DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Künstliche Intelligenz
Hass und Hetze im Vorfeld der Wahlen
Aktuelles aus dem Datenschutz

1. Künstliche Intelligenz

KI ist das beherrschende digitale Thema. DeepSeek-R1 ist dabei am Ende nur eines von vielen Tools, aber hat das Thema dennoch auf eine andere Ebene befördert. Nun sind auch die Chinesen im Rennen. Überraschend kam es nicht. DeepSeek-R1 ist nicht komplett Open Source, wie es oftmals zu hören ist. Die KI basiert aber auf Open Source. Man kann die Anwendung leicht abändern und für eigene Zwecke nutzen. Es schafft also Möglichkeiten und jeder kann sich sein eigenes "ChatGPT" bauen. Das Monopol, falls Open AI ein solches hatte, ist jedenfalls weg.

Zu DeepSeek ist vor allem eines zu sagen: Die Tatsache, dass es weitgehend offen und anpassbar ist, bringt den Wettbewerb bei KI auf eine komplett neue Ebene. Die Weiterentwicklung von KI als auch günstigere Kosten werden gefördert. Das ist das Gute daran. Das Schlechte daran ist, dass auch Hacker und Cyber-Kriminelle nun ein sehr leistungsstarkes Tool haben, dass sie für ihre eigenen, böswilligen Ziele nutzen können. Es ist zu befürchten, dass DeepSeek auch in der Cyber-Kriminalität zu einem Boom und zu einer neuen Ebene des Vorstellbaren führen wird. Im Jahr 2025 könnte uns damit noch einiges bevorstehen, was bisher keiner auch nur denken möchte.

DeeepSeek kann auch lokal betrieben werden. Dass ist aus Sicht des Datenschutzes interessant. Denn ansonsten fließen die Nutzungsdaten nach China, und wie es dort um den Datenschutz bestellt ist, istbekannt. Bei den lokalen Installationen kommt es sehr auf den Zweck an, der vorgesehen ist. DeepSeek muss dann ggf. trainiert werden. Auch braucht man dafür leistungsstarke Server mit viel RAM, damit es sinnvoll eingesetzt wird. Für private Anwender gibt es kleine, abgespeckte Pakete von 1,5 GB bis 5 GB, die fast überall laufen. Man könnte jetzt lange über technische Details diskutieren. Ich möchte eine inhaltliche Sache betonen, die mir persönlich sehr gut gefällt: DeepSeek-R1 schickt der Antwort seine Überlegungen und Vorgehensweise vorweg. Dieses fördert nicht nur Transparenz, sondern bringt auch strukturiertes Arbeiten auf eine neue Ebene. Ich war bei jedem Einsatz regelrecht vom Lösungsweg begeistert und es fühlte sich an, wie eine Weiterbildung in strukturierten Vorgehen.

Da wir schon bei DeepSeek sind: Der Landesbeauftragte für den Datenschutz in Niedersachsen weißt auf Risiken bei der Nutzung von DeepSeek hin. In den Datenschutz-bedingungen von DeepSeek steht, dass in die KI hochgeladenen Daten, gleich welcher Art, uneingeschränkt gespeichert, weiterübertragen oder analysiert werden können. Und nach chinesischem Recht kann das Unternehmen jederzeit verpflichtet werden, Daten an den Geheimdienst oder die Regierung zu übermitteln. Man sollte also ein Auge darauf haben, welche Daten man in DeepSeek hochlädt und wozu man diese KI nutzt. Dieser Tipp gilt aber für jede KI, wenn auch für die chinesische KI besonders.

Neben DeepSeek gibt es aber auch viele andere Spannende Themen zu KI zu berichten. So hat zum Beispiel die EDSA (Europäische Datenschutzaufsicht) auf Initiative des BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) eine Studie zu KI gemacht. Werden personenbezogene Daten mit einer KI verarbeitet, gilt natürlich der Datenschutz. Diesbezüglich besonders interessant sind die Risiken für betroffene Personen, welche deren Grundrechte durch diskriminierende Verzerrungen verletzen könnten, wenn eine KI mit Daten trainiert wird, die zu einer Voreingenommenheit der KI in den Ergebnissen führt. Ein sehr interessanter Aspekt.

Ein Letztes zu KI: Es heißt ja immer, dass diese so viel Energie, und im Nachgang Wasser zur Kühlung verbraucht. Wettermodelle werden jetzt mit KI erstellt und dabei mit den historischen Wetterdaten der Welt trainiert. Anhand von Wahrscheinlichkeiten sagt die KI dann aus den aktuellen meteorologischen Daten die wahrscheinlichste Entwicklung des Wetters, und somit den Wetterbricht, voraus. Bisher erfolgte das mit sehr komplexen Computermodellen, die auf sogenannten Supercomputern liefen. In Sachen Energie verbraucht KI für die Wettervorhersage nur 1/1000 dessen, was hierfür ein Supercomputer verbraucht. Und ein eher unlustiger Funfact: Die Wetteransagerinnen einiger Fernsehkanäle sind bereits keine echten Menschen mehr, sondern KI generiert. Das spart Geld und die Ressource Mensch, macht gleichzeitig Menschen aber auch arbeitslos.

2. Hass und Hetze im Netz im Vorfeld der Wahlen

Der Wahlkampf ist nun zu Ende. Dennoch geht es im Netz nicht weniger heiß her als zuvor. Die Auseinandersetzungen waren hart. Oftmals wurde der sachliche, politische Kontext verlassen und es wurden persönliche Beleidigungen im Netz gepostet. Im Grundsatz gilt, dass Kommentare zu einer Person auch zu den personenbezogenen Daten zählen und eine Beleidigung einer Person eine rechtswidrige Datenverarbeitung darstellt. Meistens handelt es sich um Taten von natürlichen Personen, die strafbar sind und auch zivilrechtlich verfolgt werden können. Ein unüberlegter Post kann schnell teuer werden. Hate Aid, eine Plattform gegen Hass und Hetze im Netz, weißt darauf hin, dass selbst dort, wo das Verfahren gegen Zahlung an eine gemeinnützige Organisation eingestellt wird, schnell Summen von bis zu EUR 2.000,-- im Raum stehen können. Noch teurer wird es, wenn jemand neben der Strafanzeige auch zivilrechtlich vorgeht und Schmerzensgeld verlangt.

Im Zeitalter von KI, und hierauf möchte ich einmal kurz hinweisen, nimmt auch dieses Geschäft neue Wege. So gibt es zum Beispiel den Fall CSU-Politikerin Dorothee Bär. Sie wurde im Netz unter einem Post als "hirnloser Krapfen" bezeichnet. Dieses ist eine klare Beleidigung und auch als Politikerin muss Frau Bär es nicht hinnehmen, sich so beschimpfen zu lassen. Soweit steht der Sachverhalt nicht in Frage. Jedoch hat sich während des Verfahrens herausgestellt, dass Frau Bär die "SO DONE GmbH" für solche Fälle beauftragt hat. Hier handelt es sich um eine Firma, die das gesamte Internet, vor allem Social Media, mit Hilfe von KI zum Auffinden von Beleidigungen durchsucht. Das Startup selbst versteht sich als Hilfe für Opfer. Es wird nach Beleidigungen gezielt gesucht, diese werden dann für die Opfer geprüft und auch die Prozesskosten finanziert. Es hört sich gut an und ich will es auch nicht schlecht machen. Ob es aber wirklich darum geht Online-Hass zu bekämpfen oder es sich um ein Modell handelt, mit dem man mit Online-Hass viel Geld verdient, ist fraglich. Vermutlich ist es beides. Hiergegen ist der Ansatz von HateAid deutlich moderater und diese Organisation gegen Hass im Netz eine gemeinnützige GmbH. Ich würde in solchen Fällen immer letztere empfehlen.

Noh interessanter wird es beim Löschen von Beleidigungen und Verleumdungen, wenn wir uns einen Fall von Renate Künast angucken, der jetzt vor dem EuGH gelandet ist. Hier geht es im Kern um folgendes: Jemand postet zum Beispiel eine Beleidigung. Das Opfer dieser rechtswidrigen Tat meldet diese an die Plattform. Die Plattform löscht diesen Post dann auch, weil er rechtswidrig ist und die Plattform deswegen dazu verpflichtet ist. Soweit so gut. Inzwischen wurde der Kommentar aber schon zig mal geteilt und auch als Screenshot weiterverbreitet. Die Beleidigung ging also, wie man es heute nennt, viral. Die Frage, die sich jetzt stellt, ist folgende: Muss dass Opfer jede einzelne Verbreitung auf der Plattform suchen und selbst der Plattform melden, damit diese die Löschung vornimmt, oder reicht es aus, dass die Beleidigung einmal gemeldet wird und die Plattform muss dann von sich aus alle auf der Plattform viral gegangenen Kommentare, auch als Screenshot geteilten Bilder von dem Post, selbständig finden und löschen. Gewinnt Frau Künast das Verfahren gegen den Meta Konzern vor dem EuGH, dann wäre Letzteres der Fall. Es wäre ein Meilenstein in der Bekämpfung von rechtwidrigen Inhalten im Netz. Hierneben wandelt sich die Geschichte inzwischen aber auch in eine ganz andere Richtung: So erklärte J.D. Vance, der amerikanische Vizepräsident, jüngst, dass die USA die Strafbarkeit von Beleidigungen und Verleumdungen nicht anerkennen und US-amerikanische Unternehmen solche Inhalte nicht löschen müssen. Die Welt verändert sich, und derzeit nicht unbedingt zum Besseren.

Interessant ist auch ein Urteil des Landgericht München I, in welchem Tiktok verliert und die Niederlage auch anerkennt. Kläger war ein Account-Inhaber, welcher mit seinem Accountnamen als geschützte Marke eingetragen ist. Er hat sich dagegen gewährt, dass Fake-Accounts auf Tiktok unter seinen Namen eröffnet werden. Die Klage belief sich auf Unterlassung und Tiktok ist nun verpflichtet, unter Androhung eines Ordnungsgeldes, dafür Sorge zu tragen, dass keine Fake-Accounts unter der Marke des Klägers auf der Plattform mehr vorhanden sind. Der Markeninhaber muss diese nicht erst melden, sondern Tiktok muss dieses eigenständig sicherstellen. Dieses Urteil ist interessant für alle namensrechtlich geschützten Organisationen und Unternehmen.

3. Aktuelles aus dem Datenschutz

Die italienische Datenschutzaufsicht hat OpenAI wegen Verstößen gegen die DS-GVO mit einer Strafe von EUR 15 Millionen belegt. Die Behörde bemängelt einiges, einschließlich eines Schutzes von Nutzern unter 13 Jahren. Die Aufsicht über OpenAi wechselt demnächst aber von Italien zur irischen Aufsichtsbehörde. Ich bin gespannt, wie man die Sache dort sieht. Regelmäßig ist man in Irland freundlicher zu Internetkonzernen als in anderen Ländern der EU.

Ich glaube, dass ich noch nie etwas von der dänischen Datenschutzaufsicht berichtet habe. Diese gibt es natürlich auch. Und sie ist hat sich mit folgendem Thema an die Öffentlichkeit gewandt: Die Dänische Aufsicht vertritt die Position, dass es wichtig sei, angesichts der aktuellen Fragen hinsichtlich der Besetzung des Privacy and Civil Liberties Oversight Board, eine Ausstiegsstrategie zu haben, wenn man US-Dienste für die Verarbeitung personen-bezogener Daten nutzt. Vermutlich hat die dänische Datenschutzaufsicht hier recht. Was derzeit in den USA passiert ist unvorhersehbar und man sollte einen Plan B haben, wenn man Datenverarbeitung in oder mit den USA betreibt. Allerdings sollte man auch nicht panisch reagieren.

Wenn wir schon bei den USA sind, dann muss ich noch diese Geschichte berichten, bei der ich nicht weiß, ob ich Lachen oder Weinen soll: Arielle Roth, die neue Chefin der NTIA (Amerikanische Telekommunikationsbehörde) stoppt das Ausbauprogramm von Glasfaser in den USA für Haushalte/Gegenden, die mit dem Internet quasi unterversorgt sind. Ihre Begründung dazu, und das ist jetzt kein Scherz: Glasfaser ist "anti-amerikanisch und woke". Unlustiger Funfact: Die einzige Alternative für schnelles Internet ist dann Starlink. Und Starlink gehört Elon Musk. So schließt sich dieser Kreis.

Ein Sicherheitsexperte hat eine Lücke bei Mastercard aufgedeckt. Mastercard dementiert natürlich. Der Artikel findet sich hier. Interessant dabei ist folgendes: Die Sicherheitslücke liegt an einem fehlerhaften DNS-Eintrag. Und dieser Eintrag ist nur deswegen fehlerhaft, weil sich jemand beim programmieren vertippt hatte. Das steht irgendwie sinnbildlich für die gesamte digitale Welt: Einmal kurz vertippen, und der Fehler kann verheerende Folgen haben. Alles bricht zusammen oder man hat auf einmal eine Sicherheitslücke. Fast alles ist durch einen Tippfehler möglich.

Am 11. Februar war der "Safer Internet Day 2025". Zu diesem Anlass haben Mitarbeiter:innen der niedersächsischen Datenschutzaufsicht, im Rahmen der deutschlandweitern Initiative "Datenschutz geht zur Schule", Schulen besucht. Ziel war die Aufklärung zu Risiken, die aus dem Verlust personenbezogener Daten entstehen können. Diese Thema sollte generell in der Schule mehr Platz haben.

Apple und das iPhone machen auch Geschichten: Man hat bei Apple immer betont, dass man keine Hintertüren einbauen wird, um die end-to-end Verschlüsselung der Geräte aufzuheben und Nachrichten mitlesen zu können. Insbesondere auch nicht für amerikanische oder andere Geheimdienst bzw. Ermittlungsbehörden. In Großbritannien wollte die Regierung von Apple eine solche Hintertür erzwingen. Apple sperrte sich dagegen. Das Ergebnis ist nun, dass Apple-Nutzer:innen in Großbritannien iCoud-Daten nicht mehr vollständig verschlüsseln können. Die Regierung hat Apple zu dem Schritt gezwungen.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.

Im nächsten Newsletter möchte ich mal wieder das Thema Barrierefreiheit im Internet behandeln. Im Sommer tritt das neue Barrierefreiheitsstärkungsgesetz 2025 in Kraft. Mit diesem Gesetzgibt es einiges neues zu Beachten.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de