David Schmidt
Natalia Wozniak
Was ist in der KW 23 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Namen von Bewerbern öffentlich einsehbar
- Tausende Datenschutzvorfälle bei Google zwischen 2013 und 2018
- Microsoft verletzt Privatsphäre von Schülern: Noyb-Beschwerde über Tracking
- Urteil vom AG Gelnhausen zu Unzulässigkeit von schwenkbaren Videokameras
(Urteil vom 04.03.2024, Aktenzeichen 52 C 76/24). - Meta möchte Nutzerdaten für KI-Training ohne Erlaubnis nutzen
Veranstaltungen und Veröffentlichungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/meta-plant-ki-trainig-mit-nutzerdaten-datenschutz-news-kw-23-2024
Transkript zur Folge: Wir laufen schon. Ja. Ach wir laufen schon, alles klar. Okay. So, dann geht’s los. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Haben wir heute, am Freitag, den siebten Juni um neun Uhr 30 gehabt. Ja und wir sind wie gewohnt immer zu zweit. Bei mir ist mein Kollege David Schmidt Hallo David. Hallo Natalia. Schön, dass du da bist und ja, Sie haben schon gehört, mein Name ist Natalia, Natalia Wosniak. Willkommen. Wir haben heute wieder ein paar Themen mitgebracht. David, was hast du mitgebracht? Ich berichte über eine Datenleck beim Bewerberportal der CDU, Dann habe ich eine Beschwerde gegen Microsoft Education mitgebracht, Und es gibt Änderungen in den Datenschutzrichtlinien von Meta, die das Training für KI betreffen. Darüber möchte ich auch berichten und ein Lesetipp darf natürlich ebenso nicht fehlen. Wie sieht’s bei dir aus? Perfekt. Ja, bei mir, ich habe Datenschutzvorfälle bei Google mitgebracht und ich habe auch ein Urteil zur Videoüberwachung mitgebracht, zur schwenkbaren Kameras, Und genauso wie du auch ein Lesetipp. So, dann würde ich sagen, wir legen direkt los. David fangt an. Genau, wir legen los bei dem Bewerberportal der CDU. Die Namen von 4.800 Personen, die sich bei der CDU für eine Stelle beworben haben, waren frei über das Internet abrufbar. Darüber berichtet Heise. Die Online-Bewerbungsplattform der CDU läuft auf der Grundlage von Drupal. Drupal ist eine open Source Software für die Organisation von Webseiten, ähnlich wie zum Beispiel WordPress. Die CDU hatte Templates für die Organisation ihrer Bewerbungsplattform eingesetzt. Und dabei aus Unachtsamkeit eine Funktion implementiert. Der eine Liste von Accounts abgerufen werden konnte und das über das Internet, also einfach über die Eingabe einer bestimmten URL. Diese Liste umfasst Einträge von viertausend, 8hundert Personen, die sich auf eine freie Stelle im Konrad-Adenauer-Haus oder bei anderen CDU-Gliederungen beworben hatten und Die Schwachstelle ist wohl in der Zwischenzeit behoben. Weitere Informationen, die über die Bewerbernamen herausgehen, waren, nicht öffentlich einsehbar. Für die Praxis lässt sich daraus ableiten, dass, fertig konfigurierte Software, egal ob open Source oder für teuer Geld eingekauft, unbedingt immer noch einmal überprüft werden sollte. Die äh datenschutzrechtliche Verantwortung bleibt nämlich natürlich bei demjenigen, der die Software einsetzt. Auch. Interessant ist die Frage, ob die Namen der Bewerber bereits sensible Daten nach Artikel neun Datenschutzgrundverordnung darstellen. In dem Bericht von Heise werden diese nämlich so kategorisiert. Ich persönlich würde aber nicht so weit gehen wollen, denn aus dem Umstand, dass sich jemand für eine freie Stelle bei einer Partei beworben hat, lässt sich meines Erachtens nicht zwingend ableiten, dass diese auch entsprechende politische Meinungen vertritt. Und selbst wenn dem so wäre, In einer Partei gibt es auch verschiedene politische Meinungen zu verschiedenen politischen Einzelfragen. Von daher würde das aus meiner Sicht noch nicht ausreichen. Wie siehst du das Natalia? Ich würde das genauso unterstreichen, also ich würde das auch nicht als Artikel 9 Daten sehen. Nur weil ich mich auf eine Stelle bei der CDU bewerbe heißt ja nicht, dass ich auch CDU-Mitglied sein muss, es sei denn, dass wir jetzt wirklich Bewerbungsvoraussetzungen, das wissen wir jetzt nicht. Aber ansonsten könnte man vielleicht überlegen, ob’s denn anders zu bewerten wäre, aber ansonsten ich meine, es ist theoretisch ein Unternehmen, wie jedes andere auch und wenn ich mich vielleicht für eine erstelle im Bereich IT bewerbe, dann vielleicht einfach nur, weil mir die Stelle zusagt. So sehe ich das auch. Ja so, ich mache mal weiter mit Datenschutzvorfällen bei Google. Und zwar, sollen zwischen 20013 und 20018 ist, also schon ein bisschen her, aber auch wiederum ja gute, fünf bis 6 Jahre. Der Zeitraum sollen Mitarbeiter von Google intern viele potentielle Datenschutzverstöße gemeldet, von denen einige immense Ausmaße aufweisen sollen. Hier verweist Heise auf eine Meldung eines US-Magazins vorhandelt for media. Dieses US-Magazin berichtet davon und beruft sich dabei auf interne Dokumente. Auch hier wird ein Unternehmen erwähnt, das von Google übernommen worden ist. Und auf dessen Webseite über ein Jahr lang mehr als eine Million E-Mail Adressen der Kunden im Quellcode eine Webseite veröffentlicht waren. Möglicherweise einschließlich Geodaten und IP-Adressen. Das ist so ein bisschen die gleiche Richtung wie das, was du gerade hattest, David. Das heißt, ähm ne, in der URL oder hier im Quellcode. Von daher, ich glaube Da ist die Sensibilisierung tatsächlich von Nöten, dass man da auch wirklich nicht einfach kurz oder oder ähm Templates übernimmt, dann wirklich schaut, was steckt da wirklich drin, Jedenfalls äh ist das eines der Beispiele, ein anderes Beispiel, was von vorhand vor Media genannt wurde, ist, dass Google Sprachdateien gespeichert haben soll, von denen etwa 1000 Stück von Kindern stammen. Weitere Beispiele lassen sich auf der Seite von dem US-Magazin nachlesen. Interessant ist allerdings, dass Google die Echtheit der Dokumente tatsächlich bestätigt haben soll. Allerdings sollen die Vorfälle auch alle überprüft und dort, wo was dran war, auch behoben worden sein. Also meiner Meinung nach kommt es darauf an, dass interne Prozesse vorhanden sind, Und auch funktionieren. Je größer das Unternehmen, umso nachvollziehbarer ist es ja auch, dass die Anzahl der Meldungen auch zunimmt. Umso mehr, wenn äh wenn auch die Anzahl der Produkte oder die Anzahl der Beschäftigten auch ähm immer weiter steigt. Von daher ist aus meiner Sicht Die Anzahl der erfolgten Meldungen, alleine jetzt nicht zu beanstanden, wenn das natürlich auch intern sich drum gekümmert wurde und die Pflichten aus Artikel 33 und 34 nicht außer Acht gelassen worden sind. Dazu haben wir jetzt keine weiteren Angaben in dem weder in dem Reisebericht, noch in dem Bericht von vorne, nachlesen können Aber spannend ist es trotzdem, deswegen wollten wir ihnen die Meldung nicht vorenthalten. Die österreichische Bürgerrechtsorganisation Neub beklagt, dass mit Microsoft 365 Education das Nutzungsverhalten von Kindern analysiert wurde. Bei Microsoft dreihundertfünfundsechzig Education handelt es sich um eine Version von Microsoft dreihundertfünfundsechzig, die für den Einsatz an Schulen konzipiert ist. Damit können Unterrichtseinheiten geplant werden, Schülerinnen und Schüler können außerdem lernen, mit den gängigen Office-Anwendungen umzugehen, wie zum Beispiel mit oder PowerPoint. Nun hat eine Schülerin eine Beschwerde gegen Microsoft bei der österreichischen Datenschutzaufsicht eingereicht. Vertreten wird die Schülerin dabei von der Bürgerrechtsorganisation Neub Und beklagt wird, dass Schülerinnen und Schüler bei der Nutzung von Microsoft 365 Education ohne ihre Einwilligung getrackt werden. Um das zu verhindern, müsste der Bildungsträger diverse Optionen deaktivieren, was wiederum gegen das Privacy bei Default-Prinzip verstößt. Aus Sicht von Neub versucht Microsoft sich dieser Verantwortung zu entledigen, indem sie den Service nur als Auftragsverarbeiter anbieten. In Wirklichkeit könnten aber zuständige Schulen gar nicht die rechtlich vorgesehene Rolle eines rechenschaftspflichtigen Verantwortlichen in Gänze übernehmen und außerdem ist auch nicht klar, inwieweit Microsoft die Daten auch für eigene Zwecke verwendet. Also so das Grundproblem, was wir ja auch im Wirtschaftsbereich haben beim Einsatz von Microsoft dreihundertfünfundsechzig, hier natürlich nochmal in einem etwas, sensibleren Bereich, wenn man sich anschaut, dass die äh Betroffenen hier, Oft minderjährig sind und dass eben auch die Schulen oder Bildungsträger nicht immer mit den, Mitteln ausgestattet sind, dass dann auch alles so zu konfigurieren, wie’s am datenschutz freundlichsten ist. Ich glaube, das ist der Punkt, dass die Möglichkeiten zur Konfiguration oftmals nicht vollumfänglich da sind, sodass die verantwortliche Stelle natürlich verantwortlich bleibt, aber tatsächlich in der Praxis manche Sachen einfach nicht abschalten kann. Ja und dann mangelt’s auch an Alternativen. Das kommt dazu, Bezüglich Alternativen. Ich habe ein Urteil vom Amtsgericht Gelnhausen mitgebracht, indem es um schwenkbare Kameras geht. Das Amtsgericht hat sich hier mit einem Nachbarschaftsstreit beschäftigt, in dem es um das Aufstellen einer Überwachungskamera auf dem Nachbargrundstück, Diese Kamera war zwar nicht auf das Nachbargrundstück gerichtet, bot aber die Möglichkeit über einen elektronischen Mechanismus, Auf das Nachbargrundstück, was das Grundstück des Klägers ausgerichtet zu werden und bereits durch die Möglichkeit beobachtet zu werden, entstehe, so hat das Amtsgericht das gesehen, ein Überwachungsdruck, Dementsprechend hat das Amtsgericht auch entschieden, dass das Aufstellen einer Kamera, Wenn diese so geschwenkt werden kann, dass das allgemeine das Nachbarn hier beeinträchtigt wird, dass das eben unzulässig sei, Wir verlinken das Urteil in den Shownotes. Es ist vielleicht ein Urteil, was auch für Unternehmen relevant ist, wenn wirklich schwenkbare Kameras eingesetzt werden. Auch wenn es hier um einen Nachbarschaftsstreit im privaten Bereich geht, ist es ja nicht ausgeschlossen, dass auch ein Nachbargrundstücke von anderen Firmen oder anderen Beschäftigte dann aufgenommen werden von der von der Firma, der irgendwo nebenan. Den Sitz hat, Insofern ist hier noch mal der Punkt Überwachungsdruck konkretisiert worden, der einfach dadurch entsteht, dass die Überwachung möglich ist und nicht tatsächlich stattfinden muss. Meta plant, Nutzerdaten von seinen Plattformen für KI-Training einzusetzen, ohne dafür die Zustimmung der Betroffenen einzuholen. Das geht aus einer Änderung der Metadatenschutzrichtlinien hervor, die für den 26. Juni geplant ist. So dann beabsichtigt Meta gesammelte Daten der Nutzerinnen und Nutzer von Instagram und Facebook zu verwenden, um seine KI-Modelle zu trainieren und Rechtsgrundlage soll spannenderweise das berechtigte Interesse sein. Im Jahr 2021 hatte der Europäische Gerichtshof ja schon entschieden, dass Methak kein solches berechtigtes Interesse hat, sich für Werbezwecke, Nutzerdaten ohne Weiteres einzusetzen. Die äh Frage, ob das denn für das Training von KI möglich ist, ist natürlich eine andere. Die so vermute ich persönlich zumindest aber zum selben Ergebnis führen wird, nämlich dass ähm dass es dafür eine Einwilligung braucht, kann trotzdem sehr spannend werden, denn auch hier hat Neub bereits Beschwerde eingelegt und fordert die Datenschutzbehörden in Österreich, Deutschland und einigen anderen Mitgliedsstaaten der EU auf wegen der bevorstehenden Änderung ein Eilverfahren einzuleiten. Je nachdem, ob Meter dann äh mit dieser Änderung ernst macht und die Verarbeitung startet und ähm je nachdem auch, wie die Behörden sich jetzt hier positionieren werden, könnte es also zu einem neuen gerichtlichen Schlag ab Tausch zwischen Meter und neu kommen. Dann kommen wir jetzt rüber zu den Lesetipps. Ich habe ein Arbeitspapier zu mitgebracht, Und zwar hat unter dem Vorsitz des PFTI die sogenannte Berlingruppe, also eine internationale Arbeitsgruppe für Datenschutz in der Technologie, ein Arbeitspapier zu biometrischen Gesichtserkennung verabschiedet. Die Nutzungsmöglichkeiten im privaten und öffentlichen Sektor werden in diesem Dokument beschrieben und es werden auch Risiken sowie praktische Empfehlungen für eine datenschutzkonforme Anwendung vorgestellt. Mein Lesetipp kommt vom europäischen Datenschutzbeauftrag dieser hat in dieser Woche Leitlinien für die EU-Verwaltung zu generativer, künstlicher Intelligenz und personenbezogenen Daten veröffentlicht Die Leitlinien behandeln in diesem Zusammenhang die Frage der Privatsphäre in der Ära von Chatbots und Sprachmodellen sowie die Auseinandersetzung mit dem Grundsatz der Datenminimierung gemäß der Datenschutzgrundverordnung. Auch wenn der Adressat hier die EU-Organe und Behörden sind, lohnt es sich auf jeden Fall mal reinzuschauen, weil auch grundlegende Fragen wie zum Beispiel die Rolle des, Datenschutzbeauftragten beleuchtet werden. Vielen Dank, ich würde sagen, das Wochenende ist mit diesen Lesetipps gerettet. Wir sind damit auch am Ende unserer heutigen Podcast-Folge. Wir wünschen Ihnen ein schönes Wochenende, einen schönen Start dann auch in die nächste Woche und wir hoffen, dass es Ihnen gefallen hat. Dem schließe ich mich an und auf bald.
