Autor: Secur-Data

San Francisco, 06.04.2023   Ein möglicher Skandal erschüttert das Vertrauen in den US-Elektroautohersteller Tesla. Wie die Nachrichtenagentur Reuters berichtet, sollen Mitarbeiter zwischen 2019 und 2022 Bilder und Videos, die von den eingebauten Kameras ihrer Kunden aufgenommen wurden, über ein internes Messaging-System untereinander geteilt haben. Darunter waren nicht nur intime Einblicke in das Privatleben der Kunden, sondern auch tragische Unfälle wurden zur Belustigung in „Memes“ verwandelt.
So berichten neun Ex-Mitarbeiter, dass Kunden nackt in deren Garage gefilmt wurden. Auch die Familienmitglieder der Tesla-Besitzer waren zu sehen. Ein Video zeigte, wie ein Tesla-Fahrer mit hoher Geschwindigkeit durch ein Wohngebiet raste und dabei ein Kind auf dessen Fahrrad traf.

Zweck der Verarbeitung war das Training des KI-Systems von Tesla, um die verschiedenen Verkehrsteilnehmer, Straßen und Verkehrsschilder automatisch zu erkennen und so Funktionen wie den Autopiloten zu ermöglichen. Hunderte Mitarbeiter erhalten diese Aufnahmen mit dem Auftrag, sie einer bestimmten Kategorie zuzuordnen. Tesla-Fahrer werden über diesen Vorgang informiert und müssen ihre Einwilligung erteilen. Diese umfasst aber eben nur den Zweck des KI-Trainings und nicht die Verbreitung zu anderen Zwecken.

Im Februar hatte bereits die niederländische Datenschutzbehörde Ermittlungen wegen Teslas „Sentry Mode“ aufgenommen. Dieser ermöglicht die Aufnahme von Bildmaterial, wenn verdächtige Aktivitäten um das geparkte Fahrzeug registriert werden. Nun hat Tesla reagiert und sämtliche Änderungen vorgenommen, sodass die Datenschutzbehörde von weiteren Strafverfahren absieht.

In einer Stellungnahme an Reuters konnte Tesla die datenschutzrechtlichen Bedenken nicht ausräumen. Es gibt keine Sicherheitsvorkehrungen, die eine unbefugte Weitergabe privater Daten durch Konzernmitarbeiter verhindern könnten.

Rom, 31.03.2023   Die italienische Datenschutzbehörde GPDP (Garante per la Protezione dei Dati Personali, “Garante della privacy”) hat am 31. März den KI-Dienst ChatGPT mit sofortiger Wirkung im gesamten Land sperren lassen und ein Verfahren wegen Datenschutzverstößen gegen den US-Betreiber OpenAI eingeleitet. Grund dafür ist der Verdacht auf die nicht rechtmäßige Verarbeitung personenbezogener Daten und der fehlende Jugendschutz der KI-Plattform.

Der Chatbot genießt seit seiner Veröffentlichung im November 2022 vor allem bei Jugendlichen große Popularität. Die Website verzeichnete im Januar 2023 durchschnittlich 13 Millionen Besucher pro Tag. Mithilfe von künstlicher Intelligenz werden (auch komplexe) Fragen beantwortet und Texte anhand weniger Stichworte erstellt.

„Es fehlt die Rechtsgrundlage für eine massenhafte Erhebung und Speicherung personenbezogener Daten, um die dem Betrieb der Plattform zugrunde liegenden Algorithmen zu trainieren“, gab die italienische Datenschutzbehörde in einer Aussendung bekannt. Außerdem wurde das Fehlen eines Altersfilters, um Minderjährige vor verstörenden Inhalten zu schützen, beanstandet.

Das Unternehmen hat nun 20 Tage Zeit um den Behörden geeignete Datenschutzmaßnahmen zu präsentieren. Andernfalls droht eine Geldstrafe bis zu 20 Mio. Euro oder vier Prozent seines weltweiten Jahresumsatzes.

Wien, 22.03.2023   In einer kürzlich von noyb veröffentlichten Entscheidung behandelt die österreichische Datenschutzbehörde (DSB) eine Beschwerde gegen den Einsatz der Facebook Business Tools auf der Website eines österreichischen Medienunternehmens. Die DSB beurteilte diesen als mit der DSGVO unvereinbar, da von Facebook Login und Facebook Pixel personenbezogene Daten an die Facebook-Mutter Meta in die USA transferiert werden. Damit habe das Medienunternehmen gegen Art. 44 DSGVO verstoßen. Der Bescheid ist noch nicht rechtkräftig.

Die Beschwerde betraf einen Fall aus August 2020. Facebook berief sich zu diesem Zeitpunkt auf den Privacy Shield, der infolge von Schrems II bereits außer Kraft war. Die Gültigkeit der EU-Standardvertragsklauseln (SCC), auf die sich Meta seitdem beruft, wurde von der Behörde nicht geprüft. Sie ist aber angesichts der Schwierigkeiten, das erforderliche Transfer Impact Assessment (TIA) zu erstellen, äußerst fragwürdig, u.a. da sich die DSB in ihrer Beweiswürdigung auf den Meta-Transparenzbericht bezog und befand, „dass die US-Geheimbehörden regelmäßig […] Anfragen stellen.“

Für Datenschutzinsider ein Déjà-vu: Schon Anfang 2022 hatte die DSB den Einsatz von Google Analytics als nicht rechtskonform beurteilt. Nun sind auch die Tracking Tools von Facebook betroffen. Der Einsatz von US-Anbietern bleibt riskant.

Strasbourg, 14.03.2023   Mit 500 zu 23 Stimmen – bei 110 Enthaltungen – wurde gestern der Vorschlag der Europäischen Kommission für ein Europäisches Datengesetz (Data Act) angenommen.
Das Datengesetz regelt den Umgang mit nicht-personalisierten Daten und soll neue Dienste ermöglichen, insbesondere im Bereich der künstlichen Intelligenz, wo große Datenmengen für die Entwicklung von Algorithmen verwendet werden. Der Data Act sollte auch Verbraucher*innen besser schützen, etwa durch den erleichterten Zugang zu Daten, die durch die Verwendung vernetzter Produkte wie intelligenter Hausgeräte, moderner Autos und/oder damit verbundener Dienste im IoT erzeugt werden.
Der am Dienstag im Europäischen Parlament in Straßburg angenommene Gesetzesentwurf ist Ausgangsposition des Parlaments für die Verhandlungen mit den EU-Mitgliedstaaten.