Schlagwort-Archive: Datenschutz

Der erste internationale Vertrag zu KI ist am Start

Die EU, das Vereinigte Königreich und die USA haben sich final am 5. September 2024 auf einen rechtlich bindenden Vertrag zur Regulierung von KI geeinigt. Nach dem EU-AI-Act ist das ein weiterer Schritt im Hinblick auf die Beantwortung der Frage: Wie wollen wir mit KI umgehen und welche sinnvollen Grenzen wollen wir setzen?

Welche Ziele verfolgt das Abkommens?

Alle Aktivitäten im gesamten Lebenszyklus von KI-Systemen müssen mit Menschenrechten, Demokratie und Rechtsstaatlichkeit vereinbar sein. Die Legislativen schaffen einen entsprechenden rechtlichen Rahmen. Dies gilt sowohl für private, als auch für staatliche Bereiche.

Was ist ein KI-System

Ein KI-System ist ein maschinenbasiertes System, das auf Basis von Eingaben arbeitet. Es gibt Vorhersagen, Empfehlungen oder Entscheidungen, die sowohl die physische oder auch eine virtuelle Umgebung beeinflussen kann.

Welche Schutzziele werden definiert?

Als schützenswert gelten die Menschenrechte Betroffener, die Privatsphäre und der Schutz personenbezogener Daten.

KI-Systeme dürfen die Integrität, Unabhängigkeit und Effektivität demokratischer Institutionen und Prozesse nicht untergraben. Auch dazu müssen gesetzliche Rahmenbedingungen geschaffen werden.

Die Entwickler und Betreiber von KI-Systemen müssen die Achtung der Menschenwürde und der individuellen Autonomie, Transparenz und Aufsicht, Rechenschaftspflicht und Verantwortung sowie Gleichheit und Nichtdiskriminierung garantieren.

Der zu schaffende rechtliche Rahmen muss es zulassen, Informationen zu KI-Systemen einzuholen und getroffene Entscheidungen anzufechten.

Wie wird mit Risiken umgegangen, die von KI-Systemen ausgehen?

Die Risiken, die von KI-Systemen ausgehen, müssen identifiziert und bewertet werden. Risiken sind auf dieser Grundlage zu verhindern und zu mindern. Gleichzeitig soll eine sichere Innovation gefördert sichergestellt werden.

Wie soll die Einhaltung diese Vorgeben überwacht werden?

Die Legislativen müssen mindestens einen Mechanismus zur Überwachung der Einhaltung der Verpflichtungen dieses Abkommens einrichten. Dieser Mechanismus muss unabhängig und unparteiisch arbeitet. Er muss über die dafür notwendigen Ressourcen verfügen.

Dabei tauschen sich die Vertragspartner regelmäßig zum Stand, zu Ergebnissen und zu getroffenen Maßnahmen aus und fördern einen internationalen Diskurs.

Mein Fazit

Wir erleben hier gerade einen weiteren Schritt zur Regulierung von KI-Systemen nach dem EU-AI-Act. Das Konzept ist dynamisch, stellt das Individuum mit seinen Rechten ins Zentrum. Großartig!

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verabschiedet sich

Am 6. Juli 2024 endet die Amtszeit von Prof. Ulrich Kelber als Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Selten habe ich ein Ausscheiden eines Politikers aus seinem Amt so bedauert, wie in diesem Fall. Leider viel zu selten treffen Kompetenz, Durchsetzungswille, internationale Vernetzung und nationale Einbindung in politische Entscheidungsprozesse aufeinander.

Ich habe Prof. Kelber als Redner zu Datenschutzfragen erlebt. Bei ihm wäre ich gern Student. Sein persönlicher Rückblick auf eine über fünfjährige Amtszeit ist hier nachzulesen.

Worin bestehen seine und die Leistungen der von ihm bisher geleiteten Behörde? Er treibt Digitalisierung in Deutschland voran. Zeitgemäße Kommunikationsformen, digitale Aktenführung oder Cell Broadcasting als Warnmöglichkeit in Extremsituationen wurden voran gebracht.

Die Schaffung eines einheitlichen Datenschutzniveaus und die permanente Überprüfung der gesetzlichen Grundlagen an der Praxis sind ebenfalls mit sein Verdienst. Grundrechte erhalten, Überwachung minimieren oder KI-Einsatz regulieren sind nur einige Baustellen, an denen er europaweit oder auch global gearbeitet hat.

Was mir besonders gut gefallen hat, waren zwei Projekte seiner Behörde. Die Pixi-Buchreihe vermittelt kindgerecht Grundlagen zum Datenschutz. Alle Bücher dieser Reihe stehen bei mir zu Hause im Bücherregal. Der Gang zu Mastodon und das Betreiben einer eigenen Serverinstanz durch die Behörde stellte einen wichtigen Schritt weg von Twitter/X hin zu einer besseren Plattform dar.

Ich wünsche mir, dass Prof. Kelber dem Thema Datenschutz gewogen bleibt, dass er weiter Stellung bezieht und den Finger in die schlimmsten Wunden legt.

7. Juni 2024

Heute sitze ich in einer spannenden Weiterbildung mit dem Thema „Künstliche Intelligenz und Datenschutz“ in Berlin. Diese Tatsache hat mein heutiges Bild beeinflusst.

Den Prompt habe ich selbst formuliert und erneut nur von DeepL übersetzen lassen. Als Plattform kommt getimg.ai an den Start und mein Datenmodell ist Lah Mysterius. Mit diesem Modell habe ich bisher noch nicht gearbeitet. Ich bin entsprechend gespannt.

EuGH stärkt Betroffenenrechte im Datenschutz

Die dritte Kammer des Europäischen Gerichtshofes (EuGH) hat in ihrem Urteil vom 11. April 2024 die Rechte Betroffener erneut gestärkt und Pflichten der Verantwortlichen deutlich herausgestellt. Grundlage ist der 85. Erwägungsgrund zur DS-GVO:

„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“

Wie ist es nun um die Pflichten der verantwortlichen Stelle bestellt? Bereits der Verlust der Kontrolle Betroffener stellt einen Schaden dar. Die verantwortliche Stelle kann sich dabei nicht auf Fehlverhalten Mitarbeitender berufen.

Anlass zur Klage eines deutschen Rechtsanwaltes war die Tatsache, dass dieser trotz Widerrufs seiner Einwilligung weiterhin Mails mit werbendem Charakter von der juris GmbH erhielt.

Rechenschaftsbericht des Bundesbeauftragten

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Ulrich Kelber, hat in dieser Woche seinen Tätigkeitsbericht für das Jahr 2023 vorgestellt.

Der Bericht steigt gleich steil ein mit Empfehlungen an den Gesetzgeber. Diese zeigen die aktuellen Schwerpunktthemen im Datenschutz:

  • Digitalisierung im Gesundheitsbereich
  • KI
  • Chat-Kontrolle
  • digitale Identitäten
  • Datennutzung durch öffentliche Stellen
  • Beschäftigtendatenschutz im Kontext von KI
  • Evaluierung des Zulässigkeitsrahmens von Videomeetings in Gerichtsverhandlungen

Beanstandungen im Berichtszeitraum gab es gegenüber:

  • Agenturen für Arbeit
  • Krankenkassen
  • Bundesämtern
  • Bundespolizei und Zoll
  • privaten Post- und Telekommunikationsdienstleistern

Was außerdem hervorhebenswert ist: Die von Prof. Kelber geleitete Behörde ist innerhalb der EU und in der Welt ein anerkannter Partner in Fragen des Datenschutzes.

Wir schaffen hohe Datenschutzstandards auf globaler Ebene. Diese Harmonisierung ist ein Fortschritt für die Rechte der Bürgerinnen und Bürger, aber eben auch für die Wirtschaft, die auf einen freien und vertrauensvollen Datenverkehr angewiesen ist. Die Expertise des BfDI dazu wird international geschätzt und intensiv nachgefragt.

Prof. Ulrich Kelber

Datenschutztag

Seit 1981 begehen wir den Europäischen Datenschutztag am 28. Januar. Warum? Am 28. Januar 1981 beschloss der Europarat das Übereinkommen Nr. 108 „zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“. Ziel war und ist es immer noch, die Grundrechte Betroffener bei automatisierter Verarbeitung personenbezogener Daten zu sichern und zu stärken.

Aktuell sehe ich drei große Probleme, vor denen der Datenschutz steht.

Problem 1: Informationelle Selbstbestimmung

Das Abwägen zwischen Bequemlichkeit und den Schutz eigener Daten, der eigenen digitalen Identität führt leider zu oft zu Entscheidungen in Richtung Bequemlichkeit. Cookies ablehnen ist leider immer noch zu häufig aufwendiger, als sie einfach nur schnell zu akzeptieren. Der Einsatz nicht datenschutzgerechter Werkzeuge ist allgemein anerkannt, auch wenn es sehr wohl datenschutzgerechte Lösungen gäbe. Die Hemmschwelle, auf Social-Media-Plattformen auch jedes noch so intime Detail zu posten, ist ungebremst niedrig. Und Bildung tut immer noch zu wenig, um Kompetenzen zur informationellen Selbstbestimmung bei Jugendlichen (und auch schon bei Kindern) zu stärken.

Problem 2: Unsere Daten sind unsicher

Immer noch gelingt es zu oft Kriminellen, an personenbezogene Daten zu gelangen. Der IT-Governance-Blog geht von über 8 Mrd. geleakten Datensätzen alleine 2023 aus. Hier werden zu sehr die Betroffen in die Pflicht genommen. Doch wo bleiben die Pflichten der Verantwortlichen, personenbezogene Daten vor Angriffen zu schützen?

Problem 3: KI

Bei aller Begeisterung für generative KI muss die Frage nach dem Schutz von Privatsphäre gestellt werden. Welche Daten werden als Trainingsdaten verwendet? Wie trainiert mein eigenes Nutzerverhalten eine KI und wie stehen die so gewonnenen Daten der Allgemeinheit zur Verfügung?

WhatsApp und kein Ende

Datenschutzrechtlich hängt das Thema „WhatsApp“ immer noch in der Luft. Nun hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber die irische Datenschutzbehörde aufgefordert, endlich alle im Verfahren noch offnen Fragen einer Klärung zuzuführen.

Hauptkritikpunkt ist die „erzwungene“ Einwilligung in die geänderten Nutzungsbedingungen.

Ich bin froh, dass ich mich rechtzeitig von WhatsApp verabschiedet habe.

Europäische Kommission bestätigt USA angemessenes Schutzniveau

Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework (dem Nachfolger des „Privacy Shields Abkommens“) in einem Angemessenheitsbeschluss ein hinreichendes Schutzniveau attestiert. Damit ist es wieder möglich, personenbezogene Daten (pbD) aus dem EWR in die USA zu übertragen. Einzige Voraussetzung: Die Empfänger pbD müssen vom US-Wirtschaftsministerium zertifiziert und in der dazu geführten Datenbank geführt werden.

Es sind damit keine Begleitmaßnahmen mehr erforderlich. Gründe für die Zulässigkeit einer Datennutzung sind aber weiterhin gültig.

Weitere rechtliche Prüfungen werden folgen. Es bleibt also spannend. Warum das neue Abkommen in der Kritik steht, wird hier sehr gut zusammengefasst.

In dieser Woche (KW26): Jetzt gibt es keine Ausreden mehr

OpenTalk ist gestartet. Für diese neue Videokonferenz-Plattform ist der Quellcode auf OpenCode veröffentlicht. Es geht um nichts geringeres als Zoom, Teams und anderen, nicht DS-GVO-konforme, Anbietern eine datenschutzgerechte und transparente Lösung entgegenzustellen. Die Preise sind moderat (die Premium-Lösung kostet 125 Euro pro Jahr netto).

Welche Ausreden will man jetzt noch bringen? OK – Funktionalität. Die werde ich testen. Ansonsten sollte es schwer fallen, weiter an den Gespenstern (Zoom, Teams, WebEx…) festzuhalten.