|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. Januar 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Künstliche Intelligenz
- Nachhaltige Nutzung von Digitalisierung
- Aktuelles aus dem Datenschutz
|
1. Künstliche Intelligenz
Es ist kaum zu glauben, wir haben bereits das Jahr 2024, obwohl gefühlt gerade erst 2023 begonnen hatte. Dieses Phänomen ist aber nicht auf künstliche Intelligenz (KI), im Englischen AI, von "Artificial Intelligence", zurückzuführen. Das Thema KI hatte sich in 2023 sehr stark weiterentwickelt und es wird vermutlich das Thema sein, was uns in 2024 und fortan, auf ganz verschiedenen Ebenen, beschäftigen wird.
|
Der erste und unschöne Aspekt an KI ist, dass, wie jede technische Innovation, diese nicht nur von "den Guten" für redliche Zwecke genutzt wird, sondern immer auch von habgierigen Menschen zu nicht so ganz seriösen Zwecken und vor allem auch von Kriminellen für illegale Zwecke genutzt wird. Mit KI ist das leider nicht anders. Diese Regel gilt auch hier. Und KI eröffnet Cyber-Kriminellen ganz neue Möglichkeiten in der Qualität ihrer Angriffe.
|
Die Europäische Union hat einen AI-Act auf den Weg gebracht und wird KI, dass heißt hier vor allem die Nutzung von KI, zukünftig regulieren. Das anstehende Gesetz wird von allen Seiten kritisiert. Den einen geht es viel zu weit, den anderen nicht weit genug. Richtig ist sicher, dass aus Sicht des Verbraucherschutzes viele Fragen zu KI ungeklärt bleiben. Aber die EU geht immerhin einen ersten Schritt und ist Vorreiter auf diesem Gebiet. Kein anderes Land regelt bisher den Einsatz von KI. Ein interessanter Aspekt in dieser neuen Regulierung ist der, dass zukünftig eine Grundrechts-Folgenabschätzung (GRFA) für den Einsatz von KI erforderlich sein wird. Diesen Ansatz halte ich für absolut richtig. Ich stelle mir aber auch die Frage, wer eine solche Folgenabschätzungen in einem Unternehmen tätigen soll: Juristen, IT-Menschen, Datenschutzbeauftragte, Compliance-Spezialisten oder wer? Und inhaltlich ist diese Abschätzung sehr schwierig so zu gestalten, dass man KI am Ende einsetzen darf. In Deutschland gilt grundsätzlich der Schutz des Individuums und niemand darf als Kollektiv-schaden für ein höheres Ziel in seinen elementaren Grundrechten beeinträchtigt werden. Dazu kommt das jüngst ergangene Urteil des EuGH zum Scoring der SCHUFA. Ich sehe keine Szenarien in der Praxis und in einer GRFA, wonach KI dann noch maßgeblich zu einer Entscheidungsfindung eingesetzt werden darf. Nehmen wir einmal PRM (Predictive Risk Modeling), was auch immer mehr für die Sozialarbeit diskutiert wird. Der Einsatz solcher Modelle kann eine GRFA im Kern nicht erfolgreich durchlaufen. Es müsste also in der GRFA eine umfangreiche Risikobehandlung getätigt werden, in welcher am Ende doch maßgeblich der Mensch entscheidet. Hiergegen steht die Betrachtung, dass Entscheidungen von Menschen keineswegs besser sind als die von KI bzw. auch nicht zwangsläufig zu einer richtigen Bewertung führen. Ich will dieses philosophische Thema an dieser Stelle nicht weiterführen, sehe eine wirklich werthaltige GRFA aber als sehr komplex und schwierig an. Die Ressourcen dafür haben meines Erachtens die meisten kleinen und mittelständischen Unternehmen nicht.
|
Grundsätzlich muss man bei KI verschiedene Ansätze betrachten. Zuerst den Einsatz reiner Algorithmen, wo es mehr oder minder nur um die Auswertung großer Mengen von Daten unter verschiedenen Aspekten geht (Data-Mining). In einem weiteren Schritt geht es oftmals dann auch darum Lösungsansätze mit Hilfe von Algorithmen zu erlangen. Ein anderes weiterführendes Feld ist das der "Learning Machine". Hierbei lernt die Anwendung selbständig und entwickelt sich weiter. Dieses darf aber nicht wie ein Lernen, wie wir es im menschlichen Gehirn erleben, verstanden werden. Algorithmen lernen durch die Methode "Beispiel und Versuch" ein Problem möglichst gut zu lösen. Noch einen Schritt weiter gehen die KI basierten neuronalen Netzwerke. In diesem Zusammenhang wird auch oft der Begriff "Deep Learning" verwendet. Diese Form von KI bekommt durch die fortschreitende Entwicklung der Quanten-Technik zusätzliche Bedeutung. Es werden hierbei eine große Anzahl von Prozessoren in Zusammenarbeit eingesetzt, die nicht nur selbständig lernen, sondern sich hierbei auch von den ursprünglichen Algorithmen wegbewegen, um selbständig zu neuen Erkenntnisebenen zu gelangen. Letztlich gilt aber auch bei solchen Modellen weiterhin, dass das Ergebnis von den Trainingsdaten abhängt. Und das kritische hierbei ist, dass eine hohe Komplexität im "Deep Learning" letztlich dazu führt, dass kein Mensch mehr nachvollziehen kann, wie eine KI zu einem Ergebnis gekommen ist. Man wird damit entmündigt. Und das insbesondere dann, wenn Quanten-Prozessoren parallel geschaltet werden, da hier Rechenprozesse in einer Quantität möglich werden, die in Worten, für die Vorstellung eines Menschen, nicht mehr deutlich gemacht werden können.
|
Ganz anders hingegen setzen Cyber-Kriminelle KI ein. Den Kriminellen geht es vor allem darum ihre Prozesse potentielle Opfer zu erreichen zu automatisieren. In den analogen Zeiten war es so, dass, wollte man eine Straftat begehen, man diese umfangreich planen musste. Beliebt war es eine Bank zu überfallen, weil dort das Geld war. Hierzu musste man zuerst das Objekt lange auskundschaften sowie Methoden und Wege finden, den Raub zu begehen. Man brauchte auch mehrere Komplizen und alle mussten als Person vor Ort sein. Die Täter brauchten also Wochen, um eine solche Straftat durchzuführen, und erreichten dabei nur eine einzige Bank. In der digitalen Welt sieht das ganz anders aus. Ein Täter kann überall in der Welt an seinem Rechner sitzen und von dort so gut wie jeden Menschen als auch jedes Objekt auf unserem Globus erreichen. Und dank Automatisierung erreicht dieser Kriminelle nicht nur ein Ziel, sondern mehr oder minder zig Tausende gleichzeitig. Die Masse macht es. Eines der potentiellen Opfer, die erreicht werden, wird unachtsam oder ist naiv und klickt auf einen schädlichen Link etc. So einfach ist das Geldverdienen für Cyber-Kriminelle heutzutage. Durch KI hebt sich dieses illegale Geschäft auf eine neue Ebene. Bisher waren Massenangriffe so gut wie nicht personalisiert. Phishing-Mails begannen mit "Lieber Kunde", anstatt des individuellen Namens des Empfängers. Der Aufwand hierbei war zu groß für Cyber-Kriminelle. Mit KI ändert sich das. Phishing und Erpressung in jeder Form kann jetzt automatisiert erfolgen. Die KI übernimmt dabei das Personalisieren und den gesamten Service. Ein Algorithmus durchforstet Webseiten. Er findet dort Namen, Kontaktdaten, Tätigkeiten und mehr. Diese werden automatisiert verarbeitet, personalisiert und in perfekter Sprache des Empfängers diesem als Phishing oder Erpressung zugeschickt. Gibt es dazu noch Bilder, wird mit Hilfe von Fotomontage die betroffenen Person in Szenen geschnitten, die tatsächlich nie passiert sind. Durch den Einsatz des so genannten Spoofings, wo der Empfänger glaubt, dass der Absender aus dem eigenen Unternehmen stammt, ist das Phishing kaum mehr zu erkennen. Die Cyber-Kriminellen programmieren das ganze nur einmal, und dann geschieht der Rest von alleine. Solche Bedrohungsszenarien werden sich in 2024 und in den kommenden Jahren rapide ausbauen und Phishing sowie Cyber-Erpressung auf ein ganz neues Niveau heben.
|
Und wenn KI personenbezogene Daten verarbeitet, kommt zusätzlich auch noch der Datenschutz ins Spiel. Dann gilt zuerst der Art. 22 der DS-GVO: Eine Entscheidung darf nicht ausschließlich auf automatisierten Verfahren getroffen werden. Es muss also auch noch ein Mensch in der Entscheidung mitwirken. Ob dieser Mensch zu 1%, zu 10% oder zu mindestens 30% mitwirken muss, sagt der Art. 22 DS-GVO leider nicht. Die letztendliche Feststellung, ob dem Grundsatz genüge getan wird, obliegt dann einem Gericht. Kommen besonders schutzwürdige personenbezogene Daten ins Spiel, dann wird es noch komplizierter und es geht nur mit einer Einwilligung oder einem Gesetz, dass die Verarbeitung in dieser Form ausdrücklich erlaubt. Und weil es immer noch viel zu einfach wäre, kommt dann noch der Art. 35 Abs. 3 lit. a) DS-GVO hinzu, der vorschreibt, dass in jedem Fall eine Datenschutz-Folgenabschätzung (DSFA) gemacht werden muss. Man könnte sagen, dass das dann ganz praktisch ist, weil man zukünftig ja auch eine GRFA (Grundrechts-Folgenabschätzung) machen muss. Das lässt sich prima verbinden. Die Frage ist nur, wohin das dann führt und wie man argumentieren soll, dass der Einsatz von KI noch irgendwie legitim wird. Dieses kann letztlich nur darin enden, dass die Rechte und Freiheiten natürlicher Personen dadurch gewahrt werden, dass eine sehr detaillierte Abwägung, und auf dieser Basis eine Risiken-Behandlung, entworfen wird, welche den Einsatz der Erkenntnisse aus KI zur Entscheidungsfindung auf ein Minimum reduziert und einem Menschen die Hauptverantwortung im Prozess auferlegt.
|
Ich denke, dass ich damit verdeutlichen konnte, dass der Einsatz von KI in Unternehmen zukünftig zu einer komplexen Methodik der betrieblichen Prozesse führen wird. Das ist zum einen, aus Sicht der Verbraucher, sehr zu befürworten. Zum anderen fehlen hierfür aber die Ressourcen in den Unternehmen, und diese Prozesse können sehr leicht und weitreichend zu einem gewünschten Ziel hin verbogen werden. Lassen wir uns überraschen, wie das zukünftig in der Praxis ablaufen wird.
|
2. Nachhaltige Nutzung von Digitalisierung
Passend zum Thema KI hier einmal eine wichtige gesellschaftliche Fragestellung, die nicht grundsätzlich eine Datenschutzfrage ist, aber am Ende auch in dieses Thema reinspielt: Die nachhaltige Nutzung der Informationstechnologie. Ich erkläre diesen Ansatz einmal anhand unserer Schulen.
|
Schüler*innen kommen in Person, also in physischer Präsenz, an unsere Schulen. Sie werden dort ermächtigt, im Sozialraum Schule, wo sie in Person miteinander zusammen sind, so zu interagieren und zu kommunizieren, dass sie lernen im persönlichen Kontakt mit anderen Menschen sozial zurecht zu kommen. Und darüber hinaus setzt Schule auch den Bildungsauftrag um. Den Kindern und Jugendlichen wird Wissen vermittelt und sie werden ermächtigt, das erlernte Wissen zu bewerten und mit verschiedenen Methoden zu nutzen, um so Aufgabenstellungen zu lösen. Die Digitalisierung hingegen hat einen komplett gegenteiligen Ansatz: Sie möchte die Menschen in den virtuellen Raum holen, Kinder und Jugendliche einbegriffen. In der "Latest Vision" möchte die Digitalisierung nicht nur das, sondern den virtuellen Raum mit der "augmented Reality", dem erweiterten Raum, und dem "Real Life" zu einem Metaversum verbinden und die Menschen aus physischen Sozial-räumen in virtuelle Sozialräume und ein Metaversum transferieren. Die Digitalisierung will letztlich den physischen Sozialraum von Menschen minimalisieren, sprich so weitgehend wie möglich abschaffen. Die Ermächtigung der Menschen in physischer Präsenz miteinander zurechtzukommen, ist daher auch kein Anliegen der Digitalisierung. Gleiches gilt für den Bildungsauftrag. Sie kennen sicher den Slogan der Digitalisierung "Es gibt für alles eine App!". Die Digitalisierung verfügt über das Wissen der Menschheit, dass sich im Internet befindet. Die Digitalisierung sieht daher keine Notwendigkeit Menschen Wissen zu vermitteln, denn das benötigte Wissen kann jederzeit digital abgerufen werden. Die Digitalisierung möchte die Menschen auch nicht ermächtigen Wissen zu bewerten und ihnen keine Methoden vermitteln Wissen anzuwenden. Dafür hat die Digitalisierung jede Art von Anwendungen, also Apps oder KI, die den Menschen das abnehmen sollen. Und letztlich müssen dann auch Menschen nicht mehr selbständig Probleme lösen, sondern Apps und KI tun das für sie. Der Mensch wird nicht als Wesen mit eigener Handlungskompetenz verstanden, sondern lediglich als Nutzer*in der Anwendungen der Digitalisierung, die dabei nicht verstanden und hinterfragt werden sollen. In der "Latest Vision" möchte Digitalisierung also den Menschen, sowohl hinsichtlich der Kompetenzen im physischen Sozialraum als auch der eigenständigen Lösungsfähigkeit von Problemen, entmündigen und verkauft das als Fortschritt der Menschheit.
|
Der Ansatz der nachhaltigen Nutzung von Digitalisierung ist dagegen der, dass digitale Technik nur, und nur soweit eingesetzt wird, wenn
|
- daraus ein Mehrwert für Menschen besteht,
- Menschen nicht als Entscheider entmündigt werden,
- Menschen nicht ihrer Handlungskompetenzen beraubt werden und
- Menschen ihr physischer Sozialraum angemessen belassen wird.
Dieses Konzept macht durchaus Sinn, denn wir sehen heutzutage bereits viel zu oft, dass Menschen von der Digitalisierung beherrscht werden, die Digitalisierung im Mittelpunkt ihres Lebens steht, Probleme nicht mehr selbständig gelöst werden können und Sozialraum-kompetenzen verloren gehen. Dieses nicht selten mit schweren psychischen Auswirkungen auf ein Individuum. Und hier haben wir dann auch den Bogen zu einer Grundrechts-Folgenabschätzung, wie schon oben erwähnt, gefunden.
|
Und letztendlich schneidet sich die Geschichte hier auch wieder mit dem Datenschutz, denn um so weiter Menschen durch Digitalisierung entmündigt werden, desto mehr werden deren personenbezogene Daten verarbeitet oder man nutzt automatisierte Entscheidungs-verfahren. Alles ist ein Kreislauf und miteinander verbunden. Und wenn wir das derzeitige Marketing der Technologie-Konzerne hören, wonach die Digitalisierung und deren Weiterentwicklung die Lösung aller Probleme darstellt, dann ist das nur eine Sichtweise unter vielen, und die Sichtweise derjenigen, die damit ihr Geld verdienen. Digitalisierung nachhaltig im oberen Sinne oder ganz anders zu gestalten, ist ebenso ein mögliches Zukunftsszenario und niemand weiß zum jetzigen Zeitpunkt, wohin die Reise geht.
|
3. Aktuelles aus dem Datenschutz
Ich feiere das BSI (Bundesamt für die Sicherheit in der Informationstechnologie). Sie haben definitiv nicht meinen letzten Newsletter gelesen und als Vorlage genommen, aber man könnte es fast meinen: Das BSI berichtet im eigenen Newsletter, dass man ein "Projekt zur Reduzierung von Dokumentationsaufwänden" ins Leben gerufen hat. Ziel ist es, alle Dokumentationen auf ein Minimum des notwendigen zu reduzieren. Das macht sowas von Sinn und der Ansatz sollte auch im Datenschutz verfolgt werden, weil niemand diese ganzen Dokumentationen, die am Ende nie jemand braucht, mehr tätigen kann.
|
Wenn wir schon beim BSI sind: Für 2024 wird die Einführung von Schulungen zu einem BCM-Praktiker geprüft. BCM steht für "Business Continuity Management". Das BSI bietet bereits Schulungen zum IT-Grundschutz-Praktiker an und will nun auch Schulungen zur Umsetzung des BSI-Standards 200-4 (BCMS) machen. Der Ansatz ist sicher sehr sinnvoll.
|
Zum Thema KI, es verfolgt uns also schon jetzt, wird zunehmend der § 44b des Urheber-rechtsgesetzes diskutiert. Hier geht es um den Vorbehalt des Urhebers gegen ein Text- oder Data-Mining der eigenen Texte auf Webseiten. Man könnte dieses technisch sehr einfach regeln, indem man sagt, dass dieses in der "robot.txt", eine für Suchmaschinen relevante interne Anweisungsdatei auf Webseiten, bestimmt wird. Der Gesetzgeber mag es aber, wie immer, nicht einfach. Somit funktioniert der Vorbehalt im Sinne des § 44b UrhG nicht, weil er technisch nicht umsetzbar ist.
|
Das BSI hat sich mit den französischen Partnern, die entsprechende Behörde dort heißt ANSSI, zusammengetan und gemeinsam will man Verfahren für sichere Video-Identifikation voranbringen. Hintergrund ist der, dass sich im Rahmen der eIDAS-Verordnung (hier ein Artikel der Heise Medien, der eIDAS gut erklärt) bis 2030 rund 80 Prozent der EU-Bürger online im Web mit einer elektronischen digitalen Identität, EUid, ausweisen können sollen. Dazu wird vermehrt Videoidentifikation eingesetzt werden müssen, die aber anfällig für Identitätsdiebstahl ist. Ferner stellen sich Fragen zur Netzfreiheit, zum Datenschutz und zur Gefahr der Überwachung von Bürger*innen.
|
Ich las bei den Kollegen der IITR aus München einen Artikel zum Urteil des BVerfG vom 15. Dezember 1983 zur Volkszählung. Ich war damals 11 Jahre alt und interessierte mich überhaupt nicht für sowas, kann mich aber noch sehr gut erinnern, wie es in allen Nachrichten war und von jedem diskutiert wurde. Damals entstand das Recht auf informelle Selbstbestimmung und es war auch ein Meilenstein des Datenschutzes, ohne den es Datenschutz, wie wir ihn heute kennen, nicht gegeben hätte. 40jähriges Jubiläum des Urteils und man kann gratulieren.
|
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), er darf vorerst, bis man sich über die Nachfolge oder eine weitere Amtszeit in Berlin geeinigt hat, im Amt bleiben, hat in einer Presseerklärung sein Engagement für DFFT ausgebreitet. DFFT steht für "Data Free Flow with Trust" und da haben wir eines der Probleme unserer Zeit: Es gibt viel zu viele Abkürzungen, die niemand mehr versteht und behalten kann. Gleichzeitig auch zu viele Gremien, Prozesse und Regulierungen, die alle wichtig sind, die aber kein Mensch mehr alle kennen kann. Freier sicherer Datenverkehr in der Welt ist hingegen ein ganz wichtiges Thema unserer Zeit und das Engagement des BfDI für DFFT sehr lobenswert.
|
Das jüngst ergangene EuGH-Urteil zur SCHUFA und der Einschränkung von Score-Werten zur Entscheidungsfindung, ich hatte es oben schon erwähnt, ist eine bedeutende Entscheidung. Es hat keine unmittelbare Wirkung auf das Geschäftsgebaren der SCHUFA, sehr wohl aber für deren Geschäftspartner, die diese Modelle nutzen. In der Praxis wird man sich schwer tun, das Urteil umzusetzen. Es stehen Verbrauchern mit dieser Grundsatzentscheidung nun aber Klagewege offen, dies es vorher so nicht gab.
|
In Polen wurde bei der Wartung von Zügen offensichtlich ein Kill-Switch seitens eines Herstellers eingesetzt. Die Geschichte lief so: Der Hersteller verlor den Wartungsauftrag bei einer Ausschreibung an ein günstigeres Unternehmen. Als dieses neue Unternehmen die Züge gewartet hatte, ließen sich diese danach nicht mehr starten. Der Grund war unbekannt. IT-Spezialisten nahmen sich der Sache an und fanden heraus, dass es eine Software gibt, die den Start der Züge verhinderte, nachdem sie in der Wartung waren, und offensichtlich vom Hersteller installiert wurde. "Kill-Switch-Technologie", vermutlich viel öfter und nicht nur in Polen eingesetzt, als wir es merken. Kaputt oder nur digital lahmgelegt, um so eine Reparatur oder ein Neugerät zu verkaufen?
|
Und im ganz normalen Wahnsinn gab es eine Welle von Amazon-Betrugsmaschen mit Liefer- und Zahlungsbetrug. Auch der neue Online-Shop "Temu" litt unter gefälschten Zustellungsmitteilungen von Cyber-Kriminellen. Ein neues Sicherheitsrisiko gibt es bei Bluetooth. Es nennt sich "Bluffs" und besitzt eine recht hohes Gefährdungsrisiko. Booking.com wurde mit einer Hotel-Malware zum Zweck von Datendiebstahl angegriffen. Gefälschte Updates mit Malware gab es bei Apple. Und es ist also alles wie immer und wird sich auch 2024 nicht ändern.
|
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter wird es in jedem Fall weniger KI lastig und nicht ganz so philosophisch werden.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
