Willkommen zur ersten Ausgabe der Datenschutz-Perspektiven. Dies ist ein neuer Bereich, in dem wir tiefer in die Themen des Privacy Monthly eintauchen und andere Themen behandeln, die nicht ganz in den Privacy Monthly passen. Zu jedem Artikel gibt es einen direkten Link zur Quelle, einige Kommentare zum Kontext und manchmal eine persönliche Meinung.
- EDPB lässt AI nicht gelten
- Youtube lässt den Ball bei politischer Werbung fallen
- Wie schützen Apps die Gesundheitsdaten von Frauen?
- Das Markup über Autoüberwachung und Hypothekenmakler
- SDKs und die FTC
- Wie GPS die Standortdaten verändert hat
EDPB lässt AI nicht gelten
Das KI-Gesetz steht im Rampenlicht der Medien, und das aus gutem Grund: Es ist das erste Gesetz seiner Art und wird wahrscheinlich den Ton für den weltweiten Diskurs über KI-Politik angeben, ähnlich wie es die DSGVO für das Datenschutzrecht getan hat. Aber die Datenschützer diskutieren auch über andere KI-bezogene Neuigkeiten, die unter dem Radar der allgemeinen Medien geblieben sind: Der Europäische Datenschutzausschuss (EDPB) hat seinen Bericht über die Arbeit der ChatGPT-Taskforce veröffentlicht.
Zum Kontext: Im Jahr 2023 verbot die italienische Datenschutzbehörde ChatGPT für etwa einen Monat aufgrund von Datenschutzbedenken. Dies veranlasste den EDPB (d. h. den Ausschuss, in dem alle Datenschutzaufsichtsbehörden vertreten sind), eine umfassendere Untersuchung durch die so genannte "ChatGPT-Taskforce" einzuleiten. Das Ergebnis ist ein Bericht, der die von den europäischen Regulierungsbehörden gefundene gemeinsame Basis darlegt.
Der Bericht ist sehr wichtig, weil die Probleme von ChatGPT weitgehend allen Grundmodellen gemeinsam sind: Sie halluzinieren beispielsweise, sie können nicht dazu gebracht werden, Daten zu vergessen, und sie werden meist auf nicht einvernehmlich gesammelten Daten trainiert. All dies sind schwerwiegende Probleme, mit denen sich die Regulierungsbehörden in naher Zukunft befassen müssen, und ihr Vorgehen wird sich stark auf die Fundamentalmodelle auf dem EU-Markt auswirken.
Der Bericht redet nicht um den heißen Brei herum und stellt ganz klar fest, dass die Regulierungsbehörden von den Anbietern von KI die vollständige Einhaltung der Vorschriften erwarten und dass technische Unmöglichkeiten keine Entschuldigung für die Nichteinhaltung sind. Mit anderen Worten: Der EDPB ist nicht bereit, OpenAI (und anderen Akteuren) mit der Begründung Nachsicht zu gewähren, dass die Einhaltung der Datenschutz-Grundverordnung technisch unmöglich ist.
In dem Bericht wird betont, dass die Umsetzung von Schutzmaßnahmen zur Einhaltung der Vorschriften beitragen kann. Aber wir sollten hier realistisch sein: Viele Schutzmaßnahmen, die in anderen Branchen üblich sind, funktionieren bei KI einfach nicht - zumindest nach dem derzeitigen Stand der Technik. Wenn Ihre Trainingsdaten das gesamte offene Web sind, sind Dinge wie Anonymisierung und Bereinigung sensibler Daten einfach nicht möglich, ebenso wenig wie ernsthafte Bemühungen zur Verbesserung der Datenqualität.
Einzelne Regulierungsbehörden können sehr wohl von der Haltung des EDPB abweichen, da der Bericht nicht bindend ist. Und natürlich lässt sich nicht sagen, wie der Gerichtshof entscheiden wird, wenn er sich schließlich mit KI und der Datenschutz-Grundverordnung befasst.
Sollte sich jedoch die Linie des Berichts durchsetzen, könnten die Gründungsmodelle auf dem EU-Markt in Schwierigkeiten geraten.
Youtube lässt den Ball bei politischer Werbung fallen
Eine Untersuchung von Access Now und Global Witness zeigt, dass Youtube wenig oder gar nichts gegen Wahldesinformation in Indien unternimmt.
Die beiden Gruppen luden 48 Werbevideos mit grob falschen Wahlinformationen in drei Sprachen hoch, darunter Englisch - die für Google am einfachsten zu bearbeiten sein sollte. Alle haben die Überprüfung durch YouTube bestanden. Der einzige Grund, warum sie nicht ausgestrahlt wurden, ist, dass Access Now sie vorher zurückgezogen hat.
Vielleicht waren die Massenentlassungen in Googles Vertrauens- und Sicherheitsteam doch keine so gute Idee?
Wie schützen Apps die Gesundheitsdaten von Frauen?
Matt Fisher berichtet in seinem Artikel für The Pulse über eine aktuelle Studie zum Datenschutz bei weiblichen Gesundheits-Apps auf dem US-Markt und fasst sie zusammen. Spoiler-Alarm: Die Datenschutzpraktiken sind in der gesamten Branche schrecklich. Das liegt nicht zuletzt daran, dass viele mobile Gesundheitsanwendungen nicht unter den HIPAA fallen - ein US-Gesundheitsgesetz, das Gesundheitsdaten schützt.
Wie Matt richtig feststellt, kann HIPAA für Nicht-Juristen verwirrend sein. Ob Daten unter den HIPAA fallen, hängt nicht nur von ihrer Art ab, sondern auch von dem Kontext, in dem sie erhoben wurden. Grob vereinfacht: Gesundheitsdaten, die außerhalb des Gesundheitssystems erhoben werden, fallen nicht unter den HIPAA, egal wie sensibel sie sein mögen.
So ist "Alices Menstruationszyklus ist ausgeblieben" eine geschützte Gesundheitsinformation, wenn Alice ihrem Arzt davon erzählt, aber nicht, wenn sie es in ihre mhealh-App eingibt. Dies ist kontraintuitiv und daher verwirrend für Alice. Sie könnte fälschlicherweise denken, dass diese Informationen immer unter den HIPAA fallen, und glauben, dass ihre Daten sicherer sind, als sie es tatsächlich sind.
Es ist erwähnenswert, dass der Schutz von Gesundheitsdaten seit dem Urteil in der Rechtssache Dobbs gegen Jackson unglaublich wichtig geworden ist. Nach dem Urteil drohen den Einwohnern bestimmter Staaten Strafverfolgung und Haftstrafen, wenn sie medizinische Versorgung in Anspruch nehmen, und Apps für mobile Gesundheitsdienste sind eine Fundgrube für potenziell belastende Beweise. Die FTC tut ihr Bestes, um den Schaden zu begrenzen, aber es wird keine wirkliche Lösung geben, solange die USA Gesundheitsdaten nicht durch ein Bundesgesetz zum Schutz der Privatsphäre schützen.
Das Markup über Autoüberwachung und Hypothekenmakler
Wenn über die Gefahren der Überwachung gesprochen wird, denkt man gewöhnlich an Zukunftsdystopien und Spionageszenarien. Die Realität ist oft banaler - denken Sie weniger an "1984" und mehr an den "gefährlichen Ex, der Ihnen nachstellt".
Ein hervorragender Artikel, der gemeinsam von The Markup und CalMatters veröffentlicht wurde, erklärt, wie die Ortung von Autos häusliche Gewalt ermöglicht, indem sie dem Täter erlaubt, den Fahrer zu orten. Wie der Autor richtig feststellt, sind Autos für Missbrauchsopfer oft ein Rettungsanker - was Stalking mit dem Auto umso problematischer macht. Manchmal reicht selbst eine einstweilige Verfügung nicht aus, um die Verfolgung zu beenden.
The Markup untersuchte auch die Verwendung des Meta-Pixels durch US-Hypothekenmakler und stellte fest, dass viele von ihnen - darunter auch einige Schwergewichte - die Finanzdaten der Nutzer ohne deren Zustimmung oder sogar ohne ihr Wissen an Facebook weitergeben.
Meta verbietet Unternehmen die Übermittlung sensibler Daten über seinen Pixel und behauptet, dass es automatische Tools einsetzt, um die Übermittlung sensibler Daten zu verhindern. Allerdings deuten die Ergebnisse der Untersuchung von The Markup darauf hin, dass Meta seine Richtlinien wahrscheinlich nicht allzu streng durchsetzt.
SDKs und die FTC
Andrew Folks wirft einen detaillierten Blick auf einige der rechtlichen Probleme von Software Development Kits (SDK) und bietet einen Überblick über die jüngsten FTC-Maßnahmen gegen illegales SDK-Tracking.
Software-Entwickler-Kits (SDKs) sind ein Bündel von Software-Entwicklungswerkzeugen. In der Regel integrieren die Eigentümer eines SDK Tracking-Technologien in den Code und stellen sie Drittentwicklern zur Verfügung. Dadurch können die Entwickler das SDK kostenlos nutzen und die SDK-Besitzer können Daten von den Endnutzern sammeln.
SDKs sind die Datenschutzkatastrophe, über die kaum jemand spricht. So gut wie jeder hat diese Spionagesoftware auf seinem Handy. Dies geschieht sogar auf dem EU-Markt und trotz der strengen Opt-in-Einwilligung, die die Datenschutzrichtlinie für elektronische Kommunikation für eine solche Verfolgung vorschreibt. Tatsächlich umgehen viele Unternehmen das Gesetz, indem sie die Zustimmung zum Tracking verlangen, damit die App überhaupt funktioniert.
Wie GPS die Standortdaten verändert hat
Cobun Zweifel-Keegan schreibt über die jüngsten Geldstrafen der FCC gegen Mobilfunkanbieter und gibt einen interessanten Überblick darüber, wie GPS den wirtschaftlichen Wert von Standortdaten verändert hat. Zusammenfassend lässt sich sagen, dass GPS neue und lukrative Einnahmequellen für die Mobilfunkbetreiber geschaffen hat, aber auch neue Erwartungen der Kunden in Bezug auf den Schutz der Privatsphäre geweckt hat.