|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 01. Februar 2025
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen die erste Ausgabe des Datenschutz-Newsletters im Jahr 2025 übersenden zu dürfen und habe heute folgende Themen:
|
- Personenbezogene Daten und die freiheitlich demokratische Grundordnung
- Digitale biometrische Passbilder
- Einführung der elektronischen Patientenakte (ePA)
- Aktuelles aus dem Datenschutz
|
1. Personenbezogene Daten und die freiheitlich demokratische Grundordnung
Im Vorfeld der Wahlen und dem Geschehen in den USA, muss ich dieses Thema leider einmal deutlich ansprechen. Der Ansatz des Datenschutzes ist es, Menschen vor dem Missbrauch ihrer personenbezogenen Daten zu schützen. Mein Beispiel hierfür in Schulungen ist immer die DDR. Die Staatssicherheit (Stasi) hatte auf ihrem Höhepunkt 41 Millionen Karteikarten angelegt: Darin enthalten, neben notierten Informationen zu Personen, 1,85 Millionen Fotos, 3.000 Filme und 20.000 Tonbänder. Das war 1989 und vor der Digitalisierung. 41 Millionen Karteikarten, obwohl das Land nur 16,5 Millionen Einwohner hatte. Man sammelte also auch von Personen aus dem Westen und aus anderen Ländern. Um es zu verbildlichen: Die Stasi hatte 50.000 mittelgroße Aktenschränke voll an personenbezogenen Daten. Legt man die Akten nebeneinander, sind es 111km an Akten.
|
Was stand in den Stasi-Akten? Alles: Namen von Bekannten, Familie und Freunden; wo man hingegangen war; wen man getroffen hatte; Hobbies; was man gesagt hatte; politische Einstellungen; sexuelle Vorlieben, Praktiken und Partner; Krankheiten; das gesamte Privatleben. Letzteres bedeutete, das es in der DDR gar kein wirkliches Privatleben gab. Und diese personenbezogenen Daten wurden zu Zwecken der politischen Kontrolle und der Unterdrückung der Bürger:innen der DDR missbraucht - ohne jeden Skrupel!
|
Die großen Internetkonzerne sammeln ebenso Daten. Wir können davon ausgehen, dass jeder dieser Konzerne inzwischen deutlich über 100 Exabyte Daten besitzt. 100 Exabyte sind 100 Millionen Terrabyte, oder anders ausgedrückt: Es entspricht in Größe ca. 20 Billionen digitaler Fotos. 40 bis 50 Exabyte dürften auf personenbezogene Daten entfallen. Und viele dieser Nutzerdaten sind in der Qualität und Quantität der Inhalte besser als das, was die Stasi jemals zur Verfügung hatte. Dazu kommt inzwischen KI: Hat man nicht die Bilder, Videos oder Inhalte, die man braucht, kann man sie sich machen.
|
Die Frage ist dann nicht mehr: Kann man damit die Rechte und Freiheiten einzelner Menschen, ganzer Gruppen, die politische Meinung oder die Demokratie beeinflussen? Die Antwort ist nämlich eindeutig und heißt Ja. Man muss das nicht mehr fragen und diskutieren. Es geht jetzt nur noch darum, was man tun kann, damit durch den Missbrauch von Nutzerdaten weder Menschen noch unsere freiheitliche demokratische Grundordnung gefährdet werden. Das ist die Aufgabe des Datenschutzes und der Regulierung der Informationstechnologie. Und die Aufgabe war nie wichtiger als heutzutage, im Zeitalter von Social Media, Trollen, Bots und KI. Es liegt an uns, ob wir uns digitale Kompetenzen und Medienkompetenz aneignen oder blind einem Elon Musk & Co folgen, um unter dem Schlagwort "Freiheit", Teile unserer hart errungenen Rechte und Freiheiten zu Grabe zu tragen.
|
2. Digitale biometrische Passbilder
Neue Gesetze gibt es nicht nur am Start eines Jahres, sie können jederzeit in Kraft treten. Ein weiteres kommt zum 1. Mai 2025, nämlich das Gesetz für biometrische Passfotos. Ziel dieses Gesetzes ist es die Manipulation von Passbildern zu verhindern und die Passbildsicherheit zu erhöhen. Wenn Sie nach dem 1. Mai also einen neuen Reisepass oder Personalausweis beantragen, dann können Sie kein Foto mehr mitbringen. Auch die Fotoautomaten für Passfotos dürften dann ausgedient haben.
|
Passfotos für Pässe und Personalausweise dürfen nach dem 1. Mai 2025 nur noch digital übertragen werden. Dieses funktioniert in der Form, dass Sie zu einem hierfür registrierten Fotografen gehen müssen, dieser ein Passfoto schießt und es dann verschlüsselt über das E-Passfoto-System in die hierfür vorgesehene Cloud der Behörden überträgt. Aus Datenschutzsicht gibt es keine Einwände hiergegen: Prozesse und Verfahren sind durch das BSI und die BfDI geprüft und als sicher zu bewerten. Nach Einstellung in die Cloud kann das Passfoto 6 Monate genutzt werden, auch mehrfach. Nach 6 Monaten wird das Foto automatisch gelöscht. Zum Abruf erhält man von seinem Fotografen einen QR-Code, den man bei der Behörde vorlegt.
|
Aus praktischer Sicht der Bürger mag es wie eine Erschwerung klingen, aber letztlich ist diese Änderung richtig und alternativlos. Es ist so sichergestellt, dass das Passfoto wirklich biometrisch richtig und nicht verfälscht ist. Die Methoden des Morphing, gerade auch durch den Einsatz von KI, werden immer besser. Morphing ist das Verfälschen eines Bildes in der Form, dass die biometrischen Eigenschaften einer anderen Person in ein Passfoto eingebaut werden, ohne dass die Person auf dem Bild optisch anders aussieht. Dieses ist inzwischen ein deutliches Sicherheitsthema und die neuen Vorschriften schaffen hier effektiv mehr Sicherheit für alle.
|
3. Einführung der elektronischen Patientenakte (ePA)
Langsam überfordert es mich bei dem Thema noch mitzukommen. So schreibt der niedersächsische Datenschutzbeauftragte kurz vor Einführung, am 10. Januar dazu, dass das flächendeckende Rollout nun doch ab dem 15. Februar vorgesehen ist. Meiner letzten Kenntnis nach war das Rollout bis auf weiteres verschoben. Im Radio spricht man inzwischen davon, dass das flächendeckende Rollout im März oder April kommen soll. Und ebenso schreibt der niedersächsische Datenschutzbeauftragte, dass das Pilotgebiet, neben Hamburg und Franken, auch Nordrhein-Westphalen ist. Unser bevölkerungsreichstes Bundesland als Pilotprojekt; dann können wir auch gleich ein bundesweites Rollout machen.
|
Jedenfalls gab es nun den 15.01.2025 und zu dem Tag wohl auch von jeder gesetzlichen Krankenkasse eine App. Ich bin bei der AOK und kann nur hierfür aus eigener Erfahrung sprechen: Am 15.01. habe ich das lieber nicht angefasst und am 16.01. mal in einem mir bekannten Krankenhaus gefragt, wie es denn so gelaufen ist. Die Antwort war, dass es bisher "nichts Funktionables" gibt und man versucht das Thema zu ignorieren. Ich habe daraufhin mal versucht, mich in der App der AOK neu anzumelden. Nichts ging mehr, es war notwendig die App, sowohl die AOK-Mein-Leben als auch die AOK-Ident App, neu herunterzuladen. Danach ging auch nichts, und man konnte sich nicht anmelden. Ich habe dieses dem technischen Service der AOK gemeldet und der Mitarbeiter am Telefon klang so, als hatte er einen traumatischen Tag. Am 17.01. gab es dann eine Aktualisierung für die AOK-Mein-Leben App. Hiernach konnte man sich wieder anmelden. Den Sicherheits-schlüssel, den man vorher unbedingt herunterladen sollte, braucht kein Mensch. Dafür den elektronischen Personalausweis. Mit den üblichen 4 Versuchen, die man immer beim elektronischen Personalausweis braucht, konnte ich mich anmelden. Ich war drin (ein wenig Feeling, wie Boris Becker bei AOL im Jahr 2000) und die erste Anzeige war die, dass eine elektronische Patientenakte für mich nicht angelegt ist. Über diese Information kam ich auch nicht hinaus. Die einzig andere, nicht blockierte Option in der App, war das eRezept. Wenn ich diesen Bottom geklickt habe, stürzte die ganze App ab und das war es. Ich meldete den Fehler dem technischen Support und die Mitarbeiterin klang traumatisiert, wie ihr Kollege am Vortag. Sie bat um Geduld. Ich fragte, wie viel Geduld. Sie antwortete "einige Tage".
|
Einige Tage später versuchte ich es also, und die ePA war tatsächlich in der App angelegt. Man musste nur ein paarmal vor und zurück, um die Biometrie als Login neu zu starten. Mit dem Trick des Vor und Zurück konnte ich dann auch das eRezept starten sowie die Funktionen Gesundheits-ID und Medikamente-Plan. Alles leer, au´ßer der Gesundheits_ID, die man für die Anmeldung haben muss. Eine Gesundheits-ID ist in der Regel 3 Jahre gültig. Bin gespannt, wann jemand was in die ePA überträgt. Ärzte, die die ePA schon aktiv nutzen, gibt es in meinem Kundekreis und Netzwerk bisher nicht. Erfahrungsberichte auch nicht. Einige Kassen haben offensichtlich Probleme mit schriftlichen Widerspruchserklärungen oder dem Widerspruch generell. Ich behalte die Sache im Auge. Das Pilotprojekt überzeugt noch nicht wirklich.
|
4. Aktuelles aus dem Datenschutz
Vor einem Hotel in Las Vergas, ironischerweise dem Trump-Hotel, explodiert einer von Elon Musks Tesla Cybertrucks. Die Explosion war mutwillig herbeigeführt. Im Rahmen der Ermittlung zu dem Vorfall, sagt ein Polizist in einer Pressekonferenz folgendes: "Ein Spezialisten-Team von Tesla ist auf dem Weg und will es versuchen, die Videoaufnahmen aus dem Innenbereich des Wagens wiederherzustellen und zu exportieren." In einem Tesla befinden sich sehr viele Kameras und nehmen auch den Innenbereich auf. Das wissen wir. Was wir nicht wissen ist, wie lange diese Aufnahmen irgendwo im Auto gespeichert werden und ob solche Daten an Tesla übertragen werden. Aus diesem Vorfall kann man nun ersehen, dass Videodaten offensichtlich nicht zu Tesla übertragen werden. Jedenfalls nicht in der Form, dass sie auf ein bestimmtes KFZ rückführbar sind. Jedoch, dass diese Videoaufnahmen offensichtlich über einen längeren Zeitraum im Auto gespeichert werden. Und wenn diese Videodaten gespeichert werden, können sie auch jederzeit abgerufen und an Tesla übertragen werden. Ob es bei anderen Herstellern anders ist? Ich befasse mich in einem der kommenden Newsletter näher mit dem Thema.
|
Sehr irritierende Ansätze lese ich aus NRW. Hier hat der Generalsekretär der CDU, Carsten Linnemann, ein Register für psychisch Kranke Personen gefordert. Dortige Ermittler der Polizei fordern ferner weniger Datenschutz beim Kampf gegen Attentate, wie das in Magdeburg. In NRW gibt es bereits ein Programm, dass sich "PeRiskoP" nennt. Die Abkürzung steht für "Personen mit Risikopotenzial". Der Fokus hierbei liegt auf Menschen mit psychischen Erkrankungen, die präventiv registriert werden. In diesem Programm wurden, offiziellen Zahlen nach, im Jahr 2024 über 5.000 Personen überprüft und 326 als Risikopersonen eingestuft und überwacht. Dennoch ist man mit der Effektivität nicht zufrieden. Konkret ist die Forderung, dass die Schweigepflicht von Ärzten aufgeweicht wird und Polizeiermittler Zugriff auf Patientenakten dieser Personen bekommen, ohne dass die betroffenen Personen dafür eine Schweigepflichtentbindung geben müssen. Attentate zu Verhindern steht überhaupt nicht in Frage und hat höchste Wichtigkeit. Aber die ärztliche Schweigepflicht, auch die der Anwälte, darf nicht aufgeweicht werden.
|
Ebenso aus NRW und "nicht weniger Strange", kommt das Thema Zugriffskontrolle und Dokumentation der Zugriffe auf digitale Akten. Solche Protokollierungen sind sehr wichtig, um unberechtigte Zugriffe oder Datenpannen aufklären zu können. Sie sind im Rahmen der TOMs auch vorgeschrieben. Das Justizministerium NRW hat nun die Überlegung gemacht, dass solche Logfiles zu viel zu großen Datenmengen führen und auch inhaltlich gar keine Ergebnisse lieferen. Laut den dortigen Überlegungen gibt es ja ein Rollenkonzept und es ist sichergestellt, dass nur berechtigte Zugriff nehmen können. Bei mir Rollen an der Stelle die Augen und vermutlich auch der dortigen Datenschutzaufsicht, der das Anliegen zugeschickt wurde.
|
Und NRW zum Dritten: Das BVerfG war auch wieder aktiv. Es hat einen Teil des Polizeigesetzes von Nordrhein-Westfalen gekippt. Hiernach war es der Polizei erlaubt, längerfristige Observationen durchzuführen und dabei Personen auch mit Hilfe von verdeckten technischen Mitteln zu fotografieren oder zu filmen. Hiergegen hatte eine betroffene Person geklagt und das BVerfG hat final entschieden, dass eine solche Maßnahme nur legitim ist, wenn eine hinreichend hohe und bestimmte Eingriffsschwelle als Anlass für eine solche Observation vorliegt. Mit anderen Worten: Es bedarf für eine solche Maßnahme einer konkreten oder wenigstens konkretisierbaren Gefahr. Ohne konkreten verhältnismäßigen Anlass, der nachgewiesen sein muss, ist so eine Maßnahme verfassungswidrig.
|
"IT-Sicherheit von Millionen Windows-Rechner bedroht", schreibt das BSI (Bundesamt für die Sicherheit in der Informationstechnologie). Sie meinen damit die 32 Millionen Rechner in Deutschland, die noch auf Windows 10 laufen. Das Betriebssystem wird von Microsoft ab Oktober nicht mehr unterstützt. Ein Upgrade auf Windows 11 ist zwingend erforderlich. Ich habe ferner festgestellt, dass Windows 11 auch ein Sicherheitsproblem beim Update hat: Es bleibt im manchen Fällen auf dem Stand 22H2 hängen und das Update auf 23H2 wird nicht mehr automatisch installiert. Gründe sind mir nicht bekannt. Es kann theoretisch jedes Gerät treffen. Man muss das Update 23H2 oder inzwischen 24H2 manuell einspielen. Danach laufen auch die Updates wieder normal.
|
Ich zitiere aus dem Newsletter des BSI folgendes wichtiges Thema: "Immer häufiger kursieren Missbrauchsdarstellungen wie zum Beispiel Nacktfotos von Jugendlichen im Netz und insbesondere in den sozialen Medien. Die Kampagne "Sounds Wrong" der Polizeilichen Kriminalprävention klärt Jugendliche und Eltern über das Thema auf und ermutigt dazu solche Inhalte zu melden." Der link zur Kampagne: https://www.soundswrong.de
|
Ein anderes spannendes Thema aus dem Bereich KI: Die GEMA verklagt "Suno AI" wegen Urheberrechtsverletzungen. Die KI generiert Musik. Diese neuen Songs hören sich aber oftmals so an, wie bereits bekannte, urheberrechtlich geschützte Stücke. Dagegen geht nun die GEMA vor und ich bin gespannt, wie das Verfahren ausgeht.
|
Wen wir schon bei KI sind: DeppSeek-R1 wurde veröffentlicht. Es handelt sich um ein chinesisches Model und hat den Markt für KI quasi wachgerüttelt, da es revolutionär sein soll. In einigen Teilen trifft es auch zu. Dass diese KI komplett "Open Source" ist, stimmt hingegen nicht. Und es gibt auch einige andere fragliche Aspekte. Ich werde mich im nächsten Newsletter wieder mit KI und mit DeepSeek-R1 befassen.
|
|
Der Digitalausschuss des Bundestages hatte übrigens Ende Januar Meta, X (vormals Twitter) und TikTok vorgeladen. Es ging um Zensurvorwürfe und die Einhaltung europäischen Rechts. Die drei Plattformen haben einfach abgesagt und sind nicht zu dem Termin gekommen. Weil sie die Macht haben, das tun zu können. Und genau deswegen brauchen wir Regulierung der Informationstechnologie.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.
|
Eigentlich wollte ich über das Thema Autos, und wie in diesen personenbezogene Daten gesammelt werden, schreiben. Die aktuellen Themen ließen mich aber nicht dazu kommen. Ich versuche es im nächsten Newsletter und werde dort auch wieder über KI schreiben.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
