Cyberversicherungen - Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,


im Zuge der Digitalisierung ist Cybersicherheit zu einem Thema geworden, das aus dieser Welt nicht mehr wegzudenken ist. Ob im beruflichen oder im privaten Rahmen – unsere Daten sind ständig im Netz, was sie angreifbar für Cyberattacken macht.

Jährlich entsteht allein in der deutschen Wirtschaft ein Schaden durch Cyberkriminalität in Höhe von rund 220 Milliarden Euro – Tendenz steigend.

Sie fragen sich bestimmt jetzt, wie Sie sich vor Cyberkriminalität schützen können. Eine Antwort darauf wäre: der Abschluss einer Cyberversicherung.

Cyberversicherungen - Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,


anlässlich der anstehenden Kommunalwahlen in Aachen möchten wir auf ein Thema aufmerksam machen, das eine zentrale Rolle im modernen Wahlkampf spielt: Microtargeting.
Was verbirgt sich dahinter, wie funktioniert es und wann ist es rechtlich zulässig?

Doch was ist Microtargeting eigentlich?
Microtargeting ist eine Marketing- und Kommunikationstechnik, die dafür genutzt wird, spezifische Zielgruppen mit personalisierten Botschaften anzusprechen. Sie basiert auf einer Analyse von großen Datenmengen, um Informationen über das Verhalten, sowie Vorlieben, demografische Merkmale sowie auch die Interessen einzelner Personen oder Gruppen herauszukristallisieren.
Microtargeting wird daher gerne in der Politik eingesetzt. Parteien nutzen dies, um potenzielle Wähler mit zugeschnittenen politischen Botschaften unter anderem über Social Media zu erreichen.

Microtargeting basiert auf drei zentralen Säulen: Datenerhebung, Datenanalyse und Algorithmen gesteuerter Kommunikation. Dabei kommen verschiedene Verfahren und Technologien zum Einsatz, vor allem aus dem Bereich der Datenwissenschaft, Psychologie und künstlichen Intelligenz.

Zuerst werden die Daten erhoben. Daten werden aus unterschiedlichen Quellen wie Social-Media-Aktivitäten, Suchverläufen, Mitgliedschaften und Likes herausgefiltert, um daraus detaillierte Nutzerprofile zu erstellen.

Danach werden die Daten systematisch analysiert, wofür verschiedene Verfahren verwendet werden.
Zum einen gibt es das Clustering-Verfahren. Das ist ein statistisches Verfahren zur Gruppierung von Datensätzen, die innerhalb ihrer Gruppe möglichst ähnlich sind. Damit will man Daten in sogenannte Cluster einteilen. Der Ablauf eines solchen Verfahrens lässt sich in grundlegende Schritte unterteilen:

  • Auswahl einer Distanz- oder Ähnlichkeitsmetrik: Zunächst wird eine Methode gewählt, um die Ähnlichkeit oder Distanz zwischen Datenpunkten zu messen. Gängige Maße sind beispielsweise der euklidische oder Manhattan-Abstand.
  • Festlegung der Anzahl der Cluster: Bei manchen Algorithmen (wie k-means) muss vorab festgelegt werden, in wie viele Gruppen die Daten unterteilt werden sollen.
  • Initialisierung der Clusterzentren: Die Startpunkte für die Clusterzentren werden zufällig oder nach bestimmten Regeln gesetzt.
  • Zuweisung der Datenpunkte: Jeder Datenpunkt wird dem nächstgelegenen Clusterzentrum zugeordnet. Das Ziel ist, dass die Unterschiede innerhalb eines Clusters minimal und zu anderen Clustern maximal sind.
  • Anpassung der Clusterzentren: Die Schwerpunkte der Cluster werden als Mittelwert aller zugehörigen Datenpunkte neu berechnet. Anschließend wird die Zuweisung erneut überprüft und ggf. angepasst. Dieser Vorgang wird wiederholt, bis eine stabile Zuordnung erreicht ist.
  • Interpretation und Bewertung: Abschließend erfolgt die Interpretation der entstehenden Cluster und eine Bewertung der Güte, z. B. mit dem Silhouettenkoeffizienten oder durch Betrachtung der Varianz.

Ein Clustering-Verfahren wird häufig zur Kundensegmentierung eingesetzt. Im Wahlkampf wird es dafür benutzt, Wähler in eine Gruppe zu unterteilen.

Ein weiteres Verfahren ist das data mining. Das ist ein analytischer Prozess, bei dem computergestützte, oft automatisierte Methoden eingesetzt werden, um in großen Datensätzen bisher unbekannte Muster, Zusammenhänge, Trends und Regelmäßigkeiten zu finden und daraus nützliches Wissen zu gewinnen. Data mining analysiert bereits vorhandene Daten, um daraus neue Erkenntnisse zu generieren, und verarbeitet somit Daten aus big data.

Big data bearbeitet die 5 Vs:

  1. Volume: riesige Datenmengen
  2. Velocity: hohe Geschwindigkeit der Datenerzeugung/-verarbeitung
  3. Variety: Vielfalt an Datenquellen und -typen
  4. Veracity: Qualität der Daten
  5. Value: Geschäftsnutzen

Dabei dienen Geräte, Technologien, Maschinendaten, aber auch menschlich erzeugte Daten (unter anderem durch Social Media) und Unternehmensdaten als Quelle von big data.

Damit will man Zielgruppen präzise identifizieren, Botschaften personalisieren und Kommunikationskanäle optimieren – alles unter dem Motto: „maximale Wirkung mit minimalem Aufwand“.

Die gewonnenen Daten werden unter anderem dann für das data mining eingesetzt, mit dem Ziel, Entscheidungsprozesse auf Basis dieser Datenmuster zu verbessern.

Typische Aufgaben des data mining sind unter anderem:

  • Klassifikation: Zuweisung von Datenobjekten zu vordefinierten Kategorien
  • Cluster Analyse (clustering): Gruppierung ähnlicher Datenpunkte
  • Assoziationsanalyse: Finden von Regeln, z. B. welche Produkte häufig zusammengekauft werden
  • Regressionsanalyse/Prognosen: Ermittlung von Beziehungen zur Vorhersage von Werten
  • Ausreißer Erkennung: Identifikation ungewöhnlicher oder fehlerhafter Daten

Data mining ist Teil eines umfassenderen Prozesses namens Knowledge Discovery in Databases (kdd). Während kdd auch die Datenaufbereitung, -transformation und -bewertung umfasst, bezeichnet data mining speziell den Analyseschritt, in dem automatisierte Muster entdeckt werden.

Demnach werden in politischen Kampagnen detaillierte Informationen über das Online-Verhalten, Interessen und teils auch die politische Einstellung von Bürgern verwendet, um individuell zugeschnittene Wahlwerbung anzuzeigen.

Zuletzt gibt es die Algorithmen gesteuerte Kommunikation. Dabei werden auf Grundlage der analysierten Daten automatisierte Werbeinhalte erzeugt und über spezifische Kanäle ausgespielt. Die Botschaften erscheinen dann oft als Post im social-media-Feed.

Hierbei ist datenschutzrechtlich zu beachten:
Viele der genutzten Daten, wie politische Meinungen oder Affinitäten, gehören zu den „besonders schützenswerten personenbezogenen Daten“ nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO). Eine Verarbeitung solcher Daten ist in der EU grundsätzlich untersagt – außer die betroffene Person stimmt ausdrücklich und informiert zu.

Die Praxis ist hoch umstritten, weil die Nutzer meist nicht nachvollziehen können, wie umfassend ihre Profile verarbeitet und verwendet werden. Selbst eine informierte Einwilligung ist oft nicht praktikabel oder durchschaubar. Datenschutzverstöße im Zusammenhang mit Microtargeting haben bereits zu Beschwerden sowie Untersuchungen durch Datenschutzbehörden und Aktivisten geführt. In mehreren Fällen wurde festgestellt, dass Parteien dies ohne ausreichende Einwilligung der Nutzer und damit rechtswidrig einsetzen.

Problematisch am Microtargeting ist zudem, dass es die Privatsphäre und die freie, nicht manipulierte Meinungsbildung bedrohen kann. Intransparente, auf die Person zugeschnittene Werbung kann nicht nur die individuelle Wahlfreiheit beeinträchtigen, sondern auch gesellschaftliche Debatten fragmentieren und das Vertrauen in demokratische Institutionen untergraben.

Somit lässt sich festhalten, dass Microtargeting ein mächtiges Werkzeug ist, das vermehrt in der Politik eingesetzt wird. Dadurch will man Menschen direkt ansprechen – mit Themen, die sie wirklich interessieren. Gerade jetzt, da die Kommunalwahlen in NRW anstehen, sollten sich Bürgerinnen und Bürger bewusst machen, wie datenbasierte Werbung funktioniert und wie wichtig es ist, informiert, kritisch und selbstbestimmt mit digitalen Inhalten umzugehen.

Viele Grüße aus Aachen

 

Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter

Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Das Beitragsbild wurde mithilfe von OpenAI's ChatGPT generiert. Die kommerziellen Nutzungsrechte liegen vollständig beim Ersteller. OpenAI erhebt kein Urheberrecht an diesem Inhalt. Alle dargestellten Elemente sind frei erfunden und dienen ausschließlich illustrativen Zwecken. Marken oder Persönlichkeitsrechte Dritter werden nicht verletzt.

Actionfigur - Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

im seltensten Fall – außer nach Cyberangriffen und Erpressungsversuchen von Ransomware-Gruppen – muss ein Datenschutzbeauftragter ein Actionheld sein. Aber was macht ihn wirklich gut? Warum Datenschutz nicht "verhindern" darf – und was Unternehmen davon haben, lesen Sie hier.

Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

im Mai des Jahres 2018 wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Soweit - so bekannt. Zum selben Zeitpunkt haben Sie per Mail, auf den Internetseiten oder bei sonstigen Anlässen Datenschutzhinweise nach Art. 13 EU-DSGVO bereitgestellt bekommen. Und wenn Sie heute im Internet nach Datenschutzhinweisen mit dem Stand 2018 suchen, z. B. durch die Eingabe von "datenschutzerklärung stand 2018" in ihrer bevorzugten Suchmaschine, finden Sie eine Vielzahl von Informationen zum Datenschutz, welche seit fast sieben Jahren nicht mehr verändert wurden. Wozu auch - werden Sie sich fragen. Immerhin hat sich die DSGVO seitdem nicht verändert. Was Sie jedoch beachten sollten ist, dass sich andere Dinge verändert haben, die auf die Datenschutzhinweise einen Einfluss haben.

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

ChatGPT kann nun auch mit Datenresidenz in Europa genutzt werden.

Die gute Nachricht zuerst: Dadurch können datenschutzrechtliche Bedenken in Bezug auf den Datentransfers in die USA entschärft werden.

Die Hauptargumente, welche dadurch entschärft werden, sind:

  • Die Verarbeitung von Daten in den USA birgt Risiken im Sinne von Art. 44 DSGVO, weil der Schrems-II-Beschluss des EuGH hohe Anforderungen an den Datentransfer in die USA stellt.
  • OpenAI bezieht sich auf das EU-U.S. Data Privacy Framework, aber dieses könnte wie das frühere "Privacy Shield" erneut rechtlich gekippt werden. Hier gilt jedoch, dass OpenAI die Möglichkeit bietet, Standardvertragsklauseln (SCCs) mit zusätzlichen Garantien abzuschließen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Diese SCCs sind darauf ausgelegt, ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in Drittländer sicherzustellen.

Das Angebot „Datenresidenz in Europa“ ermöglicht es API-Kunden sowie neuen ChatGPT Enterprise- und Edu-Kunden also nun, ihre Daten innerhalb Europas zu verarbeiten und zu speichern.

Hier sind jedoch zwei Punkte zu beachten:

  • Die Datenresidenzoption steht derzeit nur neuen Projekten zur Verfügung. Bestehende Projekte können nachträglich nicht auf europäische Datenresidenz umgestellt werden.
  • Diese Funktion ist hauptsächlich für API-Kunden mit Enterprise-Vereinbarungen sowie für neue ChatGPT Enterprise- und Edu-Kunden verfügbar. Für Nutzer der kostenlosen Version und von ChatGPT Plus gilt die Datenresidenz in Europa nicht.

Wie bereits angesprochen, reicht die Datenresidenz in der EU allein nicht aus, um DSGVO-konforme Datensicherheit zu gewährleisten.

Landesdatenschutzbehörden und die Datenschutzkonferenz des Bundes und der Länder (DSK) argumentieren mit dem Zugriff durch US-Geheimdienste (FISA 702 & CLOUD Act), die fehlende vollständige Kontrolle über die Daten und den Alternativen, welche innerhalb der EU vorhanden sind (Aleph Alpha, Mistral AI, usw.). Aber auch bei den letztgenannten bleibt die „Black Box“-KI-Problematik, weil die Nutzung von KI-Modellen bei externen Dienstleistern nicht vollständig überprüfbar ist. Um aus datenschutzrechtlicher Sicht sicher zu gehen, bleiben nur Open-Source-Modelle.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter

Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Guillaume Périgois auf Unsplash. Vielen Dank.