News – Seite 4 – Virtuelles Datenschutzbüro

Datenschutzkonferenz veröffentlicht Orientierungshilfe zu Künstlicher Intelligenz – Kugelmann: „Unternehmen und öffentliche Stellen nicht alleine lassen“

Veröffentlicht am: 6. Mai 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor. Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen. Im Sinne einer Checkliste dient das Papier als Leitfaden insbesondere für datenschutzrechtlich Verantwortliche, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Die Orientierungshilfe wird künftig weiterentwickelt und an aktuelle Entwicklungen angepasst.

Viele öffentliche und private Stellen fragen sich derzeit, unter welchen Voraussetzungen sie KI-Anwendungen datenschutzkonform einsetzen können. Besonderes Interesse gilt dabei den sogenannten Large Language Models (LLM), die häufig als Chatbots angeboten werden, aber auch als Grundlage für andere Anwendungen dienen können. Der Schwerpunkt der Orientierungshilfe „KI und Datenschutz“ liegt daher auf diesen KI-Anwendungen. Über die LLM hinaus gibt es jedoch zahlreiche weitere KI-Modelle und KI-Anwendungen, deren Einsatz infrage kommen kann und für die viele der Erwägungen in dem nun von der Datenschutzkonferenz veröffentlichten Papier bedeutsam sind.

Praxisnah adressiert die Orientierungshilfe Fragen, die datenschutzrechtlich Verantwortliche bei der Konzeption des Einsatzes, der Auswahl, der Implementierung und der Nutzung von KI-Anwendungen stellen und beantworten müssen. Ob Zweckbestimmung, Transparenzpflichten, Betroffenenrechte oder Richtigkeit von Ergebnissen: Die Orientierungshilfe erörtert – auch anhand von Beispielen – wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung und zeigt Leitlinien für entsprechende Entscheidungen auf.

Erarbeitet wurde die Orientierungshilfe Künstliche Intelligenz und Datenschutz von der Taskforce KI unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Prof. Dr. Dieter Kugelmann erläutert die Motivation für das Papier: „Wir wissen und erkennen an, dass Unternehmen und Behörden sich aktuell unter Hochdruck mit dem möglichen Einsatz von KI-Anwendungen auseinandersetzen. Allerdings sind in einem hochdynamischen Umfeld tragfähige Bewertungen schwierig. Zudem werden wesentliche Fragen zur Nutzung personenbezogener Daten für das Training von KI-Anwendungen von vielen Anbietern nicht transparent beantwortet. Andererseits sollten innovative Lösungen auch mittels KI möglich sein. In dieser Situation möchten wir gerade kleine und mittlere Unternehmen sowie öffentliche Stellen nicht alleine lassen. Wir wollen ihnen ein Werkzeug an die Hand geben, um ihre Entscheidung informiert zu treffen und ihre datenschutzrechtliche Verantwortung bestmöglich wahrzunehmen.“

Die Taskforce KI der Datenschutzkonferenz hat bereits 2019 die Hambacher Erklärung zur Künstlichen Intelligenz vorgelegt und befasst sich gegenwärtig mit der datenschutzrechtlichen Prüfung des Dienstes ChatGPT.

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Denn sie enthält Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen, die auf die Gestaltung der Produkte zurückwirken. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind allerdings nicht Schwerpunkt dieser Orientierungshilfe.

Download:

Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ (PDF)<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz_web.pdf>

Wahlwerbung mit Adressdaten vom Meldeamt? Landesdatenschutzbeauftragter informiert über die Zulässigkeit der Adressweitergabe und das Widerspruchsrecht

Veröffentlicht am: 30. April 2024

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 30.04.2024

Im Vorfeld der Europa- und Kommunalwahlen in Rheinland-Pfalz flattern nicht nur Wahlbenachrichtigungen ins Haus. Viele Bürgerinnen und Bürger finden auch postalische Wahlwerbung von politischen Parteien in ihren Briefkästen vor. Die Adressdaten dafür kommen von den Meldeämtern. Ist das erlaubt? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat die wichtigsten Fragen und Antworten zur Zulässigkeit der Adressweitergabe und zum Widerspruchsrecht zusammengestellt.

Weiterlesen Wahlwerbung mit Adressdaten vom Meldeamt? Landesdatenschutzbeauftragter informiert über die Zulässigkeit der Adressweitergabe und das Widerspruchsrecht

Sächsische Datenschutz- und Transparenzbeauftragte stellt Tätigkeitsbericht Datenschutz 2023 vor

Veröffentlicht am: 24. April 202424. April 2024

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Mittwoch in Dresden ihren Datenschutz-Tätigkeitsbericht an Landtagspräsident Dr. Matthias Rößler übergeben. In der Publikation sind die Arbeitsschwerpunkte des zurückliegenden Jahres zusammengefasst. Neben besonderen Fällen aus der Datenschutzpraxis enthält der Bericht Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung und zur Rechtsprechung.

Mehr Beschwerdeverfahren (S. 194)

Im Berichtszeitraum gingen bei der SDTB rund 1.160 Beschwerden und Kontrollanregungen zu potenziellen Datenschutzverstößen ein. Das waren fast zehn Prozent mehr als im Vorjahr. Der Zuwachs betraf vor allem den nichtöffentlichen Bereich. Das heißt, es handelte sich bei den datenschutzrechtlich Verantwortlichen beispielsweise um Unternehmen oder Privatpersonen.
Hinzu kamen knapp 600 schriftliche Beratungsanfragen.

Höchststand bei gemeldeten Datenpannen (S. 178 ff.)

Eine Steigerung der Fallzahlen verzeichnete die Sächsische Datenschutz- und Transparenzbeauftragte auch bei den gemeldeten Datenpannen: »2023 teilten mir Verantwortliche rund 950 Datenschutzverletzungen mit, so viele wie noch nie«, sagt Dr. Juliane Hundert.
Zum Vergleich: 2022 erreichten die SDTB etwa 150 Meldungen weniger.
Zu den häufigsten Datenpannen gehörten der Fehlversand sowie der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität.

KI und die Prüfung von ChatGPT (S. 26 f.)

Im Berichtszeitraum kam eine breite Debatte zum Einsatz von Künstlicher Intelligenz auf – maßgeblich entfacht durch die Entwicklungen bei ChatGPT von OpenAI. Deutsche und europäische Aufsichtsbehörden hatten allerdings Zweifel, dass der Dienst alle Anforderungen des europäischen Datenschutzrechts erfüllt. In Abstimmung mit den anderen Datenschutzbeauftragten leitete auch die SDTB ein Verfahren gegen das Unternehmen ein.
Dr. Juliane Hundert: » Im Rahmen unserer Prüfung ist deutlich geworden, dass auch bei KI-Anwendungen auf die Einhaltung datenschutzrechtlicher Regelungen geachtet werden muss. Dies gilt insbesondere für die öffentliche Verwaltung. Sie nimmt öffentliche Aufgaben wahr und kann sich deshalb bei der Verarbeitung personenbezogener Daten nicht auf ein unternehmerisches Interesse berufen. Natürlich bieten neue Technologien Chancen, aber wir müssen auch auf die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger schauen und diese Risiken minimieren.«

Polizei und Justiz

Seit jeher gehören Polizei und Justiz wegen der hohen Eingriffstiefe in die Grundrechte zu den Schwerpunkten der Datenschutzaufsicht. Für Schlagzeilen sorgten im vergangenen Jahr die Ereignisse auf einer Demonstration in Leipzig (S. 41 ff). Am sogenannten »Tag X« kam es zu Angriffen auf Polizeibeamte und zu Sachbeschädigungen. Einsatzkräfte kesselten daraufhin über 1.300 Personen ein. Die Polizei nahm Identitätsfeststellungen vor und beschlagnahmte über 380 Mobiltelefone. Dr. Juliane Hundert: »Ich habe die Strafverfolgungsbehörden darauf aufmerksam gemacht, dass der Anteil verfahrensrelevanter Daten auf den beschlagnahmten Mobiltelefonen verschwindend gering sein dürfte. Zudem wies ich daraufhin, dass nach geltendem Recht, nicht verfahrensrelevante Daten unverzüglich gelöscht bzw. herausgegeben werden müssen. Später erfolgte aufgrund einer Allgemeinverfügung der Staatsanwaltschaft eine Freigabe bzw. Herausgabe von beschlagnahmten Mobiltelefonen, nachdem die Daten zuvor gesichert worden waren. Die Auswertung der gesicherten Datenbestände muss nun zeitnah erfolgen, damit die großen Mengen verfahrensirrelevanter, jedoch höchstpersönlicher Daten gelöscht werden können.«

Schwärzung von Sitzungsunterlagen für Gemeinderäte (S. 36 ff.)

In einem anderen Fall weigerte sich ein Bürgermeister, den Mitgliedern des Gemeinderats ungeschwärzte Sitzungsunterlagen vorzulegen. Geschwärzt wurden Firmennamen und -adressen, die zur Vorbereitung eines Zuschlagsbeschlusses für eine kommunale Vergabe an die Gemeinderäte übersandt wurden. Der Bürgermeister begründete die Schwärzung damit, dass die Bieterauswahl anonym und die Gemeinderäte objektiv entscheiden sollen.
»Allerdings wurde dabei nicht beachtet, dass die Gemeindeordnung vorsieht, dass den Ratsmitgliedern alle Unterlagen zur Verfügung gestellt werden müssen, die für die Beratung und Meinungsbildung benötigt werden. Dazu gehören selbstverständlich auch die Namen der Firmen, die sich auf eine öffentliche Ausschreibung beworben haben. Hier ist dem umfassenden Informationsbedarf der Räte Rechnung zu tragen. Diese sind wiederum verpflichtet, in bestimmten Fällen zum Schutz personenbezogener Daten Verschwiegenheit zu wahren«, sagt Sachsens Datenschutzbeauftragte.
Das Verfahren konnte 2023 noch nicht abgeschlossen werden.

Großes Themenspektrum im Berichtszeitraum

Neben den genannten Vorgängen befasste sich die SDTB mit einer Vielzahl an weiteren Sachverhalten, zum Beispiel mit der Zuverlässigkeitsüberprüfung von Personen für die Fußballeuropameisterschaft (S. 44 ff.), mit dem Beschäftigtendatenschutz bei der Vorlage von erweiterten Führungszeugnissen (S. 39 ff.), mit dem Datenschutz bei Funk-Rauchwarnmeldern (S. 86 ff.) und fernablesbaren Messgeräten (S. 88 ff.), mit Kfz-Kennzeichenerfassungssystemen (S. 61 ff.), mit der überzogenen Datenerhebung bei der Schulaufnahmeuntersuchung (S. 95 ff.) und der Aufzeichnung von Telefongesprächen durch eine Sozialbehörde (S. 107 ff.).
Weiterhin hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (S. 199 f.).

Bezug des Tätigkeitsberichts Datenschutz 2023

Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de

Datenschutzbericht 2024 – den Datenschutz mit einer Stimme vertreten

Veröffentlicht am: 23. April 2024

Pressemitteilung der Landesbeauftragten für Datenschutz und Landesbeauftragten für Informationszugang Schleswig-Holstein vom 23.04.2024

Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit. Eine Besonderheit im Berichtsjahr: Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.

Weiterlesen Datenschutzbericht 2024 – den Datenschutz mit einer Stimme vertreten

Berliner Datenschutzbeauftragte appelliert an Parteien, den Datenschutz im Europawahlkampf zu achten

Veröffentlicht am: 23. April 2024

Pressemitteilung der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Meike Kamp appelliert an die Parteien, beim Wahlkampf für die Wahlen zum Europäischen Parlament den Datenschutz zu achten. Die Parteien sollten auf Microtargeting bei digitaler Wahlwerbung verzichten und für Angriffe auf ihre IT-Systeme sowie Desinformation gewappnet sein, betont Kamp in einem Schreiben <https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2024/20240423-BlnBDI-Schreiben-Parteien.pdf> an alle im Bundestag vertretenen Parteien mit Sitz in Berlin.

Im Vorfeld von Wahlen nutzen Parteien zunehmend digitale Medien, um ihre Botschaften zu transportieren und Wähler:innen für sich zu gewinnen. Dabei setzen Parteien auch auf sogenanntes
Microtargeting in sozialen Netzwerken, also die gezielte Ausspielung von Werbebotschaften an Personengruppen basierend auf deren demografischen Daten, politische Interessen oder
Verhaltensweisen. Diese Daten werden zuvor im Hintergrund durch Werbenetzwerke mittels Tracking-Technologien erhoben, ausgewertet und bestimmten Interessenkategorien zugeordnet. Dadurch entstehen umfangreiche Nutzungsprofile, die es Werbenden ermöglichen, maßgeschneiderte Inhalte an ausgewählte Adressat:innen auszuspielen.

Neben den Online-Plattformen auf denen die Werbung geschaltet wird, tragen auch die Parteien eine rechtliche Verantwortung für die Datenverarbeitungen. Die Parteien nutzen die von den
Werbenetzwerken über potenzielle Wähler:innen gesammelten personenbezogenen Daten, indem sie daraus erstellte Interessenkategorien für die gezielte Ausspielung ihrer Wahlwerbung auswählen. Es besteht die Gefahr, dass das zielgenaue Ausspielen von politischer Werbung auf der Grundlage von umfassenden Nutzungsprofilen den öffentlichen Diskurs verzerrt, polarisierende Inhalte verstärkt und Debatten fragmentiert.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wahlwerbung, die auf der Grundlage von umfangreichen Nutzungsprofilen selektiv ausgespielt wird, birgt Risiken für die freie Meinungsbildung. Für die Adressat:innen dieser Werbung ist es schwer einzuordnen, was die
Werbenden veranlasst hat, speziell sie mit dem spezifisch zugeschnittenen Inhalt anzusprechen. Es steht zu befürchten, dass die Adressat:innen von Wahlwerbung nur noch mit dem konfrontiert werden, was sie individuell hören möchten, so dass zentrale Funktionen der Parteien wie die politische Willensbildung und die Anregung zum öffentlichen Diskurs auf der Strecke bleiben.“

In ihrem Schreiben an die Parteien warnt die Berliner Datenschutzbeauftragte auch vor den Gefahren von Desinformationskampagnen und Cyberangriffen. Desinformation kann verschiedene Formen annehmen, von gefälschten Nachrichtenartikeln und manipulierten Bildaufnahmen bis hin zu gezielten Social-Media-Kampagnen. Angriffe auf die IT-Infrastruktur einer Partei können in diesem Zusammenhang darauf abzielen, vertrauliche Informationen zu stehlen, um sie zur Verbreitung oder zur Legitimierung von Fehlinformationen zu nutzen.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „In den letzten Jahren haben wir eine Zunahme von Kampagnen erlebt, die darauf abzielen, die öffentliche Meinung zu manipulieren und das Vertrauen in demokratische Institutionen zu untergraben. Die Parteien sind mit in der Verantwortung, die Integrität unserer demokratischen Prozesse und die personenbezogenen Daten ihrer Mitglieder und Funktionsträger:innen zu schützen.“

Hintergrund:
Die BlnBDI ist die zuständige Aufsichtsbehörde für den Datenschutz aller öffentlichen und nicht-öffentlichen
Stellen im Land Berlin und damit für alle Parteien mit Hauptsitz in Berlin. Derzeit führt die BlnBDI Verfahren gegen die CDU, SPD, Bündnis 90/Die Grünen, AfD, Die Linke und FDP wegen der Nutzung von Microtargeting auf Facebook während der Bundestagswahl 2021. Die Verfahren sind noch nicht abgeschlossen.

Die Gefahren dieser Art von digitaler Wahlwerbung hat auch der Europäische Gesetzgeber erkannt und mit einer Verordnung neue Regeln für politische Werbung festgelegt <http://www.uldsh.de/politisches-targeting-dsk>, die jedoch in großen Teilen erst ab 2025
greifen.

Über den Datenschutz bei Wahlen informiert die BlnBDI auf ihrer Website und im Ratgeber „Wahlwerbung durch politische Parteien“ <https://www.datenschutz-berlin.de/themen/werbung/wahlwerbung/>.

Zur Einflussnahme auf Wahlen und demokratische Prozesse in der EU hat die Behörde für europäische politische Parteien und europäische politische Stiftungen (APPF) eine umfangreiche Studie <https://www.appf.europa.eu/appf/en/other-information/studies> veröffentlicht.
Das Europäische Kompetenzzentrum für die Bekämpfung hybrider Bedrohungen (Hybrid CoE) gibt in seinen aktuellen Studien Handlungsempfehlungen <https://www.hybridcoe.fi/all-content/?_themes=election-interference&_type=hcoe20_publications>, um den identifizierten Risiken zu begegnen.