Diskussion um Gesichtserkennung in BDSG Novelle – Datenschutz News KW 26/2024

Moderation:

Was ist in der KW 26 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Einführen von Vorratsdatenspeicherung von IP-Adressen
• Biometrische Überwachung im öffentlichen Raum
• Übermittlung von personebezogenen Daten an Meta
• Werbeanrufe ohne Einwilligung
• Sicherheitsmaßnahmen bei E-Patientenakte

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/diskussion-um-gesichtserkennung-in-bdsg-novelle-datenschutz-news-kw-26-2024

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Lasst das Band laufen. Ist halt Abba oder Madonna? Ich weiß das gar nicht mehr. Schon so lange her. Um Gottes Willen. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Mein Name ist Griechof Wortberg und ich bin diese Woche auch nicht allein bei mir ist. Lothar, grüße dich, Gregor. Und wir wollen in dieser Woche euch wieder die Datenschutzneuigkeiten vorstellen. Redaktionsschluss heute am 286. ist wie immer zehn Uhr gewesen und wir haben bunte Themen mitgebracht, Welche Themen sind bei dir dabei, Lothar? Ja Gregor, bei mir haben’s auf die Liste geschafft äh Neuigkeiten zum Thema der Vorratsdatenspeicherung. Des Weiteren haben wir ein Bußgeld aus Schweden Und zu guter Letzt berichte ich über Sicherheitsmaßnahmen oder fehlenden Sicherheitsmaßnahmen bei der elektronischen Patientenakte. Wunderbar, ich habe auch eine Diskussion mitgebracht rund um das Thema automatische Gesichtserkennung im Kontext der BDSG-Novelle und ein Bußgeld aus Italien gibt’s auch noch ähm nach unerlaubtem Werbeanrufen. Dann lass uns loslegen. Ja die Vorratsdaten ist auch so ein Thema, was äh immer mal wieder hochkommt. Also wir hatten ähm ja schon einige, Meldungen und Folgen zu diesem Thema gemacht, ist aber auch wieder sehr aktuell geworden. Wir hatten vor ein paar Tagen die Innenministerkonferenz in Potsdam und dort ist das Thema wieder. Kommen, ähm heiße berichtet davon, dass ähm nach Informationen der äh Innenministerkonferenz die, der Druck auf die Bundesregierung bezüglich der anlasslosen Vorratsdatenspeicherung für IP-Adressen und für ähm entsprechende Ports erhöht werden soll. Der Innenminister von Brandenburg, Michael Stübken, wird auch äh diesbezüglich zitiert, dass die Datenspeicherung von IP-Adressen, eingeführt werden soll und zwar in Zusammenhang und mit dem Ziel eine bessere Strafverfolgung. Zu generieren ähm und ganz explizit Kinder vor Gewalttaten und weiteren Straftaten zu schützen. Interessant dabei ist, dass die Innenministerkonferenz das Quick-Feece-Verfahren von Telekommunikations für unzureichend einschätzt. Wenn keine Daten vorrätig sind, kann auch nichts eingefroren werden und es wird sogar angedeutet, dass nach Meinung der Innenministerkonferenz, auch der Europäische Gerichtshof, sich auch bereit erklärt hat, Vorratsdaten Speicherung sich bereit zu erklären. Allerdings ähm ist das ein bisschen ja mit Vorsicht zu genießen, denn die äh neuesten Urteile des EuGH gehen tatsächlich in die Richtung, dass zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität. Und auch zur Abwehr von schwerwiegenden Bedrohungen der öffentlichen Sicherheit für einen auf das absolute notwendige, beschränkte Zeitraum zulässig wäre. In dem Zusammenhang sei auch erwähnt, dass es eine ja Uneinigkeit gibt zwischen Marco Buschmann, unserem Bundesjustizminister und unserer Innenministerin, Frau Faeser. Buschmann hält das Einfrieren von Verkehrsdaten im Verdachtsfall für rechtssicher zielführend und äh Grundrechtsschonend, Und Frau Faeser, Vertreter gegen die anlasslose Speicherung von Alpi-Adressen und Portnummern für das angemessene Mittel. Ja also da ist die Diskussion noch längst nicht geschlossen Darüber hinaus als Resultat der Innenministerkonferenz geht hervor, dass das Cybermobbing zukünftig äh doch als Straftatbestand festgestellt werden kann und dazu ist die Justizministerkonferenz aufgefordert worden, Vorgang zu prüfen, ob bestehende Strafvorschriften angepasst werden müssen. Was sagst du dazu, Gregor. Es bringt viel Feuer mit sich. Wer mehrfach drüber berichtet und es ist ja seit einigen Jahren schon immer wieder, ob jetzt gerichtlich, in der Politik oder einfach auch in der Gesellschaft immer wieder eine Diskussion ein und immer wieder ein Platz sein und das wird wahrscheinlich auch nicht enden, selbst wenn dann mal eine Regelung getroffen wird. Das ist richtig, genau. Und der Umfang ähm ist natürlich ja sehr stark ähm sehr stark im Fokus, ne. Also wenn man sich vorstellt, dass äh man selber, auch ähm als Privatperson oder im geschäftlichen Kontext ständig ja aufgezeichnet wird und dass die Daten zur Verfügung stehen. Da wird einem schon mulmig, ne? Ich auf der anderen Seite, ich verstehe auch die Trafverfolgungs Ansätze, ne, auf jeden Fall. Ähm da gilt es tatsächlich ein ein Konsert zu finden. Ich bin gespannt, wie’s weitergeht. Eine fortlaufende Diskussion, das passt ja auch zu meinem nächsten Thema und zwar ist das Thema der automatischen Gesichtserkennung im öffentlichen Raum. Das hat jetzt grad noch mal ein bisschen Fahrt aufgenommen im Kontext einer Anhörung, die im Bundestag stattgefunden hat. Ähm wie heiße Online äh in dieser Woche auch berichtet hat. Und ähm konkret sei da von mehreren Seiten gefordert worden, dass es da auch noch mal ein Verbot geben soll, was halt möglichst äh in der BDSG-Novelle als, potenziellen Ort da noch verankert werden das ganze Thema ähm so auch heise noch mal, hat ja bei den äh Verhandlungen über die KI-Verordnung auch schon äh ein gewisses Feuer gehabt und ist auch ein heißes Eisen gewesen, so heißt’s ja auch in dem äh Artikel, haben wir auch alle mit Letztlich ist es ja nicht verboten worden, ähm sondern eben mit zeitlich und örtlich begrenzten Rahmen ermöglicht worden. Eine Regelung gibt’s dazu in Deutschland ja noch nicht. Interessant ist, dass diese Forderung der Aufnahmen eines Verbots nicht nur vom Kreis Computerclub und der Gesellschaft für Freiheitrechte kommt, sondern auch ein Staatsrechtler der Akademie der Polizei. Hamburg keine verfassungsrechtlichen Bedenken gegen ein Verbot äußerte. Mehrere Fälle Sind da ja auch in der Vergangenheit schon bekannt geworden im Rahmen der Polizeiarbeit, sagen wir mal aus der Polizei Sachsen oder Niedersachsen. Wo ihr zum Beispiel also in Sachsen PARS eingesetzt wurde als eigene Überwachungstaktik und bisher gibt’s in der Polizeiarbeit so ein bisschen die Maßgabe, es ist verboten, solange es nicht erlaubt ist. Und ähm die Diskussion geht halt in die Richtung, sodass sofern das halt nicht ausreiche, da eine gesetzliche Verankerung erforderlich sei, auch im Kontext ähm des Rechts auf informationelle Selbstbestimmung. Eine weitere Diskussion ist im Rahmen der Anhörung auch noch fortgeführt worden. Der Chaos-Computerclub forderte da auch nochmal eine Sanktionierungsmöglichkeit der Behörden, um da, Verstößen natürlich auch noch mal wirksam tätig werden zu können. Eine megawichtige Information. Also ich finde das echt unglaublich wichtig, ne, gerade für die, Gesichtserkennung, Möglichkeiten über KI-Funktionalitäten mit ähm solchen Systemen umzugehen und man sieht’s hier an aus den letzten Beispielen, äh welche Ausmaße das annehmen kann, ne, in den in den Anfängen. Also ich find’s äh schon sehr, sehr wichtig, ne, dass da, Bezug genommen wird. Obwohl, ich find’s auch bemerkenswert, ne, dass in dem aktuellen Entwurf zum zum neuen BDSG, das überhaupt nicht beinhaltet war, ne und dass er sich im Vorfeld äh offensichtlich noch äh keine Gedanken gemacht wurden. Auf der anderen Seite ich find’s auch gut, ne, dass bei solchen Anhörungen ähm solche Clubs wie der Cars Computerclub auch mit einbezogen werden und dass man offensichtlich denen auch zuhörten. Ja, definitiv. Ich meine, vor allem weil ja auch eigentlich so sei es auch in einem Artikel die Bundesregierung da jetzt gar keine Absicht hat, ähm das wirklich zu nutzen in den Möglichkeiten und gerade dann sollten dann ja auch Regelungen getroffen werden, damit’s auch wirklich unterbunden wird. Absolut, absolut. Kommen wir zur nächsten Meldung und zwar schauen wir uns ein Bußgeld an aus Schweden. Die schwedische Datenschutz äh Aufsicht hat gegen die Avanza Bank. Ein Bußgeld in Höhe von umgerechnet 1,3 Millionen Euro verhängt. Grund dafür ist, dass die Bank auf ihrer Webseite und in ihrer App ein sogenanntes Metapixel verwendet hat. Metapixel ist äh der Nachfolger vom Facebookpixel Und durch dieses Pixel sind Informationen wie Wertpapierbestände, Kontonummern ähm der Kunden und auch, ich glaube Sozialversicherungsangaben Meter übermittelt worden. Die Meldung von äh diesbezüglich lautet das von November zweitausendneunzehn bis einschließlich Juni zwanzig einundzwanzig, bezogene Daten von ungefähr ja bis zu einer Million Personen irrtümlich an Meter übermittelt wurden. Die Untersuchung des Vorfalls durch die schwedische Datenschutzaufsicht ergab, dass die Bank das Analysetool, Facebookpixel von Meter sowohl auf seiner Webseite als auch in der App verwendet hat und, Das Ganze falsch konfiguriert hat oder Fehlkonfiguriert hat. Sie wollten neue Funktionen äh testen, was dann dazu geführt hat, dass die Daten veröffentlicht worden sind. Lauter Aufsichtsbehörde hat die Bank damit deutlich gegen die Datenschutzgrundverordnung verstoßen, da sie kein angemessenes Sicherheitsniveau durch, Technische und organisatorische Maßnahmen erzielt hat. Also mal ein teures Bußgeld für einen kleinen Konfigurationsfehler. Wäre jetzt interessant, ob das äh noch Auswirkungen auf die personalisierte Werbung hatte. Der betroffene Nutzer. Das stimmt, das stimmt. Und auf einmal Werbung für die nächste Vermögensberatung oder Ähnliches. Und das ist ja eher ein Versehen gewesen, würde ich mal äh behaupten. So in dem Gesamtkontext, oder? Ich denke mal, also das äh sieht so nach Versehen aus. Ähm. Fehler. Ich vermute, dass ähm das Ganze Bußgeld äh tatsächlich äh die Dimension, ne, gerechtfertigt hat oder äh respektiert hat, ne, dass das, nicht unerhebliche Datenkategorien waren und auch kein unerheblicher Umfang, ne, mit einer Million Usern. Kein Versehen, sondern eher Vorsatz. Äh würde ich dem italienischen Unternehmen eh nie Plenitude da jetzt mal frei unterstellen beziehungsweise ähm das spiegelt sich in dem Bußgeld auch wieder, was von der italienischen Datenschutzaufsichtsbehörde. Wurde in die Plinitude, ist ein Unternehmen, welches im Verkauf und Marketing von Gas und Strom für Haushalte tätig ist in Italien und die ähm sind im Titel Marketing fleißig aktiv. Das heißt, die kontaktieren telefonisch, Na ja, Interessenten, Kunden, wie auch immer vornehmlich, das wissen wir ja alle, sollte man das natürlich auf Basis, wenn man werblich aktiv ist, auf Basis einer Einwilligung tun. Der Aussichtsbehörde in Italien sind 107 Meldungen und acht Beschwerden gegenüber dem Unternehmen bekannt geworden oder sind an sie herangetreten worden und in den Fällen ähm sind Werbeanrufe ohne Einwilligung durchgeführt wurden, noch besser, die Telefonnummern standen zum Teil im nationalen Nichtanrufsregister explizites Werbeverbot gab’s auch schon. Das heißt, dass da was nie schief läuft, ist dann wohl offensichtlich. Noch besser finde ich’s dann, dass die Untersuchungen gab, dass von 747 abgeschlossenen Verträgen im beobachteten Zeitraum, 657 Stück aus illegalen Kontakten entstanden sind. Es ist äh ich hab’s jetzt prozentual nicht ausgerechnet, aber es ist viel, es ist viel und ja da darf man sich natürlich nicht äh beschweren, dass es dann im Endeffekt ein Bußgeld von 6,4 Millionen Euro gibt. Äh die haben wir uns verdient. Die haben aber auch wirklich nix dem Zufall überlassen, ne. Also die haben sämtliche Register gezogen, um ähm ordentlich abgewatscht zu werden. Respekt. Ach so, das muss man schaffen. Tatsächlich. Wir kommen zu unserer letzten Meldung für heute und zwar geht es um die elektronische Patientenakte, die, sehr stark medial vertreten ist. Dazu hatten wir einen sehr interessanten Bericht von Heise äh gefunden, Wonach äh ja klar die elektronische Patientenakte zusammen mit dem elektronischen Rezept ja als die wesentlichen, Elemente angesehen werden, um die Digitalisierung im Gesundheitsbereich voranzutreiben. Allerdings kann man jetzt schon erkennen, der Termin ist äh festgelegt mit äh Januar 2025 oder Anfang des Jahres zwanzig fünfundzwanzig. Es scheint tatsächlich sehr viel Druck in der Veröffentlichung der elektronischen Patientenakte zu sein, um diesen Termin zu halten. Es sind deutliche Abstriche bei der elektronischen Patientenakte schon im Raum. Die werden diskutiert und zwar zum einen aus Sicht äh der Ärzte, aus fachlicher Sicht ähm sind nicht alle Funktionen abgebildet, die, die Ärzte sich wünschen. Zum einen, zum anderen aber auch aus Datenschutzsicht und auch aus Sicht der Informationssicherheit. Ähm scheint tatsächlich sehr viel Druck dort bei der Veröffentlichung, Und zwar hat sich äh Professor Kelber dazu nochmal gemeldet und war auch tatsächlich sehr verwundert und äh hat auch nicht hinterm Berge gehalten, dass es aus seiner Sicht absolut nicht akzeptabel ist, dass die neue elektronische Patientenakte äh in ihrer ersten Form keine Möglichkeiten für Bürgerinnen und Bürger gibt, den Zugriff auf personenbezogenen Daten auf die Gesundheitsdaten, fein Granular zu steuern Das scheint offensichtlich nicht der Fall zu sein ähm und wird sich so Professor Kälber auch als Fehler herausstellen, ne, der eindeutig das äh Vertrauen ähm in die elektronische Patientenakte nicht stärken, Also Fazit daraus ähm die elektronische Patientenakte kommt im Januar zwanzig fünfundzwanzig, Und ähm ja ist in beiden Bereichen, also in der Operationalisierung, aber auch in im Datenschutzkontext noch nicht sehr ausgereift. Wir haben noch ein bisschen Zeit, ne? Es ist ja auch ein halbes Jahr zu gehen. Wir sind mal gespannt und wir halten euch auf dem Laufenden dazu. Ich persönlich bin ganz gespannt, wie das dann auch letztlich so umgesetzt wird, wenn man da auch den Digitalisierungsgrad der ein oder anderen Arztpraxis dann noch so bedenkt. Das ist ja das eine Thema, aber das andere, das macht sich Milan auch immer direkt auf. Den Digitalisierungsgrad und den Datenschutz. Ne, also das ist ähm gerade in den äh in den Praxen, die die betrieben werden oftmals auch eine Herausforderung. Ganz genau. Ey ja Luther, man merkt den kommenden Sommer so ein bisschen. Wir sind in dieser Woche mit fünf Nachrichten dabei ähm und das waren sie auch schon für diese Woche. Von daher möchte ich mich bedanken bei dir. Ja, äh vielen Dank Gregor. Es hat mir es war unsere Premiere, glaube ich, ne. Also das erste Mal. Es war unsere Premiere und sie hat mir sehr viel Spaß gemacht. War sehr schön, vielen vielen Dank. Und in diesem Sinne möchte ich euch äh liebe Hörerinnen und Hörer ein schönes Wochenende wünschen, wenn ihr uns am Freitag gehört. Ansonsten natürlich einen guten Start in die Woche, falls heute Montag sein sollte. Und in diesem Sinne bis bald.