David Schmidt
Gregor Wortberg
Was ist in der KW 18 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
- KI-Webseitenklonung: Neue Bedrohung für Phishing-Angriffe
- eBay will Nutzerdaten für KI Training verwenden
- Bußgeld gegen die Griechische Nationalbank
Veröffentlichungen und Veranstaltungen:
- HmbBfDI – Handreichung zum Data Act
- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg – Datenpannen-Management– Grundlagen und Praxishinweise
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/ebay-plant-ki-training-mit-nutzerdaten-ds-news-kw-18-2025/
Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Heute ist Freitag, der 2. Mai und wir begrüßen euch wieder zu unseren wöchentlichen Datenschutz-News. Mein Name ist Gregor Wortberg und bei mir ist David Schmidt. Grüß dich Gregor. Hi David. Ganz vergessen, unser Reduktionsschluss war natürlich wie immer heute um 10 Uhr. Das wollen wir unseren Hörern und Hörern natürlich nicht vorenthalten. Und ja, wir freuen uns auch in dieser Woche wieder ein paar News mitgebracht zu haben. Welche Themen hast du denn heute dabei? Ich habe eine neue Phishing-Bedrohung dabei, über die ich sprechen möchte. Und ein Bußgeld aus Griechenland habe ich im Gepäck. Und ein Veranstaltungshinweis. Wie sieht es bei dir aus? Ich habe quasi das Titelthema mitgebracht, eBay plant das Training von KI anhand von Nutzerdaten. Darüber möchte ich einmal sprechen und dann auch noch eine Veröffentlichung inklusive Veranstaltungshinweis aus Hamburg. Das klingt spannend und dann würde ich vorschlagen, wir steigen ein mit der Phishing-Bedrohung. Heise warnt vor einer neuen Phishing-Bedrohung in Form der KI-basierten Software Darkula. Bei Darkula handelt es sich um eine sogenannte Phishing-as-a-Service-Plattform, die mit dem letzten Update mit generativer KI ausgestattet wurde, um schneller hochwertige, maßgeschneiderte Phishing-Kits zu erstellen. Insbesondere das Nachbauen von Webseiten soll damit jetzt komplett ohne Programmierkenntnisse möglich sein, sodass jetzt auch weniger technisch versierte kriminelle, sehr überzeugende, mehrsprachige und individuelle Phishing-Seiten bauen können. Und auch die Verbreitung der entsprechenden Links, zum Beispiel per SMS. RCS und iMessage, soll ebenfalls durch KI gezielter und einfacher funktionieren. Das Ganze funktioniert wie gewöhnliche Software-as-a-Service-Produkte als ein Abonnement-basiertes System. Also hier steckt schon eine enorme Organisation hinter. Und für Unternehmen ist es natürlich wichtig, ihre Mitarbeitenden regelmäßig über Phishing-Gefahren zu sensibilisieren und auf verdächtige Nachrichten hinzuweisen, so wie technische Schutzmaßnahmen wie etwas Spamfilter und Anti-Phishing-Tools zu nutzen und regelmäßig zu aktualisieren. Ja, das gilt natürlich jetzt nicht nur auf neue und organisierte Phishing-Bedrohungen, auch nicht nur auf KI-basierte Phishing-Bedrohungen, sondern für jede. Die muss nicht als Software-as-a-Service extra gekauft werden, sondern die kann natürlich auch weiterhin auf klassischer Weise selbst im stillen Kämmerlein gebaut werden. Ebay plant, die Nutzerdaten ihrer Mitglieder für das Trainieren von KI-Modellen zu verwenden. Darüber hatte vor kurzem Ebay seine Benutzerinnen und Benutzer auch schon per E-Mail informiert und war grundsätzlich die Information mitgegeben, dass sie künftig verstärkt auf künstliche Intelligenz setzen wollen. Das Unternehmen hatte angekündigt, personenbezogene Daten zu nutzen, um aber auch KI-Systeme zu entwickeln und zu trainieren. Gleichzeitig wurde in diesem Zusammenhang auch eine neue Datenschutzerklärung veröffentlicht, nämlich am 21. April. Diese Ankündigung allein hat schon ein bisschen für Aufregung und Aufruhr gesorgt und es sind auch schon einige Beschwerden bei der zuständigen brandenburgischen Datenschutzbeauftragten Dagmar Hartke eingegangen, wie sie in einer Pressemitteilung auf der Webseite des LDR Brandenburg bekannt gegeben hat. Die neue Datenschutzerklärung von Ebay wurde auch gesichtet und von der Landesbeauftragten als nicht ausreichend transparent bezeichnet. Es sei aktuell unzureichend verständlich, welche konkreten Daten der Nutzerinnen und Nutzer für das KI-Training überhaupt verwendet werden sollen. Auch die genauen Ziele des Trainings sind nicht benannt und wer am Ende Zugriff auf die Daten haben wird, sind ihrer Ansicht nach auch noch offen. Also eine ganze Reihe eigentlich an fehlenden Informationen, die man vielleicht doch erwarten würde in dem Zusammenhang. Laut einem Bericht von Heise plane Ebay Nutzerdaten für KI-gestützte Angebotserstellung, KI-generierte Zusammenfassung von Produktretensionen und Chatantworten in Echtzeit verwenden zu wollen. Und die Datenschutzbehörde steht wohl auch schon bereits im Austausch mit Ebay zu dieser Thematik. Das Unternehmen hat wohl der Behörde mitgeteilt, dass das KI-Training auch noch nicht begonnen habe. An der Stelle hat man dann auch noch Zeit, die klare Empfehlung der Landesbeauftragten umzusetzen, nämlich der Datenverarbeitung zu widersprechen. Das Recht hat man natürlich. Insbesondere wird aber auch nochmal darauf hingewiesen, dass die Nutzung der Daten zum KI-Training nicht mehr rückgängig gemacht werden könne. Also jetzt widersprechen, bevor es einmal drin ist? Genau, genau. Ansonsten alles zu spät. Alles zu spät, ja. Ja, komischer Trend, dass irgendwie jetzt alles mit KI versehen wird. Also sei es die Phishing-Software, sei es eBay, weiß ich nicht, wie sinnvoll das ist. Keine Ahnung, ob das jetzt so einen großen Mehrwert für eBay haben wird. KI ist ja auch nicht immer direkt KI, das merkt man ja auch in der Praxis, dass vieles auf einmal KI ist, was vielleicht auch eine normale Anwendung einfach sein kann. Ja, gibt es schon das KI-Washing eigentlich als Begriff, sonst würde ich das mal hier mit einführen Wir. Setzen einen Trend. Die griechische Datenschutzbehörde hat gegen die griechische Nationalbank ein Bußgeld in Höhe von 100.000 Euro verhängt. Hintergrund war eine eingereichte Beschwerde wegen der falschen Verlinkung des Bankkontos des Beschwerdeführers mit der Handynummer eines Dritten, der sich der Beschwerde angeschlossen hat. Diese falsche Verlinkung hat zur Geldüberweisung über einen Online-Zahlungsdienst auf ein falsches Konto geführt. Im Rahmen der von der Behörde durchgeführten Verwaltungsprüfung stellte die Bank schließlich fest, dass das Problem auf eine falsche Konfiguration aus einem Update der Mobile Banking Anwendung aus dem Jahr 2020 zurückzuführen sei und dass weitere 24 ihrer Kunden betroffen waren. Die Behörde sah darin einen Verstoß gegen die Grundsätze der Genauigkeit, Integrität und Vertraulichkeit von Daten sowie die Grundsätze des Datenschutzes durch Design. Ja, also ich finde das Bußgeld 100.000 Euro für den langen Zeitraum, dass man das nicht gemerkt hat, schon relativ niedrig. Ja, so günstig mit weggekommen. Ja, ich weiß nicht, ob das jetzt eine öffentliche Bank ist oder ob das eine private ist, aber für die lange Zeit und nur 24 Kunden, die sich jetzt selber identifiziert haben, gut, wenn das stimmt, dann ist das ja überschaubar, aber weiß man ja nicht so genau, wie das jetzt zurückverfolgt werden konnte. Ich komme schon zur ersten Veröffentlichung inklusive Veranstaltungstipp. Der Hamburger Chip Beauftragte für Datenschutz und Informationsfreiheit hat eine Handreichung mit dem Titel Der Data Act als Herausforderung für den Datenschutzveröffentlichung. Der Data Act wird ja Anfang September gültig, wo man dann ja auch schon die Anforderungen als Unternehmen umsetzen muss. Dementsprechend kommt es zu einem guten Zeitpunkt, sich dann doch auch nochmal mit den Anforderungen auseinanderzusetzen. Die Handreichung enthält einen Überblick über die Inhalte des Data-Acts sowie zeigt es erste Handlungsbedarfe auf und skizziert die Möglichkeiten der datenschutzbehördlichen Aufsicht. Ebenso wird der Data-Act Gegenstand des Hamburger Datenschutzforums am 15. Mai sein. Das als kleiner Veranstaltungshinweis. Das Dokument verlinken wir euch natürlich wie immer in den Shownotes. Und ich habe noch einen Veranstaltungstipp versprochen. Dahinter verbirgt sich eine hybride Veranstaltung des LFDI Baden-Württemberg und zwar geht es um das beliebte Thema Datenpannenmanagement, Grundlagen und Praxishinweise. Das Ganze findet statt am 20. Mai von 15.30 Uhr bis 17 Uhr. Ich habe gelesen, dass die Teilnehmeranzahl beschränkt ist, deswegen empfiehlt es sich, sich zügig dafür anzumelden und ich denke mal, das ist ja ein Thema, was man immer mal wieder auffrischen kann, damit dann im Falle des Falles keine Panik aufkommt und jeder weiß, was zu tun ist. Empfiehlt sich definitiv für jedes Unternehmen, sich mit dem Thema auseinanderzusetzen. Ja, David, das war eine kurz und knackige Folge am Brückentag. Ja, genau. Ich bedanke mich. Es hat wieder sehr viel Spaß mit dir gemacht. Und unseren Hörern und Hörern wünsche ich natürlich auch, falls sie uns am Brückentag hören, ein schönes verlängertes Wochenende und am Montag dann einen guten Start in die neue Woche. Wir freuen uns auf nächste Woche. Bis dahin. Bis bald.
