|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 03. Mai 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Tätigkeitsbericht des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)
- ChatGPT und künstliche Intelligenz
- Aktuelles aus dem Datenschutz
|
1. Tätigkeitsbericht des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)
Der BfDI ist nicht nur unser oberster Datenschützer, sondern hat sehr viele Funktionen, in welchen er die Rechte von Bürgern schützt. Er stellt einen wichtigen Bestandteil unser Demokratie dar, sowohl als Kontrollinstanz als auch als Ratgeber für die Bundesbehörden.
|
In seinem Bericht sind sehr unterschiedliche Themen zu finden, zum Beispiel auch das Thema der Verarbeitung von personenbezogenen Daten zu Forschungszwecken. Dieses stellt gerade in der Gesundheit eine wichtige Grundlage für wissenschaftlichen Fortschritt dar. Hierbei kommt es darauf an, dass personenbezogene Daten stets verschlüsselt gespeichert und übertragen werden sowie zum frühestmöglichen Zeitpunkt pseudonymisiert oder anonymisiert werden.
|
Die Europäische Kommission hatte bereits im Frühjahr 2021 einen Entwurf zur Regulierung des Einsatzes von KI (künstlicher Intelligenz) vorgelegt. Der BfDI befasst sich mit dieser Thematik, die gerade in den Zeiten von ChatGPT & Co., besondere Bedeutung hat, und untersucht die Interaktionen mit dem Datenschutz. Auch bei künstlicher Intelligenz muss der Datenschutz gewahrt bleiben. Diese Problematik stellt sich insbesondere bei der geplanten CSAM Verordnung der EU. Hierbei geht es um das Auffinden von Materialien mit sexuellen Kindesmissbrauch im Internet, welches die Voraussetzung für die Rechtsverfolgung der Täter und den Schutz der Opfer darstellt. Die Wichtigkeit der staatlichen Organe effektiv auf diesem Gebiet vorgehen zu können, bestreitet dabei natürlich niemand. KI-Tools könnten hierbei helfen. Allerdings stellen sich dabei auch gravierende Datenschutz-Fragen. Der Verordnungsentwurf sieht eine anlasslose, flächendeckende Chatkontrolle aller Dienste, eingeschlossen Bilder, Text und Audio, durch die jeweiligen Betreiber vor. Damit würde auch jede end-to-end Verschlüsselung ausgehebelt werden. Ob dieser Ansatz eine effektive Maßnahme für das verfolgte Ziel darstellt, ist höchst umstritten. Damit ist der ganze Ansatz sehr fraglich. Eine Einschätzung, die auch der BfDI teilt.
|
In Bezug auf Webseiten führt der BfDI die Entscheidungen der österreichischen, italienischen und französischen Aufsichtsbehörden aus, die den Dienst Google Analytics als nicht DS-GVO Konform einstufen. Daneben befasst sich der Bericht auch mit dem Thema des Einsatzes von CDN (Content-Delivery-Networks) in Webseiten. Dieses Thema war im Zuge der Zensus 2022 Umfrage des ITZ-Bund in den Focus gerückt, wo ein US-amerikanischer CDN-Anbieter genutzt wurde. Den Ausführungen kann man entnehmen, dass dieses so nicht rechtens war, aber CDN-Anbieter durchaus datenschutzkonform genutzt werden können.
|
Der BFDI beschäftigt sich auch mit den Verfahren für die Verfolgung von Geldwäsche und dem Hinweisgeberschutz. Bei letzteren ist der Tätigkeitsbericht leider schon geschrieben worden, als noch nicht bekannt war, dass der geplante Gesetzesentwurf der Bundes-regierung zum Hinweisgeberschutz wieder zurückgezogen wird. Der BfDI hatten diesen Ansatz eine durchaus positive Würdigung zugesprochen.
|
|
EES und ETIAS sind Begriffe aus der Gesetzgebung zu Geheimdiensten. Gerade hier ist Datenschutz besonders wichtig, denn niemand möchte unberechtigt in das Visier eines solchen Dienstes kommen. Auf europäischer und internationaler Ebene soll die Zusammenarbeit verbessert werden und hierfür sind zahlreiche neue Gesetze in Arbeit.
|
Auch bei der jüngst begonnen Umsetzung eines IT-Großprojektes zur effektiveren Daten-verarbeitung bei der Polizei (P20) ist der BfDI involviert und achtet auf die Wahrung der Rechte der Bürger*innen unseres Landes. Bereits 2019 hatte der BfDI das BKA um eine Übermittlung des Verzeichnisses der Verarbeitungstätigkeiten gebeten, welches er bis heute nicht erhalten hat. Mutmaßlich gibt es keines, so meine Spekulation, und es ist dieser Behörde offensichtlich egal. Der BfDI hat nun eine Beanstandung ausgesprochen, was auch keine Konsequenzen mit sich bringt und der Behörde genauso egal sein dürfte. Ebenso, wie es auch dem Bundespresseamt egal ist, dass deren Facebook Fanpage nicht DS-GVO konform ist. Man stellt den Dienst trotz Aufforderung durch den BfDI nicht ein. Auch die Kooperation der Bundespolizei bei der Kontrolle des Einsatzes von anlassbezogener automatisierter KFZ-Kennzeichenerfassung hält sich sehr stark in Grenzen. Manchmal könnte man sagen, dass der Staat glaubt über seinen eigenen Gesetzen und auch schon mal über dem BVerfG zu stehen.
|
Im Bereich der Informationsfreiheit setzt sich der BfDI aktiv für die Schaffung und Umsetzung eines umfassenden Transparenzgesetzes ein, welches politische Entscheidungsprozesse und Informationen besser öffentlich zugänglich machen soll. Dass die Politik hiervon nicht begeistert ist, kann sich wohl jeder vorstellen.
|
Erneut moniert der BfDI auch wieder einen "Wildwuchs" bei der Sicherheitsüberprüfung von Personen. Neben dem SÜG gibt es zahlreiche anderer Gesetze, welche Sicherheits-überprüfungen vorschreiben. Diese sind oftmals sehr unterschiedlich geregelt und werfen natürlich Fragen zu Datenschutz und Informationssicherheit auf.
|
Und so zieht sich ein Kampf des BfDI gegen Windmühlen durch den ganzen Bericht. Es gibt einige wenige Erfolge, aber meistens läuft der BfDI bei den Behörden nur gegen Wände. Es geht ihm hier also nicht viel anders als den meisten Bürgern, wenn man Kritik hat und etwas verändern will.
|
2. ChatGPT und künstliche Intelligenz
Ich komme nicht um dieses Thema herum, denn jeder hat es gehört und jeder spricht mich darauf an. Künstliche Intelligenz ist natürlich immer dann ein Thema für den Datenschutz, wenn damit personenbezogene Daten verarbeitet werden. Ist dieses nicht der Fall, ist es auch erst einmal kein Thema des Datenschutzes. Dennoch stellen sich Fragen.
|
ChatGPT funktioniert letztendlich genau so wie eine Google Suche, nur dass zusätzlich das Ergebnis der gefundenen Informationen gleich in einem fertig verfassten Text geliefert wird. Intransparent ist dabei der Algorithmus. Niemand weiß, welche Quellen und Webseiten für die Beantwortung genutzt werden und nach welchen Kriterien die Antwort erstellt wird. Es gibt also ein Problem der Intransparenz. Bei der Suche in Suchmaschinen, die einen zu bestimmten Webseiten führen, ist diese Transparenz gegeben. Man kennt sodann die Quelle, die die Informationen zur Verfügung stellt. In Bezug auf das objektive Ergebnis der Informationsgewinnung macht dieses aber keinen Unterschied. Auch wenn der Algo von ChatGPT nicht bekannt ist, so kann man an Hand der gelieferten Ergebnisse sagen, dass dieser Algo den Anspruch hat möglichst sachlich und objektiv zu sein. Dieser Anspruch wird mal mehr, mal weniger erreicht, aber er ist vorhanden. Hiermit wird regelmäßig ein besseres Ergebnis erzielt, als wenn durchschnittliche Menschen googlen. Grund dafür ist die meist fehlende Medienkompetenz Inhalte nach ihrer Qualität bewerten zu können. Man liest, was zuerst in den Suchergebnissen erscheint, und geht davon aus, dass es "richtige Information" ist, weil jemand es ins Internet geschrieben hat. Natürlich ist es tatsächlich nicht so. Man muss die Quellen bewerten und auf Seriosität untersuchen. Genau daran mangelt es aber in der Gesellschaft. Wir wurden nicht dafür ausgebildet und auch in unseren Schulen werden die Kinder und Jugendlichen nicht dafür ausgebildet. Man glaubt wahllos alles, was man findet, und hält es für seriöse Information. Dieses ist sehr bedenklich. ChatGPT ist hier die bessere Lösung, wirft aber gleichzeitig die entscheidende Frage auf: Was, wenn jemand den Algo einer KI so einstellt, dass keine möglichst objektiven Antworten herauskommen, sondern eine Ideologie propagiert wird? Und damit wird KI zu einem kritischen gesellschaftlichen Thema, dass in der Informationssicherheit angesiedelt ist. Wir brauchen eine Transparenzpflicht für künstliche Intelligenz. Hieran führt kein Weg vorbei.
|
Allerdings kann eine solche Pflicht nur kommen, wenn auch eine wirkliche Transparenzpflicht für Suchmaschinen und Social Media Plattformen kommt. Einige Ansätze gibt es hier bereits, doch laufen diese weitgehend ins leere, da niemand die Richtigkeit der Aussagen zu den Algos überprüfen kann. Transparent wäre es erst, wenn die Algos tatsächlich offengelegt werden oder von unabhängigen Sachverständigen überprüft werden könnten. Hiervon sind wir aber weit weg, denn die unternehmerischen Interessen einer Geheimhaltung überwiegen.
|
In Bezug auf den Datenschutz ist das wichtigste KI-Feld sicher die Ermittlung bei Straftaten durch die Staatsanwaltschaften und ihre untergeordneten Behörden. Auch hier bedarf es klarer Regulierungen, die davor schützen, dass eine KI Unschuldige ins Gefängnis bringt. Der schon über 20 Jahre alte Tom Cruise Film "Minority Report" ist inzwischen ein mehr als realistisches Szenario und zeigt die Gefahren von KI auf diesem Sektor sehr deutlich.
|
3. Aktuelles aus dem Datenschutz
Ich beginne mit etwas irgendwie humorvollen. Privat hatte ich bei einem Unternehmen eine Auskunftsanfrage nach Art. 15 getätigt, weil sich mir Fragen zur rechtmäßigen Verarbeitung meiner Daten stellten. Eine Antwort bekam ich postwendend per E-Mail in einem Satz, und ich zitiere: "Ihre Anfrage ist nicht notwendig, wir halten uns grundsätzlich an alle Gesetze." Das ist eine sehr kreative Beantwortung der Auskunftsanfrage, die ich so auch noch nicht hatte. Ich habe dann mal weiter ausgeholt und nochmal zur Auskunft aufgefordert. Seitdem höre ich nichts mehr. Sollten die 30 Tage fruchtlos verstreichen, nun dann.
|
Die Bundesnotarkammer hat Verhaltensregeln nach Art. 40 DS-GVO für die Notarbranche festgelegt. Dieses in Zusammenarbeit mit dem BfDI. Hierdurch wurden einige unbestimmte Rechtsbegriffe und datenschutzkonforme Abläufe definiert, quasi als Ergänzung bzw. Auslegung der DS-GVO, die jetzt für Notare gelten. Grundsätzlich können Kammern oder Verbände für ihre Branchen hiervon Gebrauch machen. Bisher ist dieses aber nur selten der Fall.
|
Um gleich nochmal auf den BfDI zurückzukommen: Es wurde eine neue Broschüre zum Archivrecht herausgegeben. Auch bei der Archivierung von personenbezogenen Daten müssen der Datenschutz und ggf. auch Persönlichkeitsrechte berücksichtigt werden. Dieses wird umfangreich in der Broschüre zum Archivrecht behandelt.
|
"Emotet", die berühmtberüchtigte Ransomware, ist wieder einmal zurückgekehrt. Sie befindet sich jetzt in Microsoft OneNote Dateien, die durch Phishing E-Mails verteilt werden. Ein Doppelklick auf View, die Schadware wird heruntergeladen und die Verschlüsselung des Systems startet. Welche Gruppe dieses Mal dahinter steckt, ist noch nicht bekannt.
|
Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) warnt vor einer Phishing-Mail mit dem Betreff "Ihr Deutsche Bahn Konto wird deaktiviert". Als ich das las, fragte ich mich, warum diese Warnung gegeben wird? Letztlich kommen jeden Tag tausende solcher E-Mails mit ähnlichen Betreff in unsere Postfächer und wenn wir vor jeder warnen, dann müsste man stundenlang nur noch Warnungen lesen. Fazit: Phishing läuft wie gehabt und niemand sollte auf irgendeinen Link einer solchen E-Mail klicken!
|
Thema sichere Passwörter: Früher sagte man, dass 1234 oder 0000 keine guten Ideen sind. Natürlich auch nicht der eigene Name oder Wohnort, was auch weiterhin so ist. Im Darknet veröffentlichte Passwörter wurden unter diesem Aspekt ausgewertet, und es zeigt sich, dass das neue Taylor Swift Album "Midnights" 186.000 mal als Passwort vorkam. Auch solche Passwörter sind keine gute Lösung.
|
Bei einem Angriff auf die Finanzplattform Euler, so berichtete das BSI, wurden 197 Millionen USD von Hackern erbeutet, mutmaßlich von der Gruppe Lazarus, die Nordkorea zugeordnet wird. Das wirklich erstaunliche an dieser Geschichte ist, dass wenig später 177 Millionen zurückgezahlt wurden. Ob ein schlechtes Gewissen hierfür der Grund war, bezweifele ich persönlich.
|
Der IT-Nachrichtendienst Golem berichtet von einer Hacking-Konferenz im kanadischen Vancouver. Aufgabe war es ein Tesla Model 3 zu hacken, wofür USD 350.000 ausgelobt waren. Ein Forschungsteam, dass an der Challenge beteiligt war, brauchte dafür weniger als 2 Minuten. Das war dann schnell verdientes Geld.
|
Der Stern berichtet, dass Europol eine der größten Hacker-Plattformen der Welt, den Genesis Market, geschlossen hat. Es gab weltweit 208 Durchsuchungen in diversen Ländern mit 119 Festnahmen. Allein in Deutschland wurden 58 Verdächtige identifiziert, gegen die nun ermittelt wird.
|
Und dann gibt es wieder den ganz normalen Wahnsinn: Microsoft warnt vor einer kritischen Sicherheitslücke in Outlook. Es gibt Schwachstellen bei Google, Samsung, Zoom und so weiter sowie ein Datenleck bei Mastodon. Die Stiftung Warentest warnt vor Sicherheitslücken in WLAN-Routern und Google sieht sich genötigt den Chrome-Browser, wegen einer Sicherheitslücke, außer der Reihe zu patchen. Es ist also in der Online-Welt alles wie immer und nichts wirklich sicher.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Thema im nächsten Newsletter wird "Spoofing" werden, eine besondere Form des E-Mail Phishings, dass immer raffinierter wird und stark zunimmt.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
