Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Versuchskaninchen Profifussballer*in – Die Vermessung des Sports

Datenschutzbedenken gab es mit den ersten Fitnesstrackern – aber für die Nutzenden sind sie praktisch, da die eigenen Werte und Perfomancedaten leicht zugänglich und auswertbar sind.

Aber eben auch für Dritte: Nicht nur die Anbieter selbst, die sich häufig Verwertungsrechte der in ihrer Cloud gespeicherten Fitness- und Trackingdaten  einräumen, es gibt viele Interessierte: Krankenkassen, Versicherungen oder potentielle Arbeitgeber – denn aus den gesammelten (Gesundheits-)daten lassen sich viele Rückschlüsse ziehen.

Im Profisport hat die Vermessung der Sportler*innen ein ziemliches Ausmaß angenommen.

Offensichtlich wird es im Fussball:

  • Sensor-bestückte Trikots und Brustgürtel-Tops sammeln Fitnessdaten (z.B. Puls, Atemfrequenz, Position und Beschleunigung),
  • Bewegungen der Spieler*innen werden mit KI-unterstützter Kameraüberwachung ausgewertet,
  • Genaue Arm- und Beinbewegungen können aus den Videodaten errechnet werden. Bei der Euro 2024 werden Abseits und Handspiele damit überprüft.

„Versuchskaninchen Profifussballer*in – Die Vermessung des Sports“ weiterlesen

Hintergründe des Appells „Für die Nutzung wirklich sozialer Medien an den Hochschulen“

Zur Kolumne von Prof. Martin Buchholz, TU Berlin – Mitinitiator der Petition:

Chatkontrolle erneut auf EU-Verhandlungstisch

Dem aktuellen Vorschlag nach soll Client-side Scanning von Audio- und Video-Daten erfolgen und Nutzer müssten dem „freiwillig“ zustimmen, wenn sie Audio- und Video-Daten über Dienste teilen wollen.

Wiewohl es mehrere Rechtsgutachten gibt, die die Legalität der Chatkontrolle bestreiten, wollen EU-Kommission und EU-Rat das Gesetz durchdrücken und dabei sehenden Auges

„Rechtsunsicherheit in Kauf nehmen“

Zu befürchten ist eine Einigung beim Treffen der Innenminister wenige Tage nach der Europawahl.

Die derzeitige Sperrminorität bröckelt – mind. 4 Staaten mit 35% Bevölkerungsanteil müssten dagegen stimmen und Frankreich scheint die Seite zu wechseln.

Insofern:

Augen auf bei der Europawahl – die Bürgerrechte sind in Gefahr!

Weitere Informationen

Nachtrag vom 20. Juni 2024:

Chatkontrolle vorerst gescheitert – EU-Rat erreicht keine qualifizierte Mehrheit!

Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI

Die EU ist Vorreiter und versucht sich an einer Harmonisierung der Gesetzgebung zur KÜNSTLICHEN INTELLIGENZ – Kernstück ist die KI-Verordnung (KI-VO bzw. „AI Act“). Im März nahm sie die letzte Hürde: die Zustimmung des Europaparlaments.

In Kraft treten wird sie nach bestimmten Fristen beginnend mit der Veröffentlichung, vorausssichtlich noch in dieser Legislaturperiode des EU-Parlaments.

Vor der Verabschiedung im Europaparlament gab es Diskussionen über biometrische Identifizierungsmethoden, die nun (doch) in bestimmten Ausnahmesituationen für die Strafverfolgung erlaubt sind. Außerdem gab es Bestrebungen, allgemeine KI-Systeme wie bspw. Large Language Modelle (LLMs) auszunehmen, um europäische Unternehmen nicht zu benachteiligen – ausgenommen sind nun lediglich kleinere Modelle.

Ziel der Verordnung ist einerseits die Regulierung als risikoreich kategorisierter KI-Systeme und andererseits die Förderung von Innovationen innerhalb der EU.

„Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI“ weiterlesen

Wie wirken sich Herausgabepflichten von US-Firmen auf die Nutzbarkeit von Cloud-Diensten für deutsche Behörden aus?

Der wissenschaftliche Dienst des Bundestages hat dazu ein Gutachten erarbeitet. Hochschulen sind auch Behörden, stehen also vor derselben Problematik!

Auf die Frage:

Sind personenbezogene Daten in Cloud-Diensten vor dem Zugriff durch US-Behörden geschützt?

Gibt es die salomonische Antwort:

Im Prinzip ja, zumindest aus datenschutzrechtlicher Sicht und insbesondere, sofern keine US-(Tochter-)Firmen in die Verarbeitung involviert sind. Aber selbst bei denen kommen möglicherweise keine Herausgaben vor.

Und dass es auf den Einzelfall ankommt und ob (durch den Cloud-Anbieter) geeignete Maßnahmen umgesetzt werden, die das Risiko einer Herausgabe minimieren.

„Wie wirken sich Herausgabepflichten von US-Firmen auf die Nutzbarkeit von Cloud-Diensten für deutsche Behörden aus?“ weiterlesen

Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden. „Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie“ weiterlesen

ChatGPT kennt Dich – die neue Memory-Funktion

Wie vermutet, merkt sich OpenAI / ChatGPT nun, was man so chatted. Aus dem Chatverlauf wird ein Profil generiert und im sogenannten „Memory“ gespeichert.

Das Chatten soll sich dadurch verbessern, da ChatGPT dann einiges über die Person weiß und ständig dazulernt, z.B. was die Interessen sind, ob mensch Kinder hat …

Damit bietet chatGPT eine neue Angriffsfläche: Wer Zugriff auf das Profil bekommt, weiß einiges über die Person und kann das gezielt ausnutzen. Zunächst OpenAI und vermutlich auch Microsoft, aber künftig vielleicht auch Partner, die passgenauen Content liefern, wie mensch es von den Social Media Plattformen kennt. Und Kriminelle dürften auch ein Interesse haben, denn Identitätsdiebstahl wird mit einem gehackten Profil leichter.

Im Default ist der „Memory“ aktiviert und wird auch zum Training des LLM genutzt – immerhin kann beides in den Tiefen der Einstellungen deaktiviert werden (aber eben nur als Opt-Out). Auch wenn es mühsamer ist und der Chat vielleicht nicht so flüssig startet wie mit „Gedächtnis“ sollte jede*r die Memory-Funktion deaktivieren.

Weitere Informationen

Nachtrag vom 10. Juni 2024:

Die Memory-Funktion ist seit Ende April weltweit für ChatGPT Plus-Accounts verfügbar, allerdings bislang noch nicht in Europa und Korea.

Immerhin ist das „Gedächtnis“ transparent, d.h. Anwender können einzelne Erinnerungen löschen, wovon -sofern es aktiviert ist- auch Gebrauch gemacht werden sollte, siehe
https://help.openai.com/en/articles/8590148-memory-faq .

 

Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa“

Der EuGH machte mit dem Schufa-Urteil deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG (Bundesdatenschutzgesetz) eine „Lex Schufa“ schaffen, das:

Scoring legalisiert

und

automatische Entscheidungen
basierend auf einem Score erlaubt

und dafür einige Do´s und Don´t enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt (siehe dazu den Vergleich der Wortlaute der bisherigen mit der neuen Regelung weiter unten).

Beispielsweise wären dank des neuen §37a BDSG automatische Entscheidungen zulässig über:

  • Kontoeröffnungen,
  • Kreditverträge,
  • (Vorauswahl von) Wohnungsmietinteressierten oder Stellenbewerber*innen sowie das
  • Zustandekommen von (Online-) Kaufverträgen

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel

  • „Verbraucherinnen und Verbraucher zu schützen“

dient sondern im Gegenteil

  • neue Möglichkeiten des Scorings

ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Die neuen Beschränkungen könnten in den bisherigen Scoring-Paragraph §31 aufgenommen werden  (z.B. weder Anschriftendaten, besondere Kategorien personenbezogener Daten, Namen sowie Daten aus sozialen Netzwerken zu verwenden), aber automatische Entscheidungen sollten weiterhin untersagt bleiben, d.h der neue §37a sollte keinesfalls so verabschiedet werden.

„Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa““ weiterlesen

Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Damit werden Passwörter überflüssig und können nicht mehr gehackt werden.

Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

Hinweis v. 13.5.24:
Seit Februar hat sich einiges getan, u.a. unterstützt der Passwortmanager KeyPassXC mittlerweile Passkeys, so dass darüber eine Unabhängigkeit von Anbietern und ein Austausch über verschiedene Geräte hinweg grundsätzlich möglich ist, die vermutlich aber nur von einem Bruchteil der Anwender genutzt werden wird. Jedoch bleibt der Kritikpunkt bestehen, dass die Anbieter die Passkeys mit eigenen Tools verwalten wollen (und in ihrer Cloud speichern), eine leichtgewichtige, unabhängige und verlässliche Lösung zeichnet sich noch nicht ab.

  • Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

„Passwörter adé? Wie sicher sind Passkeys?“ weiterlesen