Ereignisreiche Sommermonate! Juli, August und September brachten unsere Leserschaft ins Schwitzen: Scraping, Kontrollverlust, E-Mail Sicherheit? Keine Sorge: Behörden und Gerichte waren dran und hatten Einiges beizutragen. Der Stoff ging uns auch nicht aus beim Dauerthema KI: Hier drehten sich unsere Artikel vor allem um die aktuelle Regulierung durch die KI-Verordnung der EU. Kompliment an alle, die da einen kühlen Kopf bewahren konnten.
Der Inhalt im Überblick
Juli – Sicherheit, Schadensersatz und Digitalgesetze
Wenn Hacker auf E-Mails zugreifen, dann ist die Sommerstimmung schnell dahin. Gut, dass der BSI mit neuen Empfehlungen Unternehmen beim Schutz ihrer E-Mail-Kommunikation hilft. Wie, das beleuchteten wir in unserem Beitrag zu E-Mail-Sicherheit.
Nicht nur gehackte E-Mail-Kontos bringen die Stimmung auf den Gefrierpunkt. Auch Scraping ist ein unliebsames Thema. Darunter versteht man automatisiertes Auslesen und Sammeln von Websitedaten oder anderen digitalen Quellen mit technischen Programmen. Die eigenen Daten können davon betroffen sein – zum Beispiel, wenn ein Tool Profilfotos von Facebook ausliest. Unter Umständen kann man dabei nach der DSGVO Schadensersatz verlangen. Es gibt aber viel Streit darüber, wann genau das der Fall ist. Einen Kontrollverlust muss man erst einmal nachweisen können. Wie das geht, das haben wir uns in dem Artikel genauer angeschaut und die einschlägige Rechtsprechung beleuchtetet.
Sommer heißt Urlaub! Wir wendeten daher unseren Blick nach Brüssel und damit zur EU. Diese hat eine Vielzahl an Digitalgesetzen. Eines der Prominentesten: der Digital Services Act (DSA), der große Onlineplattformen („groß“ heißt über 45 Mio. Nutzende) in die Verantwortung nimmt. Wir untersuchten dabei eine Altersverifikations-App, genauer gesagt: Einen Prototyp für eine solche App, präsentiert von niemand Geringerem als der EU-Kommission. Hintergrund: Die App soll Plattformen dabei unterstützen, ihre Pflichten aus dem DSA zu erfüllen.
À propos Digitalgesetze: Natürlich darf hier die neue KI-Verordnung nicht fehlen. Für unsere Leserschaft gingen wir der Frage nach, was sich eigentlich hinter der „Grundrechte-Folgenabschätzung“ verbirgt, die in der KI-Verordnung geregelt ist. Etwa das Gleiche wie bei einer „Datenschutzfolgenabschätzung“? Spoiler Nr.1: Nein, obwohl es Parallelen gibt. Spoiler Nr. 2: Zur Durchführung einer solchen Grundrechtefolgenabschätzung sind viel weniger Unternehmen verpflichtet, als gemeinhin angenommen wird.
Die KI-Verordnung beschäftigt die Gemüter, und damit auch uns. Aber: Wer überwacht eigentlich ihre Einhaltung? Antwort: Bisher noch niemand. Die Bundesnetzagentur soll die zuständige Behörde für die KI-Marktüberwachung in Deutschland werden. Das ist noch nicht offiziell, aber es ist geplant – zum Verdruss der Datenschutzbehörden. Ihren Plan unterstrich die Bundesregierung damit, dass der Bundesdigitalminister bei der Bundesnetzagentur einen „KI-Service Desk“ einrichtete: Ein Beratungsangebot für Unternehmen, Behörden und Organisationen. Das ihnen – z. B. mit Hilfe eines „interaktiven Compliance Kompass“ – bei der rechtssicheren Umsetzung der Verordnung helfen soll.
August – Behörden und Smartphones, Intelligenz und Resilienz
Im August griffen wir das Thema KI-Marktüberwachung erneut auf. Und setzten uns damit auseinander, dass Deutschland hier eine Frist gerissen hat: Bis zum 2. August hätte der Gesetzgeber eine Behörde für die Marktüberwachung benennen müssen. Bis dato liegt hierfür aber nur ein Gesetzesentwurf vor. Was zur Verzögerung beigetragen hat: Die Zuständigkeit wanderte mit der neuen Bundesregierung in das ebenfalls neue Bundesministerium für Digitalisierung und Staatsmodernisierung.
Abseits von der so prominenten KI-Verordnung, verdiente ein weiterer EU-Rechtsakt unsere Aufmerksamkeit: DORA. Hinter diesem Namen verbirgt sich nicht etwa eine nette Dame, sondern der „Digital Operational Resilience Act“. Dieser soll die digitale Widerstandsfähigkeit von Finanzunternehmen stärken. Bestimmte IKT-bezogene Vorfälle müssen hiernach gemeldet werden.
Das Thema „Meldung“ lässt Datenschützer:innen unweigerlich an die Aufsichtsbehörden denken. Aber was tun, wenn diese unangekündigt vor der Tür stehen? Am besten ist, man hat für solche Fälle einen Ablaufplan zur Hand. Wir gaben Tipps dazu, was in diesem Plan stehen sollte.
Wenn man im Sommer eine Auszeit vom Job nimmt, hat man mehr Zeit für das private Handy. Für Eltern heißt das gerne: Fotos ihrer Kinder teilen – und das oft auf allen Kanälen. Sharing is caring? Nicht immer. Sogenanntes „Sharenting“ gerät zunehmend in Verruf. Wir befassten uns damit, warum das so ist. Und wie Eltern zu einem verantwortungsbewussten Umgang mit den Daten ihrer Kinder finden können.
Außerdem schlugen wir die Brücke von der Familie zum Staat: Sicherheitsbehörden haben ein Interesse daran, große Datenmengen zu analysieren. Ob sie dafür ausgerechnet die Software Palantir einsetzen sollten, wird kontrovers diskutiert.
September – Roadtrip zum EuGH und (Daten)schutzfaktoren
Der September brachte ein Highlight: Mit der Datenschutzkonferenz in Düsseldorf fand das „Klassentreffen der Datenschützer“ statt. Wir berichteten von dem diesjährigen Treffen, bei dem es neben Netzwerken auch um Inhalte ging: Die Datenschutzgemeinschaft bewegten u. a. innovative Technologien und internationaler Datentransfer.
Unternimmt man von Düsseldorf einen Roadtrip in südwestliche Richtung, dann kommt man nach Luxemburg. Was dort wartet? Richtig, Rechtsprechung. Neues vom EuGH wurde von uns untersucht. Dabei lag der Fokus auf den Betroffenenrechten und dem Streit um ihre Einhaltung.
Profis wissen, was man für jeden gelungenen Roadtrip braucht: Ein Smartphone. Mit dieser Erkenntnis wendeten wir den Blick auf das Handy und stellten fest: Apps brauchen besondere Datenschutzerklärungen. Zu meinen, dass man hier die Datenschutzerklärungen von Websites einfach kopieren kann, ist ein Irrtum. Ein wesentlicher Grund dafür sind Unterschiede im Systemzugriff – aber auch die technischen Daten, die Apps regelmäßig im Hintergrund erfassen, spielen eine Rolle.
Ganz im Zeitgeist, blieben wir am Handy. Siri ist raus aus den Kinderschuhen: Die die Apple-Assistenz entwickelt sich mit „Apple Intelligence“ weiter. Das bedeutet, dass Siri KI-Features hat und damit komplexere Aufgaben bewältigen kann. Was auch komplexere Anforderungen an den Datenschutz mit sich bringt. Die gute Nachricht: Apple hat den Datenschutz rund um Siri stetig erweitert. Herausforderungen bestehen trotzdem, so dass wir unserer Leserschaft auch einige, konkrete Empfehlungen zur Nutzung von Siri an die Hand gaben.
Herausforderungen und Risiken – das sind nicht nur Sommerthemen. Auch wenn man vielleicht nicht zu jeder Jahreszeit SPF 50 braucht. Zumindest dann nicht, wenn es regnet. Und man drinnen vor dem Computer sitzt. Ein hoher Datenschutzstandard ist dagegen immer eine gute Idee. Wir nutzten den September darum auch, um einen kritischen Blick auf das „DPF“ zu werfen, das Data Privacy Framework. Dieses Abkommen zwischen der EU und den USA soll hohe Datenschutzstandards beim Datenaustausch gewährleisten. Das Gericht der Europäischen Union (EuG, zu unterscheiden vom EuGH) befasste sich mit der Frage, ob das in Anbetracht der aktuellen politischen Lage noch der Fall ist. Mit seinem Urteil befassten wir uns. Und stellten fest: Zwar gilt das DPF fort, das letzte Wort ist aber noch nicht gesprochen.
Mit unseren Highlights aus den Monaten Oktober, November und Dezember folgt morgen der vierte und letzte Teil unseres Jahresrückblicks.
