|
Liebe Leserinnen und Leser,
in dieser Ausgabe geht es um das Suchtpotenzial sozialer Medien, das Klonen von Prominenten zur Erstellung von Werbeclips, das Gesetzespaket „Digitaler Omnibus“ und die Frage, welche Sachverhalte man Tools anvertrauen kann. Im Thema im Fokus widmen wir uns der Beziehung zwischen dem Cyber Resilience Act und der DSGVO. In den GI-Mitteilungen laden wir Sie zu unserem Informatik Festival in Dresden ein, präsentieren Ihnen die neuen Rahmenempfehlungen für Studiengänge der Verwaltungsinformatik, freuen uns auf viele Bewerbungen und Nominierungen als bzw. zum GI-VIP, bieten Ihnen eine Bühne für Ihre Fachexpertise und bitten Sie ein letztes Mal in diesem Jahr, an den Wahlen zu Vorstand und Präsidium teilzunehmen.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe.
auf gi-radar.de weiterlesen
soziale Medien und Sucht + gefälschte Werbevideos + Digitaler Omnibus + KI-Tools im Arbeitsleben + Cyber Resilience Act und DSGVO + Informatik Festival in Dresden + Rahmenempfehlung für Verwaltungsinformatik + VIPs gesucht + Selbstdarstellung + Wahlen zu Vorstand und Präsidium + e-mail.wtf
KURZMITTEILUNGEN
Süchtig nach sozialen Medien (ZEIT). Dass der übermäßige Konsum sozialer Medien bei jungen Menschen insbesondere zu psychischen Schäden führen kann, ist bekannt. Nun hat eine Studie der Ruhr-Universität Bochum herausgefunden, dass dies nicht nur die jüngere Generation betrifft, sondern sogar über alle Altersgruppen hinweg 28% der Nutzenden sozialer Medien ein suchtartiges Verhalten zeigen. weiterlesen
Prominente als „Sprachpuppen“ (NZZ). Der deutsche Bundeskanzler wirbt für Finanzprodukte und der ehemalige kanadische Premierminister für einen Robo-Trader – wie bitte? Wenn man darüber nachdenkt, sollte man stutzig werden. Zuerst allerdings wundert man sich. Immer öfter werden Gesicht und Stimme von Prominenten genutzt, um damit Fakevideos und Werbeclips zu erstellen. weiterlesen
Kritik am „Digitalen Omnibus“ der EU-Kommission (Netzpolitik). Die EU-Kommission hat ein Digitalpaket namens „Digitaler Omnibus“ vorgelegt. Damit sollen die Vorschriften für künstliche Intelligenz, Cybersicherheit und Daten gestrafft, eine Strategie für eine Datenunion zur Erschließung hochwertiger Daten für KI und die Einführung von European Business Wallets (digitale Brieftasche) geregelt werden. Im EU-Parlament sind die Meinungen gespalten. weiterlesen
KI-Tools im Arbeitsleben: Was ist erlaubt? (Spiegel). Schnell mal den Konflikt mit der Kollegin in ChatGPT eingegeben und nach einer Lösung gefragt, schnell mal anhand einer Kundenmail eine Antwort formuliert: Das spart alles viel Zeit. Aber ist es klug, das mit allen Sachverhalten zu tun? Hier ist Sensibilisierung gefragt. weiterlesen
THEMA IM FOKUS
Der Cyber Resilience Act: das Sicherheitsupdate für die DSGVO? Sicherheitsupdates sind eine gute Sache. So gut, dass sie ab 2027 gesetzliche Pflicht sind. Dann müssen in der EU Produkte mit digitalen Elementen mit Sicherheitsupdates versorgt werden. Die Vorgabe schreibt der Cyber Resilience Act vor (CRA, Amtsblatt der Europäischen Union). Meldepflichten für Softwaresicherheitslücken gelten bereits ab dem 11. September 2026.
Fast alle Datenverarbeitungen nach der DSGVO beruhen auf Produkten mit digitalen Elementen. Ob beabsichtigt oder nicht: Die Vorgaben des CRA sind eine wesentliche Änderung der DSGVO. Betroffen sind neben den Pflichten zur Datensicherheit auch die bereits eingespielten Regeln zu Rechtsgrundlagen und Auftragsverarbeitern. Das CRA-Update der DSGVO könnte in seiner Wirkung größer sein als die vorgeschlagenen Änderungen des Omnibus-Pakets (Entwurf der EU-Kommission).
Die Befolgung der Datensicherheitspflichten nach der DSGVO lässt sich mit Geltung des CRA schnell überprüfen. Verweist die Datenschutzerklärung ab dem 11. Dezember 2027 auf den Einsatz eines (neuen) Software-Produkts ohne CE-Kennzeichen, ist ein Datensicherheitsverstoß formell indiziert. Das CE-Kennzeichen ist der Leser:in bereits bekannt. Es braucht wenige Sekunden, bis ein Produkt im eigenen Hausrat identifiziert ist, das ein solches CE-Kennzeichen trägt (Wikipedia). Neu ist für Software-Produkte die Pflicht „zum Anbringen des CE-Kennzeichens”. Damit muss die Konformität mit dem CRA erklärt werden. Diese und weitere Pflichten des CRA gelten vollständig ab dem 11. Dezember 2027 für neue Produkte mit digitalen Elementen oder für solche, die etwa durch ein Update wesentlich verändert werden.
Die neuen Pflichten des CRA belegen das Spannungsverhältnis von Datenschutz und IT-Sicherheit mit neuer Intensität. Es stellt sich die Frage, ob Datenverarbeitungen zugunsten der Cybersicherheit eine gesetzliche Pflicht als Rechtsgrundlage für die DSGVO sind und den Datenschutz aufweichen. Dies wird anders als bei einigen der Vorgaben der nationalen Umsetzung von NIS2 (Mitteilung der Bundesregierung zum finalen Beschluss des Bundesrats) zu verneinen sein. Zu groß ist der Spielraum, wie das Produkt mit digitalen Elementen ein Mindestmaß an Cybersicherheit erreichen kann. Dennoch können die umfangreichen Vorgaben nach dem CRA bei der Findung einer Rechtsgrundlage für die Datenverarbeitung hilfreich sein. Die Geltung des CRA wird neue vertragliche Pflichten und berechtigte Interessen schaffen. Hier bietet sich die Anknüpfung als Rechtsgrundlage für Datenverarbeitungen an. Dabei wird auch die Rechtsgrundlage der Auftragsverarbeitung – insbesondere in Drittländer – durch den CRA tangiert.
Seit dem europäischen Digitalgipfel am 18. November (Tagesschau) besteht nämlich ein neues Bewusstsein für die nationalen Grenzen der Datenverarbeitung. Datenverarbeitungen können bereits heute auf Drittlandtransfers und den Grad ihrer Souveränität durch Einsicht in die Auftragsverarbeitungsverträge überprüft werden. Dabei kann die Datenverarbeitung auf Software-Produkten beruhen, die nur mit einem Transfer in Drittländer funktionieren. Dennoch mag die Datenschutzdokumentation digitale Souveränität ausweisen. Es könnte aber auch eine Software-Stückliste geben (auch bekannt als „Software Bill of Materials“ oder „SBOM“, siehe hierzu SBOM-Anforderungen des BSI). Die Software-Stückliste kann als „Zutatenliste“ des Software-Produkts „Spuren von Drittlandtransfers“ enthalten. Betroffene oder Datenschutzaufsichten mit Zugriff auf die Software-Stückliste hätten damit Beweise, die der Datenschutzdokumentation widersprechen. Grundlage für diesen Widerspruchsbeweis ist die Pflicht aus dem CRA, dass eine solche Software-Stückliste ab dem 11. Dezember 2027 für neue und wesentlich veränderte Software-Produkte existieren muss.
Typisch für den CRA als Produktrecht und damit fast Neuland für das Datenschutzrecht sind konkretisierte Vorgaben durch verschiedene Arten von Normen (DIN). Das eigene E-Bike etwa ist nicht nur CE-gekennzeichnet, sondern bedarf auch immer einer Konformitätserklärung. In dieser wird die Konformität mit dem einschlägigen Produktrecht (fünf EU-Richtlinien) und Normen (sechs DIN-, EN- und ISO-Normen) erklärt. Ein Internetbrowser mit Passwortmanager und Datenfernverbindung zu Zwecken des Cloud-Speichers muss die Konformität mit dem CRA erklären. Optional kann Konformität etwa mit der Norm für Passwortmanager EN 304-618 erklärt werden (Entwurf der EN 304-618). Eine im Datenschutzrecht bisher bekannte Zertifizierung nach DIN EN ISO/IEC 27001 wird neuerdings durch produktrechtliche Normen-Compliance begleitet. Wie die Zertifizierung ist die produktrechtliche Normen-Compliance keine Pflicht, aber haftungsrechtlich von Vorteil und weiterer Klärung wert und bedürftig.
Klärungsbedürftig ist auch, welche Komponenten von der Konformitätserklärung umfasst sind. Der CRA gilt nämlich zunächst nicht für Open-Source-Software. Unter der Bedingung der Marktbereitstellung gilt jedoch eine Rückausnahme. Die damit einhergehende Unsicherheit, ob eine Open-Source-Komponente von der Konformitätserklärung für das Software-Produkt umfasst sein kann, darf oder muss, ist damit voreingestellt. Als Daumenregel liegt Marktbereitstellung vor, wenn mit der Open-Source-Komponente Geld verdient wird. Geradezu entlastend wirkt hier die Rechtssicherheit der DSGVO. Sie gilt für jede (personenbezogene) Datenverarbeitung: sowohl auf der CRA-freien Open-Source-Komponente als auch auf dem CRA-verpflichteten Software-Produkt. Und die gute Nachricht zum Schluss. Die aktuellen Vorschläge des Omnibus-Pakets haben auf die hier vorgestellte Wechselwirkung von DSGVO und CRA keine Auswirkungen.
Damit wird der CRA in Gesamtschau viele abstrakte Pflichten der DSGVO konkretisieren und das Datenschutzrecht vor neue Aufgaben und Möglichkeiten stellen. Damit liegt nicht nur ein Sicherheitsupdate der DSGVO vor. Vielmehr wird das europäische Datenschutzrecht wesentlich verändert.
Wir danken Rechtsanwalt Maximilian Kroker für diesen Beitrag. Er engagiert sich als Junior-Fellow der GI für die Interessen der Informatik (https://gi.de/ueber-uns/personen/junior-fellows). Haben auch Sie ein Thema im Fokus, das Sie interessiert? Wir freuen uns auf Ihre Ideen!
GI-MELDUNGEN
Informatik Festival in Dresden: Workshopvorschläge willkommen! Unter dem Motto „Digitale Resilienz“ laden wir Sie ein, Workshopvorschläge zu machen und so Ihr Lieblingsthema bei unserer Jahrestagung unterzubringen. Vom 22. bis 25. September öffnet die TU Dresden ihre Türen für die Informatikgemeinde. Mit Fachleuten können Sie sich dort austauschen, sich mit Unbekannten vernetzen und beim Rahmenprogramm Spaß haben. Wir freuen uns auf Ihre Themen und Vorschläge. weiterlesen
Rahmenempfehlung für Studiengänge der Verwaltungsinformatik an Hochschulen. Der GI-Fachbereich Informatik in Recht und Öffentlicher Verwaltung hat neue Empfehlungen für die entsprechenden Studiengänge erarbeitet und vorgelegt. Das Präsidium hat sie beschlossen und veröffentlicht. weiterlesen
GI- und Informatik-VIPs gesucht! Das Jahr neigt sich dem Ende, und wir suchen unsere VIPs! Für das kommende Jahr haben wir wieder das GI-Fellowship sowie das GI-Junior-Fellowship ausgeschrieben, suchen tolle Projekte für den Balzert-Preis zur digitalen Didaktik und Menschen, die im Sinne von Klaus Tschira die Informatik fassbar gemacht haben. Wenn Sie sich hier wiederfinden oder Sie jemanden kennen, den Sie für auszeichnungswürdig halten: Vielleicht haben Sie Lust, uns Vorschläge zu unterbreiten? Unter den jeweiligen Kacheln finden Sie weitere Informationen. weiterlesen
Selbstdarstellung als Mitglied mit Fachexpertise. Möchten Sie sich mit Ihren Arbeitsschwerpunkten und Fachgebieten vorstellen? Möchten Sie eventuell ansprechbar sein für Presse oder Fachleute, die sich mit ähnlichen Themen beschäftigen? Als GI-Mitglied haben Sie im Mitgliederbereich die Möglichkeit, sich Ihr eigenes Profil anzulegen und dieses zu veröffentlichen. Beispiele finden Sie hinter dem Link. weiterlesen
GI-Wahlen: Letzte Chance! Noch eine Woche haben Sie Zeit, Ihre Stimme für die Vorstands- und Präsidiumswahlen 2025 abzugeben. Am kommenden Freitag zählen wir die Wahl aus, und anschließend wissen Sie, wer die GI in den kommenden Jahren maßgeblich mitgestalten wird. Hier finden Sie alle Informationen zu Personen und Wahlprogrammen und den Link zum Wahltool. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.
FUNDSTÜCK
„Wie schwer kann es schon sein, eine E-Mail-Adresse zu validieren?“ Diese Frage hat sich wohl jede Entwicklerin und jeder Entwickler schon gestellt – meist mit fataler Selbstüberschätzung. Die interaktive Webseite e-mail.wtf führt einem schrittweise vor Augen, warum die Antwort lautet: sehr viel schwerer als gedacht. Ein heilsamer Realitätscheck für alle, die noch nie etwas von RFC 5321 gehört haben. Zum Fundstück (e-mail.wtf)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 391 des GI-Radars vom 28. November 2025. Zusammengestellt hat sie Dominik Herrmann, der sich nach dem Durchspielen des Fundstücks fragt, ob unter den GI-Mitgliedern wohl jemand ist, der Anführungszeichen oder Klammern in seiner E-Mail-Adresse verwendet. Die Kurzmitteilungen und die GI-Meldungen hat GI-Geschäftsführerin Cornelia Winter zusammengetragen. Das nächste Radar ist schon das letzte in diesem Jahr. Es erscheint am 12. Dezember.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey.
|
