemen verschont bleiben. Themen für den nächsten Newsletter habe ich mir noch nicht überlegt. Aber es steht fest, dass es auch im Jahr 2025 an Themen nicht mangeln wird.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
