Weihnachten und Black Friday nahen! Von daher lohnt jetzt erst recht ein Blick in die Kampagne des Datenschutzbeauftragten von Rheinland-Pfalz, der u.a. darauf hinweist, dass Online-Shops gemäß den Artikeln 5 und 6 der DSGVO Gast-Zugänge anbieten müssen. Bei einer Stichprobe von über 100 Unternehmen hatte seine Behörde bei (nur) 13 Webseiten Mängel festgestellt; diese wurden sodann angeschrieben, um die Verantwortlichen für das Prinzip der Datensparsamkeit zu sensibilisieren. Denn Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop in einem Kundenkonto hinterlegen möchten oder nicht. Die Option, als Gast zu bestellen, muss beim Online-Shopping daher immer als eine gleichwertige Alternative angeboten werden.
Aus demselben Hause stammt eine Informationskampagne zu den Regeln des Datenschutzes bei Newslettern und E-Mail-Werbung, weil den Datenschutzbeauftragten immer wieder Beschwerden erreichen und die Absender besser sensibilisiert werden sollen. Auch hier setzt die Behörde aufs Sensibilisieren und hat 30 Unternehmen angeschrieben, um den Leitfaden in ihren Branchen zu multiplizieren.
Vorsicht, wenn Sie für Weihnachten neues Spielzeug kaufen – heutzutage sind viele davon ja schon von vorn herein digital oder sogar ständig mit dem Internet verbunden: sogenannte Smart Toys. Aber auch Fitness-Tracker, Smart Watches, smarte Heizungen und „Alexa“ – das Internet der Dinge ist inzwischen in allen Lebensbereichen angekommen. Der Datenschutzbeauftragte von Mecklenburg-Vorpommern weist darauf hin, dass dies ganz neue Einfallstore für (Cyber-)Kriminelle bietet: Jedes smarte Gerät wird durchschnittlich zehn Mal pro Tag angegriffen!
Smart Toys wie der lernfähige Teddybär oder Autos, die per Smartphone gesteuert werden, können mit den Kindern interagieren und Lernprozesse fördern, indem sie Fragen beantworten oder sogar Lernschwierigkeiten erkennen. Allerdings besteht gleichzeitig die Gefahr, dass sie persönliche Daten sammeln und diese missbrauchen: Forschende der Uni Basel haben zwölf Smart Toys untersucht – zum Beispiel die „Toniebox“: Mit der können kleine Kinder Musik und Hörspiele jederzeit selbständig anzuschalten: Einfach eine Plastikfigur vom Räuber Hotzenplotz auf die Box stellen und schon startet die Geschichte von Ottfried Preußler. Um anzuhalten, nimmt man die Figur herunter – und wenn man die Box nach links bzw. rechts kippt, kann man vor- und zurückspulen – also wirklich kinderleicht. Problematisch jedoch: Die „Toniebox“ zeichnet genau auf, wann sie mit welcher Figur aktiviert wird, wann das Kind stoppt und wohin es spult – und sendet die Daten an die Herstellerfirma.
Meistens geben die Unternehmen an, die gesammelten Daten würden ihnen helfen, ihre Geräte zu optimieren. Wozu die Daten noch dienen könnten, ist als Nutzer aber kaum ersichtlich. Einige Begleit-Apps der Spielzeuge verlangen – wie so viele Apps – völlig unnötige Zugriffsrechte, wie etwa auf den Standort oder das Mikrofon. Ein weiteres Spielzeug, das die Forscher noch untersuchen, hat ChatGPT integriert – und erste Analysen deuten darauf hin, dass das Spielzeug ständig Audiodaten an den Hersteller sendet. Diese werden eventuell zur Optimierung der Spracherkennung von Kinderstimmen verwendet.
Ein weiteres Problem bei Smart Toys: Schlimmstenfalls können Cyberkriminelle sich einhacken und über die Geräte auf die Kinder einwirken und sie bspw. dazu verleiten die Haustür zu öffnen. Bereits werksseitig getroffene Einstellungen, wie das Standardpasswort oder die gesetzten Berechtigungen, reichen in der Regel nicht aus, um die Sicherheit zu gewährleisten. Eltern sollten daher die Rechte und Zugriffsberechtigungen der Spielzeuge und der zugehörigen Apps prüfen sowie nur sichere Verbindungen und Passwörter nutzen. Verbindungen mit dem WLAN und Schnittstellen wie Bluetooth oder Sensoren wie GPS, Kamera oder Mikrofon sollten wirklich nur bei Bedarf aktiviert werden. Weiterhin sollte man regelmäßige Updates installieren und auf Verschlüsselung sowie den Zugriffsschutz zu achten. Bei der Kaufentscheidung sollte ein entsprechender Support seitens des Herstellers in Bezug auf Sicherheitsfeatures und Updates sowie vielleicht auch der Sitz des Herstellers eine wichtige Rolle spielen. Im Rahmen des Projekts #DigitaleVorbilder – Familien gehen online gibt es Videos zu den verschiedensten Themen, u.a. „Smarte Spielzeuge: Datendiebe im Kinderzimmer?“ und „Smart Family: Künstliche Intelligenz als neues Familienmitglied“.
Apropos Sicherheit: Der Bundesrat hat dem „Sicherheitspaket“ der Bundesregierung nicht zugestimmt – aber nicht weil der Einsatz biometrischer Gesichtserkennung zu weit ging, sondern weil das Paket der CDU nicht weit genug ging, nachdem es nach den Expertenanhörungen im Bundestag etwas entschärft worden war. Zuvor war gemutmaßt worden, dass es im Bundestag durchfallen würde, weil zu viele Abgeordnete der Regierungskoalition – durchaus berechtigte – Bedenken hätten. Dabei ging es insbesondere um den Abgleich biometrischer Daten und automatisierte Datenanalyse. Bei der öffentlichen Anhörung im Innenausschuss waren viele praktische Fragen unbeantwortet geblieben. So hat das Bundeskriminalamt bis dato keine konkrete technische Lösung präsentiert, wie der biometrische Datenabgleich mit Daten aus dem Internet erfolgen soll. Das geplante Gesetz hätte das Problem vertagt: Die Bundesregierung sollte vor dem Einsatz solcher Maßnahmen „das Nähere zu dem technischen Verfahren“ in einer Rechtsverordnung bestimmen, wobei vorher die Datenschutzbeauftragten beteiligt hätten werden müssen. Da der Bundesrat dem Gesetz zur Verbesserung der Terrorismusbekämpfung nicht zugestimmt hat, kann die Bundesregierung oder der Bundestag nun den Vermittlungsausschuss anrufen.
Zuvor hatte auch die Datenschutzkonferenz in ihrer Entschließung vom 20. September 2024 nochmals davor gewarnt, Gesichtserkennungssysteme im öffentlichen Raum einzusetzen. Die DSK ist der Ansicht, dass die bestehenden Regelungen der Strafprozessordnung nicht ausreichend und zu unspezifisch sind, um eine rechtliche Grundlage für den Einsatz biometrischer Gesichtserkennung zu bieten. Auch der Einsatz in anderen rechtlichen Kontexten sei nur unter strengen Voraussetzungen mit den europäischen und nationalen Grundrechten vereinbar, da die Maßnahmen im öffentlichen Raum überwiegend anlasslos unbeteiligte Personen treffen würden. Die DSK betont die hohe Eingriffsintensität dieser Maßnahme und verweist auf die Leitlinien des Europäischen Datenschutzausschusses und die KI-Verordnung.
Das Bundesverfassungsgericht hat auf eine Verfassungsbeschwerde hin erneut Teile des Hessischen Verfassungsschutzgesetzes (HVSG) für verfassungswidrig erklärt (Beschluss vom 17.07.2024): Vor allem mehrere Befugnisse zur Datenerhebung und -übermittlung wie engmaschige Handyortungen, das Einholen von Reiseinformationen Betroffener bei Verkehrsunternehmen, der Einsatz verdeckter Mitarbeitender und die Weitergabe nachrichtendienstlich erhobener Daten an Strafverfolgungsbehörden wurden als Verstöße gegen das Recht auf informationelle Selbstbestimmung gewertet, da der Gesetzgeber keine hinreichende hohe Eingriffsschwelle festgelegt habe. 2023 musste das HVSG bereits auf ein Urteil des BVerfG hin geändert werden. Eine Neuregelung muss bis Ende 2025 in Kraft treten.
Krach anderer Art gibt es bei der EU-Kommission, die den Europäischen Datenschutzbeauftragten (EDSB) verklagt hat, weil dieser der Kommission die Nutzung von Microsoft 365 verboten hatte. Auch Microsoft hat daraufhin Klage eingereicht. Der EDSB hält die Bestimmung personenbezogener Daten sowie die Garantien zur Gewährleistung eines gleichwertigen Schutzniveaus bei Übermittlungen an Drittländer für unzureichend und die Datenübermittlung an Drittländer daher für unzulässig. Die EU-Kommission meint hingegen, ausreichende Schutzmaßnahmen getroffen und in den Verträgen eine angemessene Zweckbindung gewährleistet zu haben; außerdem sei die Ansicht des EDSB unverhältnismäßig. Da scheint das letzte Wort noch nicht gesprochen zu sein.