DSK veröffentlicht Orientierungshilfe zu KI  – Datenschutz News KW 19/2024

Moderation:

Was ist in der KW 19 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Fast 14 Millionen Euro Strafe für Avast
• Eventim setzt Nutzerpasswörter nach Angriff zurück
• Hamburgische Datenschutzbehörde informiert zum Thema Wahlwerbung
• Positionspapier nationaler Zuständigkeit zu KI Verordnung der DSK
• DSK veröffentlicht Orientierungshilfe zu KI
• Tätigkeitsbericht aus Hessen für das Jahr 2023

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/dsk-veroffentlicht-orientierungshilfe-zu-ki-datenschutz-news-kw-19-2024

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz-Update. Es ist Freitag, der 1. Mai, der Brückentag nach Christi Himmelfahrt und das soll uns aber nicht davon abhalten, wie gewohnt über die aktuellen Entwicklungen aus der Welt des Datenschutzes zu sprechen. Redaktionsschluss war heute wie gewohnt um zehn Uhr. Mein Name ist David Schmidt und bei mir ist. Lothar Sommernowski. Grüß dich Lothar, welche Themen hast du uns denn heute mitgebracht? Hallo David. Folgende Themen habe ich mitgebracht und zwar geht es um eine Strafe, ein Bußgeld gegen weiterhin, ich bei der hamburgischen Datenschutzaufsichtsbehörde hängengeblieben. Da geht es um ein Informationspapier zur Wahlwerbung, Und zur Datenschutzkonferenz, zu ihrer veröffentlichen Orientierungshilfe zur KI. Das klingt spannend. Ich berichte heute über das Online-Ticketportal Event-Team. Das sind äh einige Passwörter in den Umlauf gekommen. Dann hat die Datenschutzkonferenz ein Positionspapier zur nationalen Zuständigkeit nach der KI-Verordnung veröffentlicht. Und der hessische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für das vergangene Jahr veröffentlicht und daraus habe ich einen interessanten Fall mitgebracht. Auch sehr spannend. Ja, dann legen wir mal los, ne. Dann leg du mal los mit dem Bußgeld gegen Avast. Wir starten mit dem Bußgeld gegen Awast. Awast, der Ativirensoftwarehersteller, mit einem Bußgeld belegt worden und zwar in einer Höhe von fast 14 Millionen Euro. Das äh berichten in dieser Woche mehrere Medien, unter anderem auch der europäische Datenschutzausschuss der Etzer. Die Begründung zu diesem Bußgeld lautet rechtswidrige Datenweitergabe. Ne und es sollen hierbei Nutzerdaten von über 100 Millionen Nutzern, gegeben worden sein und konkret verletzt sind demnach laut der Aufsichtsbehörde in Tschechien. Artikel sechs, also die Rechtmäßigkeit der Verarbeitung und Artikel 13 die Informationspflicht Was ist passiert? Bereits 220 wurde die Aufsichtsbehörde in Tschechien auf die Datenweitergabe von Awast an die Schwesterfirma aufmerksam. Äh Jumpshot äh beschäftigte sich mit Content Creation. Und mittlerweile hat sich ja was von der Firma getrennt. Mitarbeiter wurden entlassen. Es wurden Daten aus den Produkten selber sowie Browserverläufe von Nutzerdaten von über 100 Millionen Nutzern weiter veräußert an diese Schwesterfirma, die auch diese Daten weiterverkauft Käufer dieser Daten sollen sein Google, Microsoft und andere Empfänger, Des Weiteren hat und das war eigentlich auch der der Kern des Bußgeldes Die Nutzer falsch informiert haben, ne? Zum einen über ja war die Rede von vollständig anonymisierten Übermittlungen, obwohl man festgestellt hat, dass die anonymisierten Daten, sehr wohl zu ähm Identifikation von, geführt haben und auch die Weiterleitung an sich falsch deklariert waren. Die ähm. Aufsichtsbehörde hatte bereits 2022 ein Bußgeld gegen Awast verhängt, was letztendlich jetzt im im März war’s tatsächlich bestätigt wurde, ne, so hat’s der auch veröffentlicht. Da läuft’s auch nicht gut im Moment. Äh neben diesem Bußgeld läuft auch noch ein, Bußgeld der Federal Trade Commission, kurz FTC, in den Vereinigten Staaten, über 16,5 Millionen US-Dollar und zwar auch im Zusammenhang mit der Weitergabe von Daten, Ja für die Praxis hieraus ergeben sich mehrere relevante Aspekte meines Erachtens, ne? Zum einen unterstreicht das die Zulässigkeitsprüfung beziehungsweise die ordentliche Dokumentation von, Rechtmäßigkeiten der Rechtsgrundlage, Aber auch in der realistischen Ausgestaltung von Informationspflichten. Also hat hier in den äh Informationspflichten deklariert, deine Daten sind hier safe äh und wenn wir sie weitergeben sind sie anonymisiert, Das ist nicht der Fall gewesen und letztendlich unterstreicht das auch wichtig für die gängige Praxis, die Verantwortung von weitergeleiteten Daten, ne? Da muss man sich als verantwortliche Stelle auch im Klaren sein, dass man hierzu auch den Datenschutz auch bei Weiterleitung im Griff. Ja in jedem Fall und eine große Rolle spielt ja auch immer die Erwartungshaltung. Der Betroffenen und ihr geht es ja um einen Antivirenprogramm und äh da wird wohl kaum einer die Erwartungshaltung haben, dass die Daten dann zu Werbezwecken weitergegeben werden. Ganz im Gegenteil, ne, also die Erwartungshaltung. Mir geht’s so bei meinem Anti-Viren-Programm. Da spielt das Thema Vertrauen eine ganz wichtige Rolle, ne? In in die Software und damit auch in das Unternehmen. Und wenn das, erschüttert wird durch falsche Informationen oder fehlende Informationen. Das ist schon nachhaltig, ne? Nutzerdaten des, Ticket-Online-Handelsevent-Team sind von Hackern genutzt worden. Daher mahnt Event-Team seine Nutzer zuvor sich und setzt aktiv Passwörter zurück. Dabei handelt es sich um eine Sicherheitsmaßnahme, die notwendig geworden ist, weil aktuell Passwortlisten zu dem Online-Portal im Netz kursieren. Berichten von Chip und Heise zufolge, Wurden die Passwörter mittels sogenannten quiddentios Stuffing, also dem Ausprobieren von Zugangsdaten erbeutet und es soll sich um eine beträchtliche Anzahl von Nutzerkonten handeln. Die dafür Verantwortlichen Cyberkriminellen hatten es wohl insbesondere auf Tickets für die nächste Taylor Swift Tour. Gesehen. Die begehrten Tickets sollten auf diese Weise auf Kosten des gehackten Nutzers gekauft und dann weiterverkauft werden. Vielleicht wollten die Cyberkriminellen aber auch einfach selber gerne zu den Konzerten gehen, aber weiß ich nicht, ist ja sehr angesagt im Moment. Ähm, Die Frau, ne? Es empfiehlt sich auf jeden Fall das Passwort bei Eventim zu ändern, auch wenn man nicht selbst aktiv dazu aufgefordert wurde. Zudem zeigt das auch nochmal, die Wichtigkeit ausreichend komplexe Passwörter zu nutzen und allen voran natürlich nicht die gleichen Passwörter auch für mehrere Portale zu benutzen. Denn ähm sollte man das bei Eventim gemacht haben, dann ähm sollte man jetzt auch unbedingt bei allen anderen Portalen, wo man ein ähnliches oder sogar das Gleiche Passwort verwendet hat, das natürlich auch ändern. Event-Team hat zudem angekündigt, demnächst auch eine zwei Faktor-Authentifizierung anzubieten. Vorbereitung des Podcasts ist mir tatsächlich jetzt äh nochmal ein ein To-do aufgekommen. Ähm ich werde nachher mal bei Eventim auch mal prüfen beziehungsweise da mal mein Passwort ändern und deine Ratschläge nehme ich äh mir zu Herzen und äh gestalte es äh komplex aus. Es ist komplex äh tatsächlich und man kann’s nicht oft genug sagen, ne. Das Passwörter schon, nicht leicht zu erraten sein sollten möglichst Passfragen nehmen, also ganze Sätze, in denen alles vorkommt, alle Kriterien vorkommt, nicht mehrfach äh benutzen, man kann’s wirklich nur wärmstens empfehlen. Ja, am besten benutzt man halt eine eine Passwortmanager und lässt sich die Passwörter generieren, dann muss man sich diese kryptischen Zeichenfolgen auch nicht alle merken. Äh das kann Respekt. Ähm ich kann’s nicht, aber da hilft dann halt ein Passwortmanager. Kommen wir von Taylor Swift zu Hamburg und zwar ähm sind wir hier, Bei einer Informationsbroschüre des hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit. Wir sind aufmerksam geworden und zwar, dass im Kontext und im Zusammenhang mit der Europa- und Bezirkswahl in Hamburg am neunten sechsten. Hier führt der Datenschutzbeauftragte aus, dass natürlich Wahlbenachrichtigung verschickt werden im Briefkasten landen und das häufig zusammen mit Wahlwerbung, Die Adressen für den Versand von Wahlwerbung stammen von den Meldebehörden und hier stellt er mal ganz offen diskutiert die Frage, ist das erlaubt Um sich zum Thema mal zu nähern, starten wir mit einem Grundsatz im Datenschutz, keine Werbung ohne Einwilligung. Ja, das gilt auch für Meldebehörden. Aber in diesem Kontext mit einer Ausnahme dazu und zwar im Hinterkopf behalten, dass politische Parteien als Eckpfeiler demokratischen Landschaft, äh der Demokratie sind, ist das Ganze im Paragraph 50 Absatz 1 des Bundesmelderegisters vorgesehen. Das Meldebehörden, auch Adressdaten an Parteien oder Wählergruppen oder andere Träger von Wahlvorschlägen weitergeben dürfen Es werden vom Umfang der Daten Name, Vorname, äh sowie die Adressen von Wahlberechtigten äh weitergeleitet und zwar auf Abfrage von Parteien, die das Ganze auch vom Alter her einschränken müssen und zwar bei den Bürgern, bei denen keine Meldessperre eingerichtet ist. Das führt zur nächsten Frage. Kann man widersprechen, man kann formlos widersprechen, die muss nicht begründet sein, der Widerspruch gilt für die Zukunft und zwar bei der Meldebehörde. Da kann man sich äh hinwenden und einen Werbewiderspruch hinterlegen. Die Daten, wenn sie dann ausgeliefert sind an die Parteien dürfen für den Zweck der Werbung verwendet werden und müssen, sind wir beim Löschkonzept äh spätestens einen Monat nach der Wahl gelöscht. Spannendes Thema jetzt vor der Europawahl natürlich auch wieder und es wird ja generell auch in den letzten Jahren viel diskutiert über das politische Targeting. Ähm man muss sich auch immer klarmachen, dass wir uns dort schnell auch im Bereich der besonders sensiblen Daten bewegen. Die politische Überzeugung kann ja auch ein Artikel 9 Datum sein oder gehört zu den Artikel neuen, Gleichzeitig ist natürlich nur weil etwas für mich interessant sein könnte, nicht gesetzt, dass das auch meine politische Überzeugung ist, aber, Je nachdem, was da für mich möglicherweise als interessant eingestuft wird, möchte man das ja vielleicht auch gar nicht, dass das dort irgendwo kursiert. Die Datenschutzkonferenz hat am vergangenen Freitag ein Positionspapier zur nationalen Zuständigkeit für die Verordnung zu künstlichen Intelligenz veröffentlicht. Hintergrund ist, dass nach der KI-Verordnung äh nachdem diese in Kraft getreten ist, innerhalb der nächsten zwölf Monate zuständige Marktüberwachungsbehörden in Deutschland benannt werden müssen. Die Datenschutzkonferenz empfiehlt, als Aufsichtsbehörden nach der KI-Verordnung die einzelnen Landesdatenschutzbehörden beziehungsweise soweit die KI-Systeme bundesweit als Produkt angeboten werden den BFDI zu benennen. Dieser soll außerdem nach Vorstellung der Datenschutzkonferenz Deutschland im europäischen Ausschuss für KI vertreten. Begründet wird die Sinnhaftigkeit der Zuständigkeit, bei den Datenschutzaufsichtsbehörden vor allem damit, dass neben den Anforderungen, die durch die KI-Verordnung zukünftig gelten, ja auch die datenschutzrechtlichen Anforderungen, ohnehin gelten und ebenfalls beaufsichtigt werden müssen. Eine Aufteilung dieser beiden Zuständigkeiten auf verschiedene Behörden wäre aus Sicht der DSK daher wenig sinnvoll. Ich denke, dem kann man sich sehr gut anschließen. Ja, absolut, also ist sehr nachvollziehbar die Argumentation, ne, die bestehenden Mechanismen und Strukturen gerade zur Kohärenz, zur Datenschutzkonferenz an sich, das ist schon sehr nachvollziehbar, macht auch Sinn, bevor man jetzt versucht wieder eine komplett neue Behörde oder Zuständigkeiten zu definieren. Bleibt jedoch die Frage, wie schnell Ressourcen in den Aufsichtsbehörden aufgebaut werden können. Sind sie vorhanden und wenn nicht, wie schnell geht es, da grade eben hochkomplexen Bereich KI aufzubauen, ne? Ja, ja, da hast du einen Punkt, die äh Behörden sind ja jetzt gerade schon, klar, haben jetzt grade schon des Öfteren darüber, dass sie nicht hinterherkommen und da muss man dann natürlich aufstocken. Keine Frage. Wir bleiben mit der nächsten Meldung ebenfalls bei der Datenschutzkonferenz und zwar gibt es eine Orientierungshilfe der DSK für KI-Anwendungen Die DSK legt eine Orientierungshilfe mit datenschutzrechtliche Kriterien für die Auswahl und den Betrieb von KI-Anwendungen vor. Hiermit werden Unternehmen und Behörden sowie weitere Organisationen in Form eines Leitfadens unterstützt, I-Anwendungen auszuwählen, zu implementieren und zu nutzen, Diese Checkliste soll laut DSK zukünftig äh weiterentwickelt und an aktuelle Entwicklungen angepasst werden. Kümmert sich im Schwerpunkt auf den sogenannten large Language-Modellen, also LLMs, zum Beispiel als Chatbots angeboten werden oder Basis sind für weitere Systeme. Die ähm Orientierungshilfe lohnt sich zu lesen. Hier wird anhand von äh Beispielen wichtige Kriterien, Zitat, entlang den Vorgaben der DSGVO erörtert. So zum Beispiel Zweckbestimmungen, Informationspflichten betroffenen Rechten, aber auch neben den klassischen Anwendern von KI-System richtet sich diese Orientierungshilfe mittelbar, muss man sagen an Entwickler solcher Systeme. Werden hier auf fünfzehn Seiten 4undzwanzig Fragestellungen diskutiert und angeregt. Ähm das Ganze ist in drei Kapiteln aufgebaut zur Konzeption oder in der Konzeption geht es über die Rechtmäßigkeit Zwecke, Transferrenzpflichten, über die Implementierung im zweiten Kapitel beschäftigt man sich unter anderem mit den Verantwortlichkeiten und Risikobetrachtung sowie Privacible bei Design und bei Default. Und das letzte Kapitel beschäftigt sich mit der Nutzung, wobei noch Schwerpunkte auf besondere Datenkategorien gelegt Werden und auf die Ausgabe von Personen bezogenen Daten. Aber auch Richtigkeit und ähm was mir gut gefällt, wenn es auch mit berücksichtigt wird zum Thema Diskriminierung. Also ich finde, dass die beschriebenen Aspekte sehr gut äh gelöst sind und ja analog zu regulären Systemen, die man äh implementiert und in in Betrieb nimmt. Häufig bewertet werden. Ne, allerdings wird das dann aus Anwendersicht gemacht. Was mir so ein bisschen fehlt dabei, das waren ja die fehlenden Einblicke und Sichten für Entwickler. Das ist ähm nur sehr sehr spartanisch geregelt und und beschrieben beziehungsweise auch nur ableitbar und auch das Training von System, was auch ein sehr wichtiger Punkt ist bei KI-System, ne. Wie trainiert man, mit welchen Daten trainiert man äh wie geht man damit um, das wird nur am Rande beleuchtet. Von daher in Summe ein ein guter Start, äh ich wünsche mir noch weitere Ausarbeitung der DSK diesbezüglich den Link zum Download wie immer in den Shownotes. Und damit springen wir zum hessischen Beauftragten für den Datenschutz und die Informationsfreiheit Professor Doktor Alexander Rossnagel Behörde ja auch natürlich Mitglied der DSK ist und dieser hat jetzt am 7. Mai seinen Tätigkeitsbericht für das Jahr 20023 veröffentlicht Grundsätzlich wird darin anerkannt, dass der Datenschutz in Hessen akzeptiert wird und es im vergangenen Jahr keine schwerwiegenden Verstöße gab eine schöne Nachricht, die wir finden. Ich habe aber auch ein durchaus interessanten Fall, mitgebracht von dem in dem Bericht erzählt wird. Es gab eine Beschwerde gegen ein Möbelhaus, weil der Beauftragte Zulieferer Möbel in eine Wohnung geliefert hatte und anschließend Fotos von den abgestellten Paketen machte. Auf den Fotos waren zwar keine Personen zu erkennen, aber dafür Teile der Wohnung, also der Einrichtung und auch des Schnitts et cetera. Eine Einwilligung wurde für diese Fotos nicht eingeholt. Das Möbelhaus argumentierte, dass dies auch nicht notwendig war, weil die Fotos keine personenbezug aufweisen würden. Das sah die Behörde aber anders. Weil die Fotos der Zustellung zugeordnet werden, zu der Zustellung selbstverständlich auch Name und Adresse des Betroffenen zugeordnet sind, sind nach Auffassung der Behörde auch die Fotos personenbezogener Daten, für deren Verarbeitung es eine Rechtsgrundlage gebraucht hätte. Ich finde, das ist ein richtig schönes Beispiel dafür, was, personenbezogene Daten eigentlich ausmacht. Diese Informationen müssen nicht, Nach der Definition aus der Datenschutzgrundverordnung äh müssen sich nicht auf eine Identifizierte Person beziehen, sondern es reicht schon aus, wenn sie sich auf eine identifizierbare Person beziehen. So wie’s äh auch in der DSGVO steht. Eben hätte man rauslesen können. Hätte, wäre, wäre Fahrradkette, ne, um einen berühmten Fußballer zu zitieren. Das finde ich ist ein äh schöner Schlusssatz. Das war nämlich auch schon die letzte Meldung für heute. Lothar mir hat’s großen Spaß mit dir heute gemacht. Vielen Dank. Mir auch. Das war ja unsere Premiere, ne? Unser erstes Mal hier im Podcast. War wirklich sehr toll. Vielen Dank. Danke dir und wir hoffen natürlich, dass das Zuhören ebenso viel Spaß gemacht hat, bedanken uns auf jeden Fall dafür, Wenn Sie uns noch heute gehört haben, dann wünschen wir Ihnen einen schönen Start in das Wochenende und wenn Sie uns erst Anfang der kommenden Woche hören, dann einen guten Start in die neue Woche. Bleiben Sie uns treu und auf bald.