ChatGPT: Deutsche Datenschutzbehörden werden aktiv

Die deutschen Datenschutzbehörden  haben eine Prüfung von ChatGPT angekündigt. Geklärt werden soll die Frage, ob die Datenverarbeitung durch die KI-Software mit der DSGVO vereinbar ist.
Dafür wurde dem Unternehmen OpenAI, welches in San Francisco sitzt und ChatGPT betreibt, ein Fragenkatalog zur Beantwortung vorgelegt. Bis Juni wird mit einer Antwort gerechnet.

Der Fragenkatalog beinhaltet unter anderem:

  • Wird die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien gerecht?
  • Für welche Zwecke werden Nutzerdaten gespeichert?
  • Welche Altersgrenze ist für die Nutzung von ChatGPT vorgesehen und wie wird die Altersgrenze überprüft?
  • Werden die Nutzungsdaten für maschinelles Lernen verwendet?
  • Aus welchen Quellen bezieht ChatGPT die Auskünfte, die sie über Personen ausgibt?

Ohne Antworten auf diese und andere Fragen lässt sich nicht beurteilen, ob ChatGPT überhaupt sicher bzw. datenschutzkonform genutzt werden kann.
In Italien wird die Software aktuell blockiert. Abhängig von den Antworten, die OpenAI auf den vorliegenden Fragenkatalog liefert, könnte es in der EU zu weiteren Einschränkungen oder Verboten kommen.

Seitens der EU ist ein aktuelles Ziel die Erstellung eines Regelwerks zur Anwendung von KI im europäischen Raum.

Weitere Informationen finden Sie hier:
https://datenschutz.hessen.de/presse/hessischer-datenschutzbeauftragter-fordert-antworten-zu-chatgpt
https://www.baden-wuerttemberg.datenschutz.de/lfdi-informiert-sich-bei-openai-wie-chatgpt-datenschutzrechtlich-funktioniert/

Bußgeld für Weiterführung des E-Mail-Kontos des ehemaligen Praktikanten

Das italienische Unternehmen Consorzio Concessioni Reti Gas S.c.a.r.l. muss ein Bußgeld in Höhe von 2000 Euro zahlen, weil sie das geschäftliche E-Mail-Konto eines ehemaligen Praktikanten weiter betrieben haben, um gegebenenfalls Antworten von Kunden und Kollegen einsehen zu können.

Hierbei werden zwangsläufig die Daten des vorzeitig ausgeschiedenen Praktikanten verarbeitet – laut der Datenschutzbehörde konnte keine ausreichende Aufklärung über diese Verarbeitung nachgewiesen werden.
Des Weiteren hätte eine automatisierte Antwort an eingehende E-Mails und/oder eine Weiterleitung an eine noch aktive E-Mail-Adresse ausgereicht.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9877754

Bußgeld für TikTok

TikTok muss in Großbritannien ein Bußgeld in Höhe von 12.700.000 Pfund (≙ 14.466.340 Euro) zahlen muss, da die Plattform von Kindern unter 13 Jahren genutzt wurde und folglich deren personenbezogene Daten verarbeitet wurden. 

In Großbritannien dürfen Kinder unter 13 Jahren nach Datenschutzrecht ohne die Zustimmung der Eltern keine Informationsangebote wahrnehmen, die die Verarbeitung ihrer personenbezogenen Daten beinhalten. Zwar legt TikTok das auch so in den eigenen Richtlinien fest – das Alter von Nutzern wurde laut Vorwurf der Aufsichtsbehörde ITC, welche das Bußgeld verhängt hat, aber auch nicht angemessen überprüft. Laut Untersuchung der ITC wurden selbst Bedenken der eigenen Mitarbeiter diesbezüglich ignoriert.

Weitere Informationen finden Sie hier:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/

Bußgeld wegen mangelnder Kontrolle des Subunternehmen

Anfang des Monats wurde ein Bußgeld in Höhe von 1000 Euro gegen das italienische Unternehmen Razmataz Live Srl verhängt, nachdem diese Colosseo Srl als Subunternehmen für das Versenden von Werbe-E-Mails im Rahmen einer Werbekampagne beauftragt haben.
Gegen das Subunternehmen wurde zuvor ein Bußgeld verhangen und nun ebenfalls gegen Razmataz Live, da sie es versäumt haben, das Subunternehmen ordnungsgemäß zu überprüften.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9873408

Benutzerunfreundliche Cookie-Einstellungen und Bußgeldrisiko

Um ein Bußgeldrisiko der zuständigen Aufsichtsbehörde zu vermeiden, ist die richtige Einstellung der Cookies von nicht zu unterschätzender Wichtigkeit! Dies unterstreichen auch zwei aktuelle Entscheidungen der französischen Datenschutzbehörde CNIL gegenüber TikTok und Microsoft.

Gegen beide Unternehmen wurden Bußgelder in Höhe von 5 Millionen Euro bzw. sogar 60 Millionen Euro verhängt  – in beiden Fällen wegen zu umständlichen Cookie Einstellungen.

Sowohl TikTok als auch Microsoft, da war explizit die Suchmaschine bing.com betroffen, wurde deshalb dieses nicht unerhebliche Bußgeld auferlegt.

Die Fälle waren auch so gut wie identisch gelagert:

Das Bußgeld wurde verhängt, weil die Nutzer Cookies nicht so einfach ablehnen konnten, wie sie sie akzeptieren. Durch die Struktur, nach welcher der Ablehnungsmechanismus aufgebaut ist, wurden laut Ansicht der Behörde die Nutzer davon abgehalten, Cookies abzulehnen. Dadurch würde die Einwilligungsfreiheit der Nutzer verletzt werden. Darüber hinaus prangert die Behörde an, dass zudem nicht hinreichend über die Zwecke und Ziele der Cookies informiert wurde.

Dieser Mechanismus war es auch, der bei Microsoft zu einem Bußgeld in Höhe von 60 Millionen Euro geführt hat. Hier war es so gelagert, dass ein Benutzer der französischen Seite mit seinem Besuch bereits dadurch ohne Einwilligung Cookies auch zu Werbezwecken abgelegt bekam.

Zwar handelt es sich hier um eine Entscheidung der französischen Behörde, die sich an dieser Stelle auch auf eine nationale Datenschutzvorschrift stützt, Artikel 82 des la loi Informartique et Libertés. Diese Vorschrift hat jedoch erhebliche Ähnlichkeit zu unseren geltenden Vorschriften. Damit sind auch ähnliche oder gleich gelagerte Entscheidungen der deutschen Behörden nicht auszuschließen und könnten zudem auch ebenfalls nicht gerade glimpflich ausfallen.

Demnach sollten auf der eigenen Website die Cookies immer optimal eingestellt sein. Dies gelingt am einfachsten über das Consent Tool. Beachten Sie, dass nur bei technisch zwingen notwendigen Cookies eine Voreinstellung getroffen sein darf. Bei sämtlichen anderen Cookies darf keine solche Voreinstellung vorgenommen sein, der Besucher muss selbst festlegen, worein er einwilligt, sog. Opt In. Wie die Entscheidungen zeigen, ist es ebenso wichtig, dass der Besucher auch darüber jederzeit wieder die Möglichkeit bekommt, seine Einstellungen so einfach zu ändern, wie er sie erteilt hat.

Neuigkeiten zur Google Fonts Abmahnwelle

Bezüglich der Google-Fonts Abmahnwelle scheint sich die Situation weiterhin für einige der Abmahner zuzuspitzen.
Die Generalstaatsanwaltschaft in Berlin ermittelt weiterhin in dieser Frage und hat in einem Verfahren gegen zwei Beschuldigte Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden erlassen, inklusive zwei Arrestbeschlüsse mit einer Gesamtsumme von 346.000 Euro.
(Wir berichteten damals).
Dazu scheinen nun auch auf zivilrechtlicher Ebene dem Geschäftsmodell der Google Fonts-Abmahnungen Probleme entgegenzukommen.
So hat jetzt das Amtsgericht Ludwigsburg am 28.02.2023 (Az. 8 C 1361/22) gegen besagte Abmahner entschieden. Grund war hier eine negative Feststellungsklage einer Adressatin eines Abmahnschreibens einer Anwaltskanzlei aus Berlin. Die Klägerin verlangte in dieser gerichtlich feststellen zu lassen, dass ein entsprechender Anspruch der abmahnenden Personen nicht bestand.

Das Gericht gab dem Begehren der Klägerin statt, hauptsächlich deswegen, weil es einen Rechtsmissbrauch gem. § 242 BGB als gegeben angesehen hat. So erschien dem Gericht ein Einnahmeerzielungsinteresse der Abmahnenden als vordergründiges Motiv und nicht etwa, wie behauptet, die Erzeugung von Aufmerksamkeit für das Google Fonts Problem. Dies deckt sich auch mit unserer  mehrmals geäußerten Rechtseinschätzung.
Unter anderem hat das Gericht auch den Rechtsmissbrauch als gegeben angesehen, da man sich einen ebenfalls gestellten Unterlassungsanspruch hätte abkaufen lassen und die Abmahner unbestritten die Webseite der Klägerin unter Einsatzes eines Webcrawlers aufgesucht haben.

Interessant ist hier, dass das Gericht auf einen evtl. Schadensersatzanspruch der Abmahnenden gem. Art 82 I DSGVO gar nicht vertieft einging. Nach dem Gericht konnte das Vorliegen eines solchen Anspruches wegen des besagten rechtsmissbräuchlichen Handelns grundsätzlich dahinstehen.
Ob aufseiten der Abmahnenden es also nun aufgrund Ihres „Ärgers“ zu einem berechenbaren Schaden gekommen ist oder nicht, wurde vom Gericht also nicht mit entschieden. Dies kann durchaus dahingehend gedeutet werden, dass das Gericht das rechtsmissbräuchliche Handeln als ziemlich eindeutig angesehen hat.
Auch lässt die Tatsache, dass der Einsatz eines sog. Webcrawlers als erwiesen zu sein scheint, bzgl. des anhängigen Verfahrens wegen versuchten Betruges und versuchter Erpressung in mindestens 2.418 Fällen wohl kein glimpfliches Ende für die Abmahnenden vor dem Strafgericht erahnen.
Das Endergebnis bleibt jedoch, wie immer vor Gericht abzuwarten.

Meta will in Europa keine politische Werbung mehr verkaufen

Nächstes Jahr steht eine neue Verordnung der EU bevor, in der politische Werbung definiert und mit strengeren Bedingungen versehen werden soll. Dabei sollen die Nutzer mehr Einblick bekommen, wer hinter den Anzeigen steckt und welche Personengruppen Ziel der Werbung sind, wie viele Nutzer die Werbung bereits gesehen haben und wie viel Geld für die Werbung gezahlt wurde.

Laut Insidern von Meta erwägt der Konzern nun, politische Werbung zu verbieten. Ob die von der EU geforderten Bedingungen erfüllt werden können, ist nämlich nicht klar und ein Verstoß gegen selbige kann Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes nach sich ziehen.
Die Entscheidung dürfte von der tatsächlich durch die EU festgelegte Definition von politischer Werbung abhängen.

Weitere Informationen finden Sie hier:
https://t3n.de/news/meta-politische-anzeigen-eu-verbot-1544905/?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Schadhafte Version der 3 CX Desktop APP im Umlauf

Wichtige Information für alle Nutzer der 3 CX Desktop App: am 29.03.2023 gab es erste Hinweise dazu, dass eine aktuelle Version des Voice Over IP Clients 3CX kompromittiert wurde. Die Softwareversion ist zwar durch den Hersteller signiert, enthält jedoch schadhafte Elemente die in ihrer Funktionsweise der eines Trojaners entsprechen. Der Grund dafür ist wohl eine schadhafte DLL Datei.

Bisher konnte beobachtet werden, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem C&C Server aufbaut und somit schadhafte weitere Software nachlädt.

Bei den betroffenen Versionen handelt es sich um die folgenden:
Windows: 18.12.407 und 18.12.416
Mac: 18.11.1213, 18.12.407, 18.12.416.

Mögliche Gefahren sind hier beispielsweise das Mithören von Gesprächen oder die Ausweitung des Angriffs auf zusätzliche Netzwerkkomponenten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bewertet den Vorfall mit der zweithöchsten Bedrohungslage. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214778-1032.html

Bitte prüfen Sie, wenn Sie den Anbieter in Anspruch nehmen, die folgenden Punkte:

  • Welche Softwareversion ist derzeit im Einsatz?
  • Bei Möglichkeit Entfernung des Installers bis zum neuen Release.
  • Ist es möglich, ein erneutes Laden des Installers an der Firewall zu blockieren?
  • Ist der Zugriff auf Domains, die mit den Angriffen in Verbindung stehen, unterbunden?
  • Haben Sie die 3CX Desktop App entfernt?
  • Haben Sie bereits Maßnahmen ergriffen um eine bereits erfolgte Kompromittierung des Netzwerks auszuschließen? Wenn nicht, sollten Sie dies nachholen.

Wenn Zweifel bestehen empfehlen wir Ihnen aktuell von einer Nutzung abzusehen und den Client zu löschen, bis das Problem seitens 3CX behoben werden konnte.