Rechtsbeobachtung Nr. 81 – März 2025. 

Datenschutzverletzungen: Welche Strafverfolgungsbehörden und welche Sanktionen?

Wer hat nicht in letzter Zeit eine E-Mail von seinem Telekommunikationsanbieter oder von der NGO, an die er monatlich spendet, erhalten, in der er darüber informiert wird, dass seine Kontaktdaten, Identifikationsmerkmale und manchmal auch seine Bankdaten kompromittiert wurden?

In Zeiten, in denen Datenpannen immer häufiger vorkommen, wird der Schutz von IT-Systemen zu einem zentralen Thema für Unternehmen.

Seit dem Inkrafttreten der DSGVO und der NIS2-Richtlinie ist die Sicherheit der Datenverarbeitung streng geregelt, und Verstöße ziehen hohe Strafen für die Verantwortlichen nach sich.

Zu den Verpflichtungen zählt unter anderem die Pflicht, die CNIL und die betroffenen Personen unter bestimmten Bedingungen über den Verstoß zu informieren, den Verstoß zu beheben und alle geeigneten Maßnahmen zu ergreifen, um seine Folgen abzumildern.

Die CNIL verfügt über weitreichende Ermittlungsbefugnisse und hat die Aufgabe, Datenverantwortliche zu unterstützen, aber auch zu sanktionieren, wenn eine Sicherheitsverletzung die Ursache für die Datenschutzverletzung ist.

Die Kommission hat in den letzten Jahren mehrere Sanktionen verhängt:

• Bouygues Telecom wurde 2017 wegen unzureichender Sicherheitsvorkehrungen auf ihrer Kundenseite B&You mit einer Geldstrafe von 250.000 € belegt. Durch eine URL-Änderung war der Zugriff auf die Verträge von 2 Millionen Kunden möglich.
• Im Jahr 2016 wurde Uber wegen einer Sicherheitslücke, die 57 Millionen Konten betraf, und wegen der Nichtmeldung an die CNIL innerhalb der gesetzlichen Fristen mit einer Geldstrafe von 400.000 € belegt.
• Kürzlich legte Dedalus Biologie aufgrund einer Serverfehlkonfiguration durch einen Subunternehmer die Gesundheitsdaten von 500.000 Patienten offen und wurde von der CNIL mit einer Geldstrafe von 1,5 Millionen Euro belegt.
• Im vergangenen Oktober wurde Ledger, ein Unternehmen für Kryptowährungssicherheit, schließlich mit einer Geldstrafe von 750.000 € belegt, weil es die Daten seiner Kunden nicht ausreichend geschützt hatte. Das Unternehmen hatte 2020 mehrere Datenschutzverletzungen erlitten – die zahlreiche Kunden und Interessenten betrafen – und diese verschwiegen.

Die Kommission scheint derzeit jedoch eher Unterstützung als Sanktionen zu bevorzugen.und veröffentlicht auf ihrer Website zahlreiche Empfehlungen für Datenverantwortliche.

Anfang des Jahres reagierte die Organisation auf die großflächigen Datenpannen, von denen im Jahr 2024 Millionen von Menschen betroffen waren, und schlug Maßnahmen zur Stärkung der Sicherheit vor, um den Risiken von Angriffen zu begegnen.

Die CNIL besteht auf der Einhaltung interner Unternehmensverfahren sowie auf Vorsichtsmaßnahmen, die im Falle der Vergabe von Unteraufträgen zu treffen sind.

Anderswo in Europa, Viele Unternehmen werden mit Geldstrafen von einigen Tausend bis zu mehreren Hunderttausend Euro belegt, zum Beispiel weil sie „vergessen“ haben, ehemaligen Mitarbeitern die Zugriffsrechte auf das Computersystem zu entziehen, weil sie bei der Gestaltung einer Banking-Anwendung oder der Konfiguration einer Website Fehler gemacht haben, weil sie versehentlich eine SIM-Karte an den falschen Kunden geschickt haben, weil sie eine Kundendatei über WhatsApp heruntergeladen haben oder weil sie die Praktiken eines Subunternehmers nicht ausreichend kontrolliert haben.

Auf supranationaler EbeneDer Gerichtshof der Europäischen Union liefert ebenfalls Klarstellungen, insbesondere hinsichtlich der Entschädigung von Opfern.

Ist die betroffene Person verpflichtet, das Vorliegen eines durch eine Datenschutzverletzung verursachten Schadens nachzuweisen, darf dieser Schaden einen bestimmten Schweregrad nicht erreichen (Rechtssache C-300/21, Rechtssache C-590/22).

Die Befürchtung einer Person, dass ihre personenbezogenen Daten an Dritte weitergegeben wurden, kann daher einen Anspruch auf Entschädigung begründen, sofern die Person ihre Befürchtung und deren negative Folgen nachweist (Rechtssache C 340/21, Rechtssache C 687/21, Rechtssache C-590/22).

Der EuGH urteilte außerdem, dass der Schadensersatz für immaterielle Schäden, die durch den Diebstahl personenbezogener Daten verursacht wurden, nicht auf Fälle beschränkt ist, in denen nachgewiesen wird, dass es tatsächlich zu einem Identitätsdiebstahl gekommen ist.

Ein schadenersatzfähiger Schaden kann daher auch ohne Nachweis eines Identitätsdiebstahls vorliegen. (Rechtssachen C 182/22 und C 189/22).

Mit der Entwicklung kollektiver Klagen setzen sich Unternehmen, die die Risiken von Datenschutzverletzungen nicht ernst nehmen, nicht nur Sanktionen der CNIL, sondern auch Klagen von Einzelpersonen aus.

 

 

Die Nationalversammlung stimmte am Abend des Donnerstags, den 20. März, für den Erhalt der Vertraulichkeit verschlüsselter Nachrichtendienste..

Die Maßnahme sah die Möglichkeit vor, diese Messaging-Plattformen (Signal, WhatsApp usw.) zu verpflichten, die Kommunikation von Menschenhändlern an die Geheimdienste weiterzuleiten.

„Die Abgeordneten des Parlaments haben diese Maßnahme, gegen die sich viele Akteure und Experten der Cybersicherheitsbranche ausgesprochen hatten, letzte Woche im Rechtsausschuss zurückgezogen. Ihrer Ansicht nach besteht ein zu großes Risiko, eine Sicherheitslücke zu schaffen, die die Kommunikation aller Nutzer dieser Plattformen gefährden würde.“

Damit sich die betroffenen Fachleute „auf die anstehenden Konsultationen oder Diskussionen vorbereiten können“, präsentierte die CNIL am 27. März das Arbeitsprogramm und die Leitlinien, die sie im Jahr 2025 verabschieden möchte.

Zu den behandelten Themen gehören praktische Leitfäden zur KI, Entwürfe von Referenzdokumenten zu Subunternehmern, Gesundheit, dem Bankensektor, Aufbewahrungsfristen für Daten in den Bereichen Marketing und Personalwesen, drei Empfehlungsentwürfe zur geräteübergreifenden Einwilligung, Pixel in E-Mails und der Seniorenwirtschaft; schließlich wird die CNIL ihre Arbeit zu Dashcams und politischer Haustürwerbung fortsetzen.

Die Entscheidung der CNIL, die der Europäischen Arzneimittel-Agentur unter bestimmten Bedingungen den Zugriff auf Datenextrakte aus dem SNDS im Rahmen des DARWIN-Projekts gestattet. (Data Analysis and Real-World Interrogation Network) EU, wurde auf Légifrance veröffentlicht.

Die Kommission kritisiert die Wahl eines Hosting-Anbieters, der dem extraterritorialen Recht unterliegt, wodurch dieser dem Risiko der Weitergabe sensibler Daten an ausländische Mächte ausgesetzt ist, genehmigt aber dennoch die Verarbeitung für einen Zeitraum von maximal drei Jahren für die Datenstichprobe und ein Jahr nach Veröffentlichung der Studie.

Mit Beschluss vom 28. März verhängte die französische Wettbewerbsbehörde eine Geldstrafe von 150 Millionen Euro gegen Apple. „wegen Missbrauchs einer marktbeherrschenden Stellung im Bereich des Vertriebs mobiler Anwendungen auf iOS- und iPadOS-Geräten“.

Die Maßnahme zielt insbesondere auf Apples App Tracking Transparency (ATT) ab, die es Nutzern ermöglicht, einfach zu entscheiden, ob sie das Tracking durch Drittanbieter aktivieren möchten oder nicht.

Die Behörde ist der Ansicht, dass das Framework an sich „nicht grundsätzlich problematisch“ sei, weist aber darauf hin, dass die ATT die Nutzung von Drittanbieteranwendungen in der iOS-Umgebung übermäßig verkompliziert, indem sie mehrere Zustimmungs-Pop-up-Fenster erfordert.

Die Anwendung würde insbesondere kleinere Verlage benachteiligen, „die zur Finanzierung ihres Geschäfts weitgehend auf die Datenerhebung durch Dritte angewiesen sind“.

In einem Beschluss vom 1. April Der Staatsrat hat über die Sperrung von TikTok in Neukaledonien während der Unruhen im vergangenen Frühjahr entschieden.

Obwohl das Gericht der Ansicht ist, dass in diesem speziellen Fall die Voraussetzungen für die Gültigkeit nicht erfüllt waren, legt es dennoch die Bedingungen fest, unter denen eine solche Sperrung eines sozialen Netzwerks rechtmäßig sein könnte, und urteilt, dass die Verwaltungsbehörde "in Ausnahmefällen zu einer solchen [Sperr-]Maßnahme greifen kann, wenn dies zur Erfüllung der aktuellen Bedürfnisse unerlässlich ist."

Die Maßnahme sollte lauten:

• Unverzichtbar für die Bewältigung besonders schwerwiegender Ereignisse;
• Ohne jegliche technische Mittel, die die sofortige Umsetzung alternativer Maßnahmen ermöglichen würden;
• Und zwar „für einen begrenzten Zeitraum, der für die Erforschung und Umsetzung dieser alternativen Maßnahmen erforderlich ist“.

 

In einem Urteil vom 26. März bestätigte die Sozialkammer des Kassationsgerichtshofs das Recht einer Arbeitnehmerin, eine Teilkopie der Gehaltsabrechnungen einiger ihrer Kollegen zu erhalten, um eine unfaire Behandlung nachzuweisen. in seiner beruflichen Entwicklung.

Das Gericht bekräftigt den Grundsatz der Datenminimierung und stellt klar, dass es in der Verantwortung des Richters liegt, „sicherzustellen, dass die Informationen, die er als sichtbar zu erhalten bestimmt, angemessen, relevant und streng auf das beschränkt sind, was für den Vergleich zwischen den Arbeitnehmern unter Berücksichtigung des/der behaupteten Diskriminierungsgrundes/Diskriminierungsgründe wesentlich ist.“

 

Europäische Institutionen und Gremien

Politico verkündete in einem Artikel vom 3. April, dass Die Europäische Kommission plant, in den kommenden Wochen einen Vorschlag zur Vereinfachung der DSGVO vorzulegen..

Laut der Veröffentlichung ist dies „eine der Prioritäten der Präsidentin der EU-Kommission, Ursula von der Leyen, die versucht, die Unternehmen auf dem alten Kontinent im Vergleich zu ihren Konkurrenten in den Vereinigten Staaten, China und anderswo wettbewerbsfähiger zu machen.“

Am 1. April stellte die Kommission ihren Fahrplan für eine „neue europäische Strategie für die innere Sicherheit“ mit dem Namen ProtectEU vor, die insbesondere darauf abzielt, die Befugnisse von Europol und Frontex zu erweitern.

Die Kommission wird eine Bewertung der Auswirkungen der Aufbewahrungspflichten für Daten auf EU-Ebene durchführen und einen Technologiefahrplan für die Verschlüsselung erstellen, „um technologische Lösungen zu ermitteln und zu bewerten, die es den Strafverfolgungsbehörden ermöglichen, rechtmäßig auf verschlüsselte Daten zuzugreifen und gleichzeitig die Cybersicherheit und die Grundrechte zu wahren.“

Der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) ist in seinen Schlussfolgerungen vom 27. März der Ansicht, dass WhatsApp als unmittelbar Betroffener die verbindliche Entscheidung des Europäischen Datenschutzausschusses (EDPB) gemäß Artikel 263 AEUV vor dem Europäischen Gerichtshof anfechten kann.

Zur Erinnerung: Im Anschluss an diese Entscheidung des Europäischen Datenschutzausschusses am 28. Juli 2021 erließ die irische Datenschutzkommission im Rahmen des DSGVO-Kooperationsmechanismus eine Entscheidung, in der sie die Verstöße feststellte, Korrekturmaßnahmen verhängte und Bußgelder in Höhe von insgesamt 225 Millionen Euro verhängte.

WhatsApp hatte die Entscheidung des Europäischen Datenschutzausschusses vor dem Europäischen Gerichtshof angefochten und parallel dazu die endgültige Durchsetzungsentscheidung der irischen Datenschutzbehörde vor einem irischen Gericht.

Die Generalversammlung kam am selben Tag auch zu dem Schluss, dass der Versand eines täglichen Newsletters „Direktmarketing“ für „ähnliche Produkte oder Dienstleistungen“ im Sinne der ePrivacy-Richtlinie darstellt, und vertrat die Auffassung, dass Artikel 6 der DSGVO nicht anwendbar ist, wenn die Verarbeitung personenbezogener Daten auf der Grundlage dieser Bestimmung rechtmäßig ist: Wenn es in der ePrivacy-Richtlinie eine spezifische Bestimmung gibt, die Verpflichtungen mit dem gleichen Ziel wie die entsprechenden Bestimmungen der DSGVO vorsieht, ist die „ePrivacy“-Bestimmung anzuwenden.

Am 20. März entschied der Gerichtshof schließlich, dass die DSGVO Betroffenen das Recht auf eine einstweilige Verfügung im Falle einer unrechtmäßigen Datenverarbeitung einräumt. Diese präventive Möglichkeit, eine einstweilige Verfügung zu beantragen, mindert jedoch nicht den immateriellen Schaden, der aus einer solchen unrechtmäßigen Datenverarbeitung resultiert.

Der EuGH urteilte am 13. März, dass Artikel 16 der DSGVO die Berichtigung des Geschlechts einer Transgender-Person vorschreibt, wenn dieses in einem öffentlichen Register unrichtig eingetragen ist.

Zwar kann die zuständige Behörde einen Nachweis über die Unrichtigkeit der Angaben verlangen, doch stellt die Forderung, dass die betroffene Person nachweisen muss, dass sie sich einer Geschlechtsumwandlungsoperation unterzogen hat, eine Verletzung ihrer Menschenrechte dar.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland bestätigte der Bundesgerichtshof die Zuerkennung von 500 Euro immateriellen Schadensersatzes an einen Kläger wegen Rufschädigung. gemäß Artikel 82 der DSGVO.

Darüber hinaus entschied das Gericht, dass es bei der Festlegung der Schadenshöhe weder die Schwere des Verstoßes gegen die DSGVO noch die Frage des Verschuldens berücksichtigen darf.

Die österreichische Datenschutzbehörde (APD) hat die Vernichtung von Bildern angeordnet, die ein Fotograf wegen Nichteinhaltung der DSGVO aufgenommen hat..

Der Fotograf hatte auf einer öffentlichen Website Bilder veröffentlicht, die auf der Straße von identifizierbaren Personen, insbesondere Kindern und Frauen, in sensiblen Kontexten aufgenommen worden waren, ohne eine gültige Rechtsgrundlage oder ausreichende Garantien (Information, Widerspruchsrecht).

Der Verein Noyb hat vor dem Brüsseler Berufungsgericht gerade einen Rückschlag erlitten..

In einem Urteil vom 19. März entschied das Gericht, dass...Die von dem Verband weitergeleiteten Beschwerden müssen ein persönliches Interesse der betroffenen Person erkennen lassen..

Im vorliegenden Fall hat das Marktgericht festgestellt, dass es keine Rechtfertigung für ein solches Interesse der Kläger an Verstößen gegen die Cookie-Regeln gefunden hat.

Sie erwähnt unter anderem, dass Noyb zu keinem Zeitpunkt des Verfahrens behauptet, die Kläger seien regelmäßige oder auch nur gelegentliche Besucher der betreffenden Websites/Zeitungen gewesen.

Auch in Belgien erhielt eine Erotiksauna eine Warnung von der Rechtsabteilung der APD, insbesondere wegen der Führung eines Online-Gästebuchs, das die öffentliche Verbreitung sensibler Daten über Kunden ermöglichte.

Die APD bemängelte mangelnde Transparenz der Datenschutzrichtlinie, das Fehlen einer Rechtsgrundlage für die Datenverarbeitung und die Nichteinhaltung der Pflichten im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten.

In Spanien verhängte die APD eine Geldstrafe von 3.500.000 Euro gegen eine Bank wegen eines schwerwiegenden Konstruktionsfehlers in einer Banking-Anwendung, der es Kunden ermöglichte, auf Konten zuzugreifen, für die sie keine Berechtigung hatten.

Einem Versicherungsunternehmen wurde außerdem eine Geldstrafe von 1.000.000 € auferlegt, weil ein Programmierfehler dazu geführt hatte, dass personenbezogene Daten, darunter auch sensible Daten, von 3.395 Personen per E-Mail an 354 Empfängerunternehmen versandt wurden.

In Griechenland verhängte die APD eine Geldstrafe von 3.000 Euro gegen eine Bank, weil diese nach einem internen Datenleck keine angemessenen Sicherheitsmaßnahmen ergriffen hatte.

Ein Mitarbeiter hatte nach seinem Ausscheiden aus dem Unternehmen unrechtmäßig Administratorrechte behalten und ohne Genehmigung auf die Daten von mehr als 6.000 anderen Mitarbeitern zugegriffen.

Eine ähnliche Entscheidung wurde von der italienischen Datenschutzbehörde (APD) getroffen.

Im Fall von SMS-Spam forderte die griechische Datenschutzbehörde (APD) die nationale Domainnamensbehörde auf, den Domainnamen des betreffenden Unternehmens zu sperren, da dieser Domainname in böser Absicht oder in einer gegen die öffentliche Ordnung verstoßenden Weise verwendet wurde.

Notiz dass auf ICANN-Ebene Registrare „2.528 Domainnamen gesperrt und 328 Websites deaktiviert haben, die für Phishing-Operationen genutzt wurden“. als Teil der Bemühungen zur Umsetzung von Compliance-Maßnahmen.

Die italienische Datenschutzbehörde (APD) hat ein Energieunternehmen mit einer Geldstrafe von 300.000 Euro belegt, weil es personenbezogene Daten unrechtmäßig für Direktmarketingzwecke verarbeitet, die Grundsätze des Datenschutzes nicht ordnungsgemäß umgesetzt und Bewerber nicht ausreichend über die Verarbeitung ihrer Daten informiert hat.

Das luxemburgische Verwaltungsgericht hat die von der APD im Jahr 2021 gegen eine Amazon-Tochtergesellschaft verhängte Geldbuße in Höhe von 746.000.000 € bestätigt. Grund dafür waren die unrechtmäßige Verarbeitung von Website-Besucherdaten für interessenbezogene Werbezwecke, die mangelnde Transparenz bei der Informationsbereitstellung und die Verletzung mehrerer Rechte von Betroffenen.

Während Amazon angeblich eine Berufung erwägt, erklärte die APD, dass sie während der Berufungsfrist oder eines möglichen Verfahrens keine Einzelheiten zu ihrer Entscheidung bekannt geben werde.

Die polnische Datenschutzbehörde (APD) hat die Post mit einer Geldstrafe von 6,3 Millionen Euro belegt, weil sie eine Anfrage der Regierung zur Verarbeitung von Daten von 30 Millionen Bürgern im Zusammenhang mit den während der Covid-Pandemie abgehaltenen Wahlen bearbeitet hatte, ohne die Rechtsgrundlage der Anfrage zu überprüfen. 

La Poste hätte warten sollen, bis alle Rechtsmittel gegen diese Entscheidung ausgeschöpft waren, die schließlich von den Gerichten aufgehoben wurde.

 

Am 17. März trat in Großbritannien der Online Safety Act in Kraft, der Online-Plattformen dazu verpflichtet, eine Reihe von Maßnahmen umzusetzen, die darauf abzielen, Risiken für Kinder zu verringern und schädliche Inhalte im Allgemeinen zu entfernen.

Britische Dienstleistungsanbieter haben bis zum 16. März Zeit, Risikobewertungen ihrer Dienstleistungen durchzuführen.

Die britische Regulierungsbehörde (Ofcom) hat einen Verhaltenskodex und ein Umsetzungsprogramm entwickelt.

Kritiker dieses Gesetzes bemängeln insbesondere seinen Anwendungsbereich in Grauzonen wie Belästigung oder Verhaltenskontrolle und die daraus resultierenden Risiken der Zensur.

Dieses Gesetz kommt zu zwei anderen britischen Regelungen hinzu, die die Erneuerung des Angemessenheitsbeschlusses des Vereinigten Königreichs im Juni durchaus untergraben könnten: In einer vom Forschungsdienst des Europäischen Parlaments veröffentlichten Notiz wird auf den Data Bill und eine Änderung des Investigatory Powers Act verwiesen, die beide darauf abzielen, den Zugang von Regierung und Strafverfolgungsbehörden zu Benutzerdaten zu erweitern.

Das Büro des australischen Informationsbeauftragten veröffentlichte am 19. März eine Studie über die Richtlinien und Praktiken australischer Behörden des öffentlichen Sektors hinsichtlich ihrer Nutzung von Messaging-Anwendungen.

Der Bericht stellt fest, dass Messaging-Anwendungen im australischen öffentlichen Dienst weit verbreitet sind, ohne dass angemessene Aufsicht oder Verfahren existieren. Die Studie enthält eine Liste von Empfehlungen, um diesem Problem entgegenzuwirken.

Der kanadische Datenschutzbeauftragte hat soeben ein Instrument veröffentlicht, mit dem sich beurteilen lässt, ob eine Verletzung des Schutzes personenbezogener Daten ein tatsächliches Risiko erheblicher Schäden für Einzelpersonen darstellt.

In China veröffentlichte das „Nationale Internetinformationsbüro“ am 13. März Sicherheitsmanagementmaßnahmen für die Anwendung biometrischer Technologien, die vorschreiben, dass Gesichtserkennungsaktivitäten den geltenden Gesetzen entsprechen, Sicherheitsmaßnahmen ergriffen werden und die Auswirkungen auf die Menschenrechte minimiert werden müssen.

Die deutsche Tageszeitung „Der Spiegel“ gab am 26. März bekannt, dass sie Zugang zu persönlichen Daten, Online-Kontaktinformationen und sogar Passwörtern einiger hochrangiger amerikanischer Sicherheitsbeamter erhalten habe, darunter auch des Verteidigungsministers und des ehemaligen Fox-News-Moderators Pete Hegseth.

Die Journalisten nutzten öffentliche Suchmaschinen sowie „gehackte Kundendaten“, die online veröffentlicht worden waren.

Der nationale Sicherheitsberater Mike Waltz und die Direktorin des nationalen Nachrichtendienstes, Tulsi Gabbard, gehören vermutlich ebenfalls zu denjenigen, deren Informationen online durchgesickert sind.

Auch in den Vereinigten Staaten nimmt die Regulierung von KI deutlich zu: Im Jahr 2024 wurden mehr als 600 Gesetzesentwürfe zum Thema KI identifiziert, von denen fast 100 bereits verabschiedet wurden.

Der Schutzgrad variiert jedoch stark von Bundesstaat zu Bundesstaat.

Ein vom Portal „Multistate“ angebotener Tracker ermöglicht es Ihnen, den Stand der Regulierungen im Jahr 2025 zu visualisieren.

Unterdessen entließ Präsident Trump am 18. März die beiden demokratischen Mitglieder der Federal Trade Commission (FTC), was die derzeitige Unsicherheit über die Wirksamkeit der Verbraucherschutz- und Kontrollmechanismen in den Vereinigten Staaten verstärkte und die Stabilität des transatlantischen Datenschutzabkommens weiter schwächte.

In Vietnam könnte das Datenschutzgesetz im Frühjahr verabschiedet werden.

Die Regierung hat vor kurzem eine Resolution verabschiedet, um das Gesetzgebungsverfahren zu beschleunigen, und das Ministerium für öffentliche Sicherheit wurde beauftragt, den Gesetzentwurf im Mai 2025 der Nationalversammlung zur formellen Verabschiedung vorzulegen.

Fortschrittliche KI-Bildgeneratoren haben erhebliche Auswirkungen auf den Datenschutz, wie ein Artikel von L. Jarosvky belegt.

• Der „Ghibli“-Effekt, der die Erstellung von Bildern im Stil der berühmten Myasaki-Zeichentrickfilme ermöglicht, hat in den letzten Tagen Tausende von Menschen dazu veranlasst, freiwillig ihre Gesichter und persönlichen Fotos auf ChatGPT hochzuladen und OpenAI damit direkten und kostenlosen Zugriff auf mehrere tausend neue Gesichter zu gewähren, um seine Modelle der künstlichen Intelligenz zu trainieren.
• Bildgeneratoren machen die Erstellung gefälschter Beweismittel extrem einfach, kostengünstig und zugänglich. Jeder mit böswilligen Absichten kann so innerhalb von Minuten und praktisch kostenlos gefälschte Rechnungen, Ausweisdokumente, Adressnachweise oder sogar Bankunterlagen erstellen, was das Risiko von Identitätsdiebstahl erhöht.