14.05.2024
Im Juli 2023 hat die EU-Kommission nach langer Diskussion trotz der Skepsis juristischer Fachleute einen "Angemessenheitsbeschluss" gefasst. Der bedeutet, dass geschützte Daten legal aus Europa in die USA übertragen und dort verarbeitet werden können, wenn das Unternehmen des Empfängers in eine Liste des US-Handelsministeriums eingetragen ist. Das Problem dabei: Geschützte Daten können gem. US-Recht von den dortigen Geheimdiensten ohne richterliche Kontrolle abgesaugt werden. Dagegen gibt es in den USA kein Rechtsmittel.
Trotzdem können seit Juli 2023 z.B. die meisten Google-Dienste von europäischen Unternehmen legal genutzt werden - auch wenn angenommen werden muss, dass der Angemessenheitsbeschluss durch den EuGH (zum wiederholten Mal) aufgehoben wird. Zusätzlich wurde kürzlich das US-Gesetz, das den Geheimdiensten den Datenzugriff erlaubt, verlängert und erweitert. Kurz gesagt: Ab jetzt dürfen die Dienste noch viel mehr, als im Juli 2023. Damit stellt sich die Frage, ob der Angemessenheitsbeschluss der EU-Kommission noch gültig ist, denn der wurde ja unter anderen Voraussetzungen gefaßt.
Die Rechtslage ist unsicher und droht möglicherweise durch Gerichtsbeschluss neuerlich verändert zu werden. Europäischen Unternehmen muss daher geraten werden, sich möglichst früh von der Abhängigkeit von US-Diensten aller Art zu befreien. Alle IT-Systeme, die personenbezogene Daten in irgendeiner Form in den USA verarbeiten, könnten mit einem Schlag illegal werden. Man muss ja nicht unbedingt eine Möglichkeit schaffen, die Farce, die Eva Zajaczkowska und ihr Anwalt Markus Hohenecker seinerzeit inszeniert haben ("Unwohlsein" durch Google-Fonts) zum eigenen Schaden zu wiederholen.
Quelle:
https://www.derstandard.at/story/3000000216922/fisa-usa-verlaengern-und-verschaerfen-massenhafte-ueberwachung-durch-nsa-und-fbi
(22.4.2024)
Die italienische Datenschutzbehörde hat in der unmittelbaren Vergangenheit besonderes Augenmerk auf den Datenschutz bei Gesundheitseinrichtungen gelegt. Dabei wurden in einigen Fällen erhebliche Versäumnisse festgestellt. Gut möglich, dass ähnliche Fälle auch in anderen Ländern aufzufinden sind.
Etwa war die Verwaltung der Region Latium (Hauptstadt Rom und Umgebung) mit einem erfolgreichen Hackerangriff auf ihre Gesundheitseinrichtungen konfrontiert. Die Hauptursache war, dass das von der Regionsverwaltung beauftragte IT-Unternehmen die Systeme nicht auf dem aktuellen Stand hielt. Deshalb waren die Sicherheitsmechanismen veraltet. Die Regionalverwaltung hat - so die Datenschutzbehörde - zu wenig unternommen, um zu kontrollieren, ob der technische Betreiber alle übernommenen Aufgaben erledigte. Die regionale Gesundheitsbehörde, die direkt vom Angriff betroffen war, trifft ein Mitverschulden, weil sie den Meldepflichten nicht nachgekommen ist. Insgesamt wurden durch die Datenschutzbehörde in diesem Fall - abgestuft nach Verschuldensanteil - Strafen in der Gesamthöhe von EUR 401.000 verhängt.
Eine andere lokale Gesundheitsbehörde wurde mit EUR 75.000 bestaft, weil sie die Zugänge zur Gesundheitsdatenbank mit den persönlichen Daten der Patienten nicht ordnungsgemäß konfiguriert hatte. So konnten sich Nutzer auch ohne ausreichende Berechtigungen Einblick in fremde Gesundheitsakten verschaffen. Wesentlich unterstützt wurden die Verstöße dadurch, dass kein Überwachungssystem vorhanden war, mit dessen Hilfe die illegalen Zugriffe hätten vorab entdeckt werden können.
Quelle:
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10002052
(10.4.2024)
Dass künstliche Intelligenz (KI) Fehlentscheidungen trifft, ist seit jeher bekannt und nicht nicht neu. Durch die vermehrte Verfügbarkeit von KI-Werkzeugen und ihr Training kommt es aber immer häufiger zu "Halluzinationen". Wegen der Komplexität der Systeme sind dafür unzählige Faktoren verantwortlich, deren Zusammenwirken niemand mehr durchblickt.
Wer trägt die Verantwortung für Fehlleistungen der KI? Beim Betrieb autonomer Fahrzeuge stellt sich diese Frage schon seit Jahren, denn wer haftet für Unfälle, die durch falsche Interpretation von Kamerasignalen oder anderen Sensordaten verursacht werden? Techniker, Juristen und Gesetzgeber haben sich bisher erfolgreich um eine klare Antwort gedrückt. Das Problem wird aber immer größer: Mittlerweile verkünden viele Unternehmen stolz, dass sie KI in der Verwaltung einsetzen, um Mitarbeiter "zu entlasten" - im Klartext: um sie zu entlassen oder ihnen in Sachfragen die Entscheidungskompetenz zu entziehen. Wer keine Entscheidungen treffen muss, kann kostengünstiger entlohnt werden.
Letzteres ist zwar nach Art. 22 DSGV verboten:
"Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."
Durch interne Dienstanweisungen können die Mitarbeiter jedoch verpflichtet werden, Ergebnisse der KI-Beurteilung gegenüber Betroffenen durchzusetzen und als ihre eigenen Entscheidungen zu deklarieren. Das geht einfach, indem die Hürden für die Zulässigkeit individueller Entscheidungen der Mitarbeiter so hoch geschraubt werden, dass niemand den dafür festgelegten Arbeitsaufwand auf sich nehmen möchte. Gerichtlich sanktioniert wurden solche Umgehungen der DSGVO aber bisher nicht.
Die Datenschutzorganisation NOYB, deren Mitgründer Max Schrems ist, hat kürzlich das Unternehmen OpenAI angezeigt, weil es falsche personenbezogene Daten, die durch KI ermittelt wurden, nicht korrigierte. Die Korrektur falscher personenbezogener Daten (Art. 16 DSGVO) zählt jedoch zu den fundamentalen Rechten Betroffener. OpenAI konnte jedoch weder sicherstellen, dass die Antworten des Systems richtig waren, noch konnte die Frage nach der Herkunft der Trainingsdaten des Systems zufriedenstellend beantwortet werden.
Der Umstand, dass der Einsatz von KI in lebensentscheidenden Bereichen (z.B. bei der medizinischen Diagnose und in der Gerichtsbarkeit) aktuell stark forciert wird, sollte vor dem Hintergrund der technisch bedingten Halluzinationen zur Nachdenklichkeit und zur Skepsis führen (ganz zu schweigen von erfolgreichen kriminellen Versuchen, die Ergebnisse zu beeinflussen). Im Grunde aber darf man hoffen, dass Interventionen, wie die o.a. Anzeige gegen OpenAI, das Bewußtsein dafür schärfen, dass jedes Werkzeug nur mit Bedacht und nur von Fachleuten eingesetzt werden darf, damit der auftretende Schaden nicht den Nutzen übersteigt.
Quellen:
https://www.faz.net/aktuell/feuilleton/debatten/was-bedeutet-es-wenn-eine-bild-ki-halluziniert-19556544.html
(3.3.2024)
https://www.heise.de/hintergrund/Kuenstliche-Intelligenz-Chatbots-bleiben-erfinderisch-9633784.html
(21.2.2024)
https://www.derstandard.at/story/3000000212467/nvidia-chef-glaubt-an-loesung-zum-problem-von-ki-halluzinationen
(20.3.2024)
https://www.handelsblatt.com/finanzen/banken-versicherungen/versicherer/haftpflicht-hilfe-die-ki-halluziniert/100014948.html
(6.3.2024)
https://www.iphone-ticker.de/beschwerde-gegen-openai-chatgpt-erfindet-personendaten-233977/
(29.4.2024)
https://tvthek.orf.at/profile/ZIB-2/1211/ZIB-2-vom-30-04-2024/14224238/Wie-KI-auch-halluzinieren-kann/15630020?meta=suggestion&query=halluzin&pos=1
(30.4.2024)
Immer wieder werden Verantwortliche von Datenverarbeitungen Opfer verbrecherischer Angriffe mit Ransomware. Darunter versteht man in der Regel die Erpressung von Lösegeld, nachdem die Daten eines Systems verschlüsselt wurden. Es gibt unterschiedliche Erfahrungen: Ob nach der Zahlung von Lösegeld die Entschlüsselung funktioniert, ist keineswegs sicher. Die Sicherheitsbehörden und IT-Fachleute raten, keinesfalls auf die Forderungen der Erpresser einzugehen und rechtzeitig durch Anlegen von Backups dafür zu sorgen, dass der Schaden, wenn es zu einem erfolgreichen Angriff kommt, möglichst gering bleibt.
Eine Initiative des Europäischen Cybercrime Zentrums und der Niederländischen Polizei bietet auf ihrer Website kostenlose Werkzeuge zur Entschlüsselung von Daten, die von Verbrecherorganisationen verschlüsselt wurden - mit einigermaßen hohen Erfolgschancen.
Link zur kostenlosen Entschlüsselung verschiedener Verbrecher-Software:
https://www.nomoreransom.org/en/index.html
(8.5.2024)
Die Neuigkeit daran ist, dass derzeit auch Entschlüsselungen für die neuesten Angriffe von Lockbit existieren. Der russische "Kopf" der hinter Lockbit steckt, konnte nämlich identifiziert werden, weshalb es möglich war, seine Verschlüsselungstechnik auszuhebeln.
Wenn jemand Opfer einer erfolgreichen Attacke mit Ransomware geworden ist, sollte er SOFORT ausgewiesene Fachleute für IT-Sicherheit und die Sicherheitsbehörden zu Rate ziehen. Außerdem sind die Meldepflichten (Betroffene und Datenschutzbehörde) zu beachten. Die vom Gesetz hierfür vorgesehenen Fristen sind extrem kurz, sodass rasch gehandelt werden muss.
Quelle:
https://www.derstandard.at/story/3000000219294/internationale-ermittler-enttarnen-kopf-hinter-der-erpresserbande-lockbit
(8.5.2024)