News – Seite 2 – Datenschutz

Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa“

Der EuGH machte mit dem „Schufa-Urteil“ deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG (Bundesdatenschutzgesetz) eine „Lex Schufa“ schaffen, das:

Scoring legalisiert

und

automatische Entscheidungen
basierend auf einem Score erlaubt

und dafür einige Vorgaben enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt (siehe dazu den Vergleich der Wortlaute der bisherigen mit der neuen Regelung weiter unten).

Beispielsweise wären dank des neuen §37a BDSG automatische Entscheidungen zulässig über:

Kontoeröffnungen,
Kreditverträge,
(Vorauswahl von) Wohnungsmietinteressierten oder Stellenbewerber*innen sowie das
Zustandekommen von (Online-) Kaufverträgen

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel

„Verbraucherinnen und Verbraucher zu schützen“

dient sondern im Gegenteil

neue Möglichkeiten des Scorings

ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Die neuen Beschränkungen könnten in den bisherigen Scoring-Paragraph §31 aufgenommen werden (z.B. weder Anschriftendaten, besondere Kategorien personenbezogener Daten, Namen sowie Daten aus sozialen Netzwerken zu verwenden), aber automatische Entscheidungen sollten weiterhin untersagt bleiben, d.h der neue §37a sollte keinesfalls so verabschiedet werden.

„Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa““ weiterlesen

HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige

Die individuelle Nutzung von ChatGPT erfordert die Registrierung mit einer E-Mail-Adresse und (häufig privaten) Mobilnummer. Zudem ist das leistungsfähige ChatGPT 4 mit monatlichen Kosten von derzeit 20€ verbunden. Und der Anbieter OpenAI kann Profile generieren.

Die individuelle Anmeldung ist keine Option für alle Studierenden und Beschäftigten.

Da die Hochschullehre eine hoheitliche Aufgabe ist, kann ChatGPT nicht verpflichtend eingesetzt werden, denn die Offenlegung personenbezogener privater Daten gegenüber Open AI kann nicht eingefordert werden. Aufgrund fehlender Chancengleichheit ist die Zulässigkeit einer freiwilligen Nutzung unter diesen Bedingungen ebenso kritisch zu betrachten.

Es braucht also andere Wege!

Dass generative KI wie ChatGPT im Hochschulalltag heute und künftig eine wichtige Rolle spielt, ist offensichtlich. Im Rahmen der Kultusministerkonferenz (KMK) wird das Bekenntnis dazu gegeben und die Notwendigkeit eines fehlertoleranten Umgangs mit KI-Tools und die Schaffung rechtsicherer und chancengleicher Zugänge gefordert.

An Generativer KI führt kein Weg vorbei!

Die HAWK Hochschule in Hildesheim, Holzminden und Göttingen hat bereits im Januar 2023 eine Open-Source-Software entwickelt, die ChatGPT datenschutzkonform auf Basis eines Interfaces einbindet.

Es ist also möglich:
Datenschutzkonformer Zugang zu ChatGPT.

„HAWKI – Zugang zu ChatGPT 4 für Hochschulangehörige“ weiterlesen

Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein

Das Oberverwaltungsgericht Hamburg beschied:

Die Pflicht zum Vermerk des Geburtsdatums auf dem Kandidaturbogen zum Studierendenparlament verstößt gegen den in Art. 5 Abs. 1 Buchst. c) DSGVO verankerten Grundsatz der Datenminimierung.

Dem Gericht war die Erforderlichkeit des Geburtsdatums nicht ersichtlich, so dass dieses nicht erhoben werden darf.

„Urteil: Geburtsdatum darf kein Pflichtfeld für die Studierendenparlamentkandidatur sein“ weiterlesen

Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden

Nachdem sich Ende 2023 keine Einigung unter den Mitgliedsstaaten abzeichnete, wird die verpflichtende Chatkontrolle keine Gesetzeskraft vor der EU-Wahl im Mai erhalten.

Die derzeitige Ausnahmeregelung nach der Anbieter wie Meta und Microsoft Chatinhalte auf Kinderpornographie scannen dürfen, soll über August 2024 hinaus verlängert werden.

„Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden“ weiterlesen

Appell zur Nutzung sozialer Medien – Open Petition

Mit einem offenen Brief wendet sich das neu gegründete Aktionsbündnis neue Soziale Medien an die Hochschulrektorenkonferenz (HRK):

Die Hochschulen in Deutschland werden darin aufgefordert, ihre Auftritte bei X/Twitter „baldmöglichst still zu legen. … Gleichzeitig sollten Präsenzen auf Mastodon und anderen Servern im Fediverse aufgebaut werden, deren dezentrale und moderierte Gestaltung viel eher mit den Regeln eines demokratischen und nachhaltigen Miteinanders vereinbar ist.“

Wir begrüßen die Initiative, die zu einer größeren Unabhängigkeit von den kommerziellen sozialen Medien führen kann, wenn die Hochschulen mit guten Beispiel vorangehen.

Als Erstunterzeichner werben wir dafür, dass ihr die Petition ebenso unterschreibt!

Weitere Informationen

Open Petition: Appell an die Hochschulrektorenkonferenz zur Nutzung sozialer Medien
Aktionsbündnis neue Soziale Medien: https://bewegung.social/@neusom

Neue Outlook-App überträgt Zugangsdaten in die Microsoft-Cloud

Mit der neuen lokal installierbaren Outlook-Desktop-App werden IMAP-Zugangsdaten in die Microsoft-Cloud übertragen.

Sowohl aus Datenschutz- als auch IT-Sicherheitssicht sollte das „neue Outlook“ deshalb keinesfalls genutzt werden.

Microsoft erklärt auf Nachfrage, dass die „Datensynchronisation für konsistente Nutzererfahrung“ erforderlich sei. Anwender*innen können dann ihre Mails sowohl lokal als auch in der MS-365-Cloud abrufen.

Problematisch ist dabei auch, dass die Ausleitung der Logins und Passwörter von Microsoft nicht transparent kommuniziert wird, es gibt lediglich eine Benachrichtigung auf eine erfolgende Datensynchronisation.

Microsofts plant, Anwender*innen „soft“ in die Cloud zu migrieren („wo die Mails schon mal da sind…“), und ermöglicht damit nebenbei, alle E-Mails mitlesen zu können.

=> Betroffene sollten das Produkt umgehend außer Betrieb nehmen und ihr E-Mail-Passwort ändern.

Weitere Informationen:

Prüfung der Aufsichtsbehörde: Datenschutzkonformität von Webex ist an der FU Berlin gegeben

Die seit 2021 laufende Prüfung der Videokonferenzplattform Webex an der Freien Universität ist nun abgeschlossen, die Datenschutz-Aufsichtsbehörde des Landes (BlnBDI) hat damit den Einsatz von Cisco Webex an der Universität für zulässig erklärt. Dei Beschwede des AStA

In einem Schreiben an die Hochschule teilte die Behörde mit:

„Grund für diese Entscheidung ist, dass die für uns wesentlichen datenschutzrechtlichen und technischen Defizite abgestellt wurden.“

Die Entscheidung ist auch für andere Hochschulen erfreulich, da Webex vielerorts als Videokonferenzplattform im Einsatz ist, so auch an der TU Berlin.

Sowohl bei den technischen Anpassungen als auch zu den vertraglichen Anforderungen an Cisco gibt es einen Austausch zwischen TU und FU – datenschutzrechtlich wesentliche Aspekte sind auf dieselbe Weise gelöst, beispielsweise die Beschränkung der Verarbeitung der Meeting-Daten auf europäische Server und die generelle Empfehlung von Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings.

Weitere Informationen

Webex wird auch im Berliner Senat verwendet. Außerdem in der Berliner Justiz für Anhörungen, Gerichtsverhandlungen und Beratungen:

Senatsverwaltung für Justiz und Verbraucherschutz: IT-Einsatz in der Berliner Justiz (PDF)

Digital Services Act sorgt für einige Verbesserungen bei großen Plattformen

Die EU-Verordnung „Digital Services Act“ (DSA) soll Grundrechte stärken, Online-Dienste für die Nutzenden transparenter und sicherer machen, z.B.

personalisierte Werbung begrenzen, etwa sollen politische Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeiten keine Grundlage für Zielgruppenfilter sein.
die Generierung von Feeds soll nachvollziehbar sein
Verkäufer müssen sich auf Handelsplätzen detaillierter darstellen
Dark Pattern sind verboten
Anbieter müssen ausreichende Maßnahmen gegen Kindesmissbrauch, Hetze und Desinformation umsetzen
Es sollen wirksame Beschwerdemöglichkeiten für die Moderation geschaffen werden, um Willkür begegnen zu können (z.B. bei Löschungen)

Es sind insgesamt 19 große Plattformen benannt, auch Zalando und Wikipedia. Der DSA enthält aber neue Verpflichtungen für alle Anbieter von Online-Diensten, umfangreiche Anforderungen müssen jedoch nur die benannten ganz Großen erfüllen.

Weitere Informationen

Telemetriedatenübertragung bei Windows 10 und 11 deaktivieren (allerdings nur bei Enterprise- und Education-Lizenzen)

Windows-Admins aufgepasst!

Microsoft bietet keine Möglichkeit, die Telemetriedatenübertragung über die Benutzeroberfläche abzuschalten – ein Schelm, wer Böses dabei denkt.

Die Bayrische Datenschutzaufsichtsbehörde hat eine Anleitung veröffentlicht, wie die Telemetriedatenübertragung bei der Enterprise- und Education-Lizenz deaktiviert werden kann – mit einem Tool von Microsoft können Admins die entsprechenden Gruppenrichtlinien einstellen.

Aktuelle Kurz-Information 50: Bayerische öffentliche Stellen und die Windows-Telemetriekomponente

Die Deaktivierung funktioniert leider nicht bei der Pro- und Home-Edition, dort sind zumindest die „erforderlichen Telemetriedaten“ zu aktivieren. Die händische Deaktivierung in der Windows Registry funktioniert wohl nicht in allen Fällen/Windows-Builds, wie mensch es einstellt ist im Blog-Beitrag aus 2020 beschrieben: Schritt-für-Schritt-Anleitung: Telemetriedaten-Übertragung bei Windows 10 Home abschalten.

Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt

Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.

Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.

Die gute Nachricht zuerst:

Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.

Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.

Die schlechte Nachricht:

Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.

Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.

„Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt“ weiterlesen