David Schmidt
Gregor Wortberg
Was ist in der KW 20 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- BKA nutzte Millionen Polizeifotos für Test zur Gesichtserkennung
- Echtzeit-Gesichtserkennung Sorgen wachsen wegen biometrischer Echtzeit-Gesichtserkennung
- Apple steht kurz vor ChatGPT-Deal für iOS 18
- GPT-4o: KI soll Ton, Bild und Text gleichermaßen verstehen
- Sicherheitsupdate für Android 15
- Kooperation von Apple und Google, um Bluetooth-Tracker-Stalkingversuche zu verhindern
- Zahlen oder Zustimmen: Verbraucherschützer verklagen Facebook (KW 7)
- Sicherheitslücke bei Telemedizinanbieter: Rezepte für Canabis sind im Internet
- TTDSG heißt jetzt TDDDG
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/bka-testet-gesichtserkennung-mit-echtdaten-datenschutz-news-kw-20-2024
Transkript zur Folge: Eine kurze Serviceinformation äh wollen wir Ihnen auch noch ich habe gesiezt. Ich habe gesiezt. Nein, warum bin ich. Jesus aufgefallen, stark. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz-Update. Es ist Freitag, der siebzehnte Mai und wie gewohnt, informieren wir euch in unserem Podcast über die aktuellen Entwicklungen aus der Welt des Datenschutzes. Redaktionsschluss war heute um zehn Uhr. Mein Name ist David Schmidt und bei mir ist. Gregor. Hallo David. Hallo Gregor. Über welche Themen möchtest du heute berichten? Ich habe drei Themen mitgebracht heute und zwar einmal die Nutzung von Bildaufnahmen ähm durch das äh BKA zu Testzwecken wie in unserem Titel ja auch schon angekündigt. Dann habe ich Updates von Apple und Android in Hinblick auf die Air Tex und auf das Betriebssystem, Android fünfzehn, sowie einen Datenschutzvorfall bei einem Online-Telemediziner. Den habe ich auch noch mitgebracht. Was steht bei dir denn auf der Liste? Bei mir auf der Liste stehen Updates bei Chat GBT dann gibt es neue Kritik an Zahlen oder zustimmen Modell bei Facebook und das TTDSG hat einen neuen Namen bekommen. In meiner ersten Meldung möchte ich über das BKA berichten. Wie schon eingangs erwähnt und äh zwar hat laut eines Berichts des Bayerischen Rundfunk ähm das BKA, also das Bundeskriminalamt bereits im Jahr zweitausendneunzehn, Bilder von circa drei Millionen Personen zum Test der eigenen Gesichtserkennungssoftware genutzt. Fraglich ist dabei auch insbesondere ob dabei eine gültige Rechtsgrundlage vorgelegen hat. Das BKA-Beauftragte zudem das Fraunhofer-Institut für grafische Datenverarbeitung, um den Test durchzuführen und insgesamt wurden in dem Zuge fast 4,8 Millionen Aufnahmen von drei Millionen Personen aus dem zentralen polizeilichen Informationssystem. Extrahiert. Also schon ein gehöriger Umfang das Ganze. Es geht da vor allem um Front- und Seitenaufnahmen. Personen, die zum Beispiel erkennungsdienstlich behandelt worden sind. Das hatte auch die Sorge, hatte wohl auch ein ein Reporter des BR in seinen in dieser Vorliegenden Bericht ja auch geäußert. Ziel war es die Genauigkeit des Systems im Vergleich mit Produkten anderer Hersteller zu testen. Und das müssen zu spezifizieren, es sind dann noch Listen erstellt worden. Ich glaube, wir könnten uns drauf wiederfinden, falls wir mal bei der Polizei gewesen sind, äh sechsundfünfzigeinhalbtausend Bartträger und 19einhalbtausend Brillenträger wurden da zum Beispiel dann erfasst. Das System da zu trainieren. Laut einem Schreiben des BKA, was dem BR vorliegt, wurde der Test über Computer in einem eigens bereitgestellten Raum ohne Internetzugang am BEKA-Standort in Wiesbaden durchgeführt und die verwendeten Festplatten seien nach Abschluss des Projekts auch, hinreichend zerstört worden und gerechtfertigt wurde der Test mit der hohen Bedeutung der Gesichtserkennung für die Strafverfolgung und Gefahren. Wunderbar herbeigeführt. Wir haben uns erwähnt, steht da jetzt insbesondere die Frage nach einer gültigen Rechtsgrundlage im Raum und das Ganze wurde in der Vergangenheit wohl auch im Jahr 2022 den Bundesdatenschutzbeauftragten. Ulrich Kelber vorgelegt, MBR liegt da auch interne Behördenkommunikation vor und äh das BKA hatte das Projekt als äh interessanterweise als wissenschaftliche Forschung deklariert. Auch sehr schön und äh das Ganze dann auf das BKA-Gesetz oder in einem Gesetz für Strafverfolgungsbehörden dann quasi. Endes äh da sich darauf dann berufen. Der BFDI hat das ganze Vorgehen wohl als problematisch beschrieben und bezweifelte wohl auch, dass es bei den Tests tatsächlich um Wissenschaft ging, um es auch an anderen Rechtsgrundlage mangele, ganz interessant von einer Beanstandung, sagt Kälber jedoch ab angesichts der Komplexität der Rechtslage. Wunderbarer Traum des BFDI hat wohl im Nachhinein die Rechtsgrundlage nochmal geprüft und hat sich dann auf die DSGVO gestützt und eine weitere Details da jetzt nennen zu können. Das das Ganze wohl kritisch ist, hat dann, Vom BER-Beauftragter Rechtsexperte auch noch mal gesagt und zieht sich darauf zurück, dass die Spezialgesetzgebung halt so was halt nicht regeln. Wenn’s dann um polizeiliche Arbeit gehe und die Wissenschaft nicht im Vordergrund stehe, könne auch nicht die DSGVO herangezogen, glaube ganz grundsätzlich lässt das Thema erkennen Clevio AI palentier äh Tests von der Polizei Berlin oder halt auch Sachsen, dass da regelmäßig umfangreiche Verarbeitungen von Gesichtserkennungssoftwaren ähm auf den verschiedenen Ebenen durchgeführt werden und dass da einfach, Regulierung auch nochmal erforderlich ist, um das zu spezifizieren und klarifizieren, was da überhaupt, erlaubt ist, egal von welcher Stelle jetzt an der Stelle. Wie wir immer so sagen, es bleibt spannend, ähm um wieder unser internes Rasenschwein hier zu bemühen und ich glaube, in den nächsten Jahren wird uns das Thema weiterhin beschäftigen. Wie das Portal Heise berichtet, steht Apple kurz vor einer Kooperation mit Open AI, um Jetchi BT-Funktion in das iPhone-Betriebssystem iOS zu integrieren. Zwar betreibt Apple auch eine eigene KI-Strategie, wobei der Fokus nach den eigenen Angaben auf Effizienz und Datenschutz liegen soll. Für das Update auf iOS 18 sollen neben hauseigenen Modellen, aber auch Funktionen von Chatgewicht in das Betriebssystem implementiert werden. Wenn das so kommt, wäre das wohl der nächste große Erfolg für Open Ay. Ich denke, dass kann man schon so feststellen. Zudem hat Open Ai das nächste beachtliche Update für GBT Four angekündigt. Damit soll ein einziges Modell, Audio, Text und Bilder verstehen können. Zudem soll mittels einer Videofunktion die KI live auf die Kamera des Endgeräts zugreifen und beispielsweise die Umgebung interpretieren können. So kann dann zum Beispiel handschriftlich geschriebene Texte auf Rechtschreibfehler untersucht werden. Eine kurze Serviceinformation äh haben wir auch noch im Hinblick auf Android fünfzehn, äh sowie die Sicherheit von Apple Air Text sowie vergleichbaren Bluetooth Trackern äh mitgebracht. Ganz interessante Neuigkeiten gibt’s dabei 115 den neuen Betriebssystem, was sowohl in Zukunft rauskommen soll. Google hat da äh ähm die zweite Beta-Version veröffentlicht und da gibt’s paar interessante Features im Hinblick auf die Datensicherheit oder den Datenschutz und zwar wird er jetzt standardmäßig ein sogenannter Datentresor eingeführt. Nahm welcher erst nach separater PIN-Eingabe geöffnet werden kann und darin sind dann eher sensible Apps wie Banking-Apps zum Beispiel oder weitere Apps oder Informationen, die man dort einpflegen möchte ersichtlich. Man kann das dann Ganze wohl sogar so äh konfigurieren, dass diese Apps. Und Information auf dem restlichen Smartphone dann als unsichtbar erscheinen, also gar nicht irgendwo jetzt installiert oder ähnlichem zu erkennen sind. Darüber hinaus ähm, Also das soll natürlich unterm Strich einen höheren Schutz bei bei Gerätediebstahl ähm bieten beim Gerätediebstahl an sich, der ja nicht wirklich zu verhindern ist. Sollen auch noch weitere Sicherheitsfeatures eingebaut werden. Ähm so sollen Bewegungssensoren so konfiguriert werden, dass ein Diebstahl erkannt wird. Durch einen, Handbewegung oder eine Geschwindigkeitsbeschleunigung und äh eine automatische Gerätesperre soll dann injiziert werden. Darüber hinaus kann man natürlich weiterhin das Gerät dann über Feind mal Device genutzt äh oder gefunden und gesperrt werden. Das soll jetzt aber einfach nur ein Stichwort sein und eine kleine Überleitung zu dem Thema zu der bevorstehenden Kooperation von. Google und Apple im Hinblick auf die Sicherheit von AirTechs, iPhone-Nutzer werden ja systemseitig darüber informiert, falls ein fremder AirTag in der Nähe ist und einen in einer gewissen Zeit ja auch begleitet. Aus eigener Erfahrung äh kann ich berichten, dass das über eine Kartendarstellung geschieht mit der inklusive Route, über die man da begleitet worden ist und auch mehrere Hinweise werden dann im Sperrbildschirm angezeigt. Nun erhalten iPhone-Nutzer wohl auch Warnungen, wenn Bluetooth-Tracker von Android in der Umgebung erkannt werden und äh da wurde jetzt auch eine Einigung mit den entsprechenden Anbietern von den Track ich glaube für den persönlichen Datenschutz gerade weil ja auch mitgetrieben werden kann mit diesen Anhängern, diesen Schlüsselanhängern, die’s ja in der Regel sind, ist das eine sehr gute Entwicklung, dass da dann mal trotz allem Wettbewerben aller Konkurrenz da kooperiert. Über das eingeführte Pay-Or-Consent-Modell oder auch Zahlen oder Zustimmungsmodell bei Instagram und Facebook haben wir schon öfters gesprochen und auch unsere Kritik geäußert. Die Datenschutzorganisation Neub hat bereits Beschwerde bei der österreichischen Datenschutzbehörde eingereicht und ähnlich kritisch zeigt sich jetzt auch die Verbraucherzentrale Nordrhein-Westfalen. Das geht aus einem Bericht von Beck hervor. Demnach wird die Verbraucherzentrale Klage gegen Meter wegen der Ausgestaltung des Modells einreichen. Kritisiert wird, dass die Preisgestaltung des Abonnements mit mindestens neun Euro neunundneunzig pro Monat abschreckend hoch sei und die Einwilligung in das Tracking damit de facto alternativlos wird. Weiterhin ist die Verbraucherzentrale der Auffassung, dass Meta nicht ausreichend deutlich macht, dass trotz des Abos immer noch Daten gesammelt werden. Es sind stünde deshalb ein nicht zutreffender Eindruck, dass nach der Zahlung das Nutzungsverhalten von Abonnentinnen und Abonnenten nicht mehr gespeichert wird. Zeigt sich von den Anschuldigungen natürlich wenig beeindruckt, so wie wir das kennen und entgegnet, dass das Pay or Consit Modell im Einklang mit der Datenschutzgrundverordnung und der Rechtssprechung des Europäischen Gerichtshofs steht. Spannende Vorzeichen also für neuen Prozess, neuen Konflikt und wir berichten dann natürlich, wenn es neue Entwicklungen gibt. Eine Sicherheitslücke hat es kürzlich beim Onlineportal des Telemedizinanbieters Doktor Anzeige geben, in Folge waren über die Plattform ausgestellte Cannabisrezepte, über die Suchmaschine abrufbar. Bei dem Anbieter kann man sich wohl, über eine Online-Sprechstunde krankmelden lassen, Rezepte sich ausstellen lassen et cetera. Und diese Sicherheitslücke umfasste, Dementsprechend auch wirklich umfassende, personenbezogene Daten. Immerhin laut Plattformen sind keine Gesundheitsdaten oder Diagnosen betroffen, sondern Daten, die auf den Rezepten zu finden sind, also Name, Anschrift, Geburtsdatum, Versicherten, Nummer, Krankenkasse, sowie das verschriebene Präparat und der Name des Arztes oder Ärztin. Was schon schlimm genug ist, ne, aber immerhin keine keine Dirk, Kleine kuriose Randnotiz in einem Blogbeitrag des Anbieters wies der Inhaber jegliche Schuld von sich und äh schob die Verantwortung ehemaligen Beschäftigten, die ein zu geringes Sicherheitsempfinden hätten. So kann man das auch machen, ne? Man selber ist da nicht Schuld, Laut dem vorliegenden Heisebericht gäbe es zahlreiche Beschwerden beim hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Laut einer Sprecherin gäbe dies Anlass für weitere Ermittlungen ähm einmal auf Basis der Meldung des Unternehmens, aber auch auf Basis der eingegangenen Hinweise, David, ich glaube ich kann überleiten zu dir. Du hast äh einen buchstabilen Wettbewerb für uns vorbereitet. Ein kleiner buchstabil Wettbewerb ähm oder ein Zungenbrecher, je nachdem wie man’s sieht, dass äh Telekommunikation, Telemedien, Datenschutzgesetz. Kurz TTDSG heißt nämlich seit dieser Woche Telekommunikation, digitale Dienste Datenschutzgesetz, kurz T D DG. Die Anpassung der Bezeichnung erfolgte durch den Gesetzgeber um die Begrifflichkeiten aus dem Digital Services Act mit dem Gesetz zu harmonisieren. Materielle Änderungen gibt es hier aber nicht. Letztlich ändert sich der Begriff der Telemedien in den Begriff der digitalen Dienste. Allerdings sollten jetzt natürlich Datenschutzhinweise und Texte in Cookie-Bannern um Verwirrung zu vermeiden, angepasst werden, wenn dort auf das TTDSG verwiesen wurde. Wir finden zudem, dass die neue Abkürzung T G auch nicht ganz so einfach über die Lippen geht. Vielleicht ist es aber auch einfach nur Gewohnheitssache und wir müssen das jetzt ein bisschen üben an der Stelle dann auch viele Grüße an einen äh Kollegen von uns, der heute Morgen die Bezeichnung T drei, DG vorgeschlagen hat. Barrierefrei. Nein, das das stimmt. Und das war’s dann glaube ich auch schon wieder in dieser Woche mit unserem Podcast. Auf meiner Liste stehen keine Themen mehr. Die Themen auf meiner Liste sind auch erschöpft, deswegen können wir uns verabschieden. Vielleicht an der Stelle nochmal für die ganz aufmerksamen Zuhörer in der letzten Woche habe ich. Euch wie wir uns das ja vorgenommen haben in der Begrüßung geduzt und dann versehentlich in der Verabschiedung gesiezt. Ich hoffe, man kann es mir nachsehen. Wir werden das schon noch schaffen oder ich werde das schon noch schaffen, das reinzubekommen. Also an der Stelle vielen, vielen Dank euch fürs Zuhören und bis zum nächsten Mal. Schönes Wochenende.
