Aktuelle Datenschutzhinweise für Unternehmen und Mandanten

Wir möchten Sie heute auf die datenschutzrechtlichen Herausforderungen beim Einsatz von KI-basierter Transkription aufmerksam machen. Deren Nutzung nimmt derzeit stark zu und ist in vielen Unternehmen inzwischen fester Bestandteil von Videokonferenzen, Meetings oder Besprechungen – auch im Austausch mit Kunden.

KI-Transkription im Unternehmensumfeld – rechtliche (und datenschutzrechtliche) Bedeutung

Unter KI-Transkription versteht man die automatisierte Umwandlung gesprochener Sprache in Text mithilfe Künstlicher Intelligenz. Zum Einsatz kommen dabei in der Regel Spracherkennungsverfahren (Speech-to-Text) sowie KI-Modelle zur Analyse von Satzstruktur und Kontext. Auf diese Weise können Meetings, Videokonferenzen oder Telefonate mit Kunden oder Beschäftigten entweder in Echtzeit oder nachträglich transkribiert, aufgezeichnet und/oder protokolliert werden. Dies verspricht Effizienzsteigerungen sowie eine verbesserte Dokumentation und Nachbereitung – geht jedoch stets mit der Verarbeitung personenbezogener Daten einher. Zu den bekannten Tools zählen etwa Otter.ai, Fireflies.ai sowie auf dem deutschen Markt unter anderem Sally oder tl;dv.

Ob der Einsatz solcher Systeme rechtlich zulässig ist, hängt maßgeblich von der konkreten technischen Umsetzung und der Art der Datenverarbeitung ab. Relevante Faktoren sind hierbei insbesondere, ob die Verarbeitung lokal oder cloudbasiert erfolgt, in welchem Umfang Daten erhoben und gespeichert werden, welche Speicherfristen gelten und ob die Daten für das Training von KI-Modellen genutzt werden.

Neben datenschutzrechtlichen Fragestellungen können sich aus dem Einsatz von KI-Transkription auch strafrechtliche Risiken ergeben. Dies betrifft insbesondere das unbefugte Aufzeichnen oder Mitschneiden des nichtöffentlich gesprochenen Wortes. Abhängig von der konkreten Ausgestaltung kann eine Strafbarkeit nach § 201 StGB (Verletzung der Vertraulichkeit des Wortes) in Betracht kommen, etwa wenn Gespräche ohne wirksame Einwilligung und ohne ausreichende Kenntnis der Beteiligten aufgezeichnet oder transkribiert werden.

Entscheidend ist die konkrete (technische) Ausgestaltung

Ob und unter welchen Voraussetzungen der Einsatz von KI-Transkription rechtlich zulässig ist, lässt sich daher nicht pauschal beantworten. Maßgeblich sind stets die konkrete technische Ausgestaltung des eingesetzten Systems, der jeweilige Nutzungskontext sowie die organisatorische Umsetzung im Unternehmen. Je nach Konstellation können unterschiedliche Rechtsgrundlagen herangezogen werden, um den Einsatz zu legitimieren.

Für einen möglichst datenschutzkonformen Einsatz empfiehlt es sich beispielsweise, auf Lösungen mit „Streaming ohne Speicherung (RAM-only)“, „On-Device-Processing“ sowie auf einen Verzicht auf biometrische Verfahren, Sprecheridentifikation und die Nutzung der Daten zu Trainingszwecken zu achten. Darüber hinaus sind regelmäßig weitere datenschutzrechtliche Anforderungen zu erfüllen, etwa der Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO mit dem Anbieter des Systems sowie die ordnungsgemäße Information der betroffenen Personen über die KI-gestützte Datenverarbeitung nach Art. 13 und 14 DSGVO.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir auf den Einsatz von Künstlicher Intelligenz im Datenschutz aufmerksam machen – und auf die Fallstricke, die dabei oft übersehen werden.

Künstliche Intelligenz ist mittlerweile allgegenwärtig – auch im Datenschutz. Egal ob IT-Richtlinien, Prozesse zu Datenpannen oder Datenschutzerklärungen: Ein kurzer Prompt bei ChatGPT & Co. wirkt zunächst äußerst attraktiv. Schnell erstellt, vermeintlich professionell, sofort einsatzbereit. Doch genau hier beginnt das Problem.

Die Erfahrungen der vergangenen Monate zeigen ein deutlich anderes Bild – und diese möchten wir heute mit Ihnen teilen.

Immer häufiger werden Datenschutzdokumente, mithilfe von KI erstellt und leider werden regelmäßig folgende Schwächen aufgewiesen:

• Zu allgemein formuliert, um rechtlich überhaupt eine verbindliche Regelung zu treffen
  (Beispiel aus einer Verschwiegenheitsverpflichtung: „Der Beschäftigte verpflichtet sich, die personenbezogenen Daten datenschutzkonform zu bearbeiten.“ → Was genau heißt das? Und wer verarbeitet eigentlich welche Daten?)
• Rechtlich unvollständig oder schlicht falsch
  (Beispiel: „Eine Datenübermittlung an Dritte findet nicht statt“, gelesen in einer Datenschutzinformation für Beschäftigte eines Unternehmens, das zahlreiche – teils US-amerikanische – Tools nutzt und selbstverständlich Lohn- und Gehaltsdaten an Steuerberater und Sozialversicherungsträger übermittelt. Spoiler: Auch das sind Dritte.)
• Nicht mit den tatsächlichen Abläufen im Unternehmen vereinbar
  (Beispiel: „Die Videoüberwachung dient der Sicherheit der Beschäftigten“, enthalten in einer Datenschutzrichtlinie eines Unternehmens, das nie über eine Videoüberwachungsanlage verfügt hat.)
• Sprachlich beeindruckend, inhaltlich jedoch bedeutungslos
  (Beispiel: „Die Belegschaft setzt adaptive Risikoevaluierungsmechanismen ein, um meldepflichtige Datenschutzvorfälle rechtswirksam zu identifizieren“, gefunden in einer Richtlinie zum Umgang mit Datenpannen. → Wer macht hier eigentlich was – und wie?)

Fazit:
ChatGPT und ähnliche Tools können vieles leisten – auch im Unternehmenskontext. Was sie jedoch nicht kennen, sind Ihre konkreten internen Prozesse, tatsächlichen Datenverarbeitungen und individuellen Datenschutzrisiken. Im Datenschutz gilt leider: „Klingt gut“ ist nicht gleichbedeutend mit „rechtssicher“.

Statt Zeit und Kosten einzusparen, entsteht häufig zusätzlicher Aufwand, weil KI-erstellte Datenschutzdokumente im Nachhinein geprüft, korrigiert oder – nicht selten – vollständig neu erstellt werden müssen. Ein Mehraufwand ohne echten Mehrwert und ohne verlässlichen Schutz für Ihr Unternehmen.

Selbstverständlich können KI-Tools sinnvoll eingesetzt werden, etwa als Ideengeber oder zur sprachlichen und strukturellen Unterstützung. Für belastbare, prüfungssichere Datenschutzdokumente empfehlen wir jedoch weiterhin den direkten Weg über die Datenschutzbeauftragten – das ist in der Praxis meist schneller, effizienter und am Ende auch kostengünstiger.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Wir möchten Sie heute auf eine aktuelle Betrugsmasche in der Weihnachtszeit aufmerksam machen. 

Derzeit kursieren wieder vermehrt betrügerische E-Mails, bei denen sich Kriminelle als Vorgesetzte ausgeben und Mitarbeitende auffordern, kurzfristig Geschenke oder Gutscheinkarten für Kolleg:innen zu kaufen – besonders in der Vorweihnachtszeit. Diese Masche wird als „Chef-Masche“ oder „CEO-Fraud“ bezeichnet.

Typische Merkmale solcher E-Mails:

• Der Name des Unternehmens oder einer bekannten Person wird korrekt angezeigt, die Absenderadresse ist jedoch meist privat (z. B. @gmail.com, @yahoo.com) und weicht von der offiziellen Unternehmensadresse ab.
• Es wird um einen „dringenden Gefallen“ gebeten, z. B. den Kauf von Gutscheinen (Amazon, Google Play, Paysafe etc.) für Kolleg:innen oder Projekte.
• Oft wird um Diskretion gebeten („Bitte niemandem sagen, sind ja Geschenke“, „vertraulich behandeln“) und ein starker Zeitdruck aufgebaut.

Wichtige Hinweise zum Umgang mit solchen E-Mails:

1. Keine Gutscheine kaufen oder Codes weitergeben.
   Sobald Gutscheincodes an die Angreifer verschickt wurden, ist das Geld in der Regel verloren.
2. Absenderadresse genau prüfen.
   Kontrollieren Sie immer die vollständige E-Mail-Adresse, nicht nur den angezeigten Namen.
3. Nicht direkt auf die E-Mail antworten.
   Bei Unsicherheit nutzen Sie bekannte Kommunikationswege zur Rückfrage (z. B. offizielle Mailadresse des Vorgesetzten, Telefon, persönliches Gespräch), aber nicht die „Antworten“-Funktion auf die verdächtige Mail.
4. Verdächtige Nachrichten ignorieren und ggf. melden.
5. Im Schadensfall:
   Sollten bereits Codes übermittelt oder Zahlungen veranlasst worden sein, informieren Sie sofort Ihren Vorgesetzten bzw. die Geschäftsführung.

Weiterführende Informationen:

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Wie erkenne ich Phishing in E-Mails und auf Webseiten?
• Watchlist Internet: Betrug mit Geschenkkarten („Ich brauche deine Hilfe bei einer kleinen Aufgabe“)

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Wir möchten Sie heute darüber informieren, dass der Hessische Datenschutzbeauftragte (HBDI) einen Bericht veröffentlicht hat (Pressemitteilung abrufbar unter: https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden), wonach er die Auffassung vertritt, dass Microsoft 365 grundsätzlich datenschutzkonform eingesetzt werden kann, sofern bestimmte Anforderungen erfüllt werden.

Hintergrund: Microsoft hat in den letzten Jahren – auch in Abstimmung mit den Aufsichtsbehörden – an vielen Stellen datenschutzrechtlich nachgebessert, von der Überarbeitung des Vertragswerks bis hin zur Schaffung von mehr Transparenz und Konfigurationsmöglichkeiten für die Nutzer bei der Datenverarbeitung.

Was bedeutet das nun?
Sofern Sie in Ihrem Unternehmen Microsoft 365-Dienste einsetzen, ist dies als positives Signal zu werten. Es ist jedoch darauf hinzuweisen, dass die Aussage des HBDI grundsätzlich nur für Unternehmen/Institutionen mit (Haupt-)Sitz in Hessen Gültigkeit hat. Dennoch dürfte der Bericht auch eine Signalwirkung für andere Bundesländer entfalten.

Was ist zu tun?
Die Aussage des HBDI, dass MS 365 datenschutzkonform eingesetzt werden kann, ist kein automatischer Freifahrtschein. Im Bericht des HBDI sind einige Maßnahmen und Anpassungen genannt, die für eine datenschutzkonforme Nutzung umgesetzt werden müssen (ab S. 76 ff. des Berichts, abrufbar unter: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2025-11/hbdi_bericht_m365_2025_11_15.pdf).

Abgesehen davon müssen selbstverständlich die jeweiligen Konfigurationen der einzelnen Dienste (z. B. MS CoPilot) weitere Datenschutzanforderungen erfüllen und die entsprechenden Einstellungen umgesetzt werden.

Wie geht es weiter?
Wenn die im Bericht des HBDI aufgeführten Anforderungen und Anpassungen in Ihrer MS 365-Umgebung innerbetrieblich umgesetzt wurden, kann Microsoft 365 datenschutzkonform genutzt werden. Der Status der „datenschutzkonformen Nutzung“ kann sich jedoch in Zukunft ändern, z. B. wenn der Europäische Gerichtshof (EuGH) das aktuell bestehende Datenschutzabkommen zwischen der EU und den USA kippt oder für ungültig erklärt (eine entsprechende Klage ist bereits anhängig).

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Vielleicht haben Sie es bereits bemerkt oder sogar eine E-Mail-Benachrichtigung vom Business-Netzwerk LinkedIn erhalten: Ab dem 03.11.2025 wird LinkedIn die auf der Plattform gespeicherten Nutzerdaten auch für das Training eigener KI-Systeme verwenden. Dazu zählen insbesondere die Informationen, die Sie in Ihrem Profil angeben, sowie Inhalte, die Sie in Beiträgen veröffentlichen.

Aus datenschutzrechtlicher Sicht ist dieses Vorgehen problematisch. Denn sowohl Ihre persönlichen Daten als auch möglicherweise die Daten Dritter (z. B. wenn Sie jemanden in einem Beitrag erwähnen) können für Zwecke verarbeitet werden, die über die ursprüngliche Nutzung hinausgehen. Besonders kritisch ist, dass die Betroffenen häufig nicht vollständig und transparent nachvollziehen können, wie ihre Daten konkret eingesetzt werden (siehe auch: heise.de-Artikel).

Wir empfehlen daher dringend, die entsprechenden Einstellungen in Ihrem LinkedIn-Profil anzupassen und der Nutzung Ihrer Inhalte für KI-Trainings zu widersprechen (Opt-Out).

So gehen Sie vor:

1. Öffnen Sie Einstellungen & Datenschutz: Klicken Sie oben rechts auf Ihr Profilbild und wählen Sie „Einstellungen & Datenschutz“.
2. Gehen Sie zum Bereich Datenschutz: Im linken Menü den Punkt „Datenschutz“ auswählen.
3. Suchen Sie nach „Daten zur Verbesserung von Generativer KI“ (Data for Generative AI Improvement).
4. Ändern Sie die Einstellung von „EIN“ auf „AUS“, um Ihre Inhalte vom KI-Training auszuschließen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie über eine aktuelle Entscheidung des Landgerichts Nürnberg-Fürth (Az. 6 O 1485/24) informieren. Dieses Urteil ist für Betreiber von Webseiten, Plattformen und Apps, die Tracking- oder Analyse-Tools einsetzen, von erheblicher Relevanz.

Das Gericht stellte klar: Nutzerinnen und Nutzer haben nach Art. 15 DSGVO ein sehr umfassendes Auskunftsrecht, wenn ihre personenbezogenen Daten in Verbindung mit solchen Diensten verarbeitet werden. Für verantwortliche Unternehmen kann dies erhebliche Herausforderungen mit sich bringen.

1. Sachverhalt – Hintergrund der Entscheidung

In dem Verfahren verlangte eine Privatperson von einem sozialen Netzwerk (Meta/Facebook) detaillierte Informationen darüber, welche Daten im Rahmen der Nutzung verarbeitet und an Dritte weitergegeben wurden – einschließlich der genauen Angabe von Zeitpunkten und Empfängern dieser Übermittlungen.

Das Gericht urteilte: Das Unternehmen ist verpflichtet, diese Auskünfte bereitzustellen.

Neben den Empfängern müssen auch die Zeitpunkte der Datenübermittlungen (Protokolle) angegeben werden. Nur dadurch können Betroffene prüfen, ob die datenschutzrechtlichen Anforderungen (Art. 5 und Art. 6 DSGVO) zum jeweiligen Zeitpunkt eingehalten wurden.

2. Konsequenzen und Empfehlungen für Unternehmen

Die wesentlichen Folgen des Urteils lassen sich wie folgt zusammenfassen: Unternehmen müssen Datenflüsse, die durch den Einsatz von Tracking-Tools auf ihren Webseiten entstehen, vollständig dokumentieren bzw. technisch protokollieren. Hier empfiehlt sich die Abstimmung mit dem zuständigen Webseitenbetreuer (intern oder extern).

Verantwortliche sollten genau nachvollziehen können, welche Dienste eingebunden sind, welche Daten an welche Dritten übermittelt werden – und zu welchem Zeitpunkt dies geschieht.

Ohne eine präzise Dokumentation besteht die Gefahr, Auskunftsersuchen nicht ordnungsgemäß zu erfüllen. Dies kann Bußgelder und Schadensersatzforderungen nach sich ziehen. Da viele dieser Datenübertragungen auch von außen (z. B. durch automatisierte Analysetools) nachweisbar sind, ist besondere Sorgfalt geboten.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie auf ein Thema aufmerksam machen, das im Zuge der zunehmenden Nutzung generativer KI-Systeme wie ChatGPT zunehmend in den Fokus der Aufsichtsbehörden rückt: Web Scraping. Dabei geht es nicht nur um datenschutzrechtliche Fragen – Unternehmen sehen sich hier mit einer Vielzahl weiterer Gefahren konfrontiert.

Was bedeutet Web Scraping?

Web Scraping beschreibt den automatisierten Zugriff auf Inhalte von Webseiten mithilfe spezieller Programme oder sogenannter Bots. Diese durchforsten systematisch Internetseiten und extrahieren gezielt Informationen wie Texte, Bilder, Preisangaben oder Kontaktinformationen. Im Gegensatz zum Verhalten eines normalen Nutzers erfolgt dieser Vorgang im Hintergrund – oft unbemerkt. Die Bandbreite der Einsatzszenarien ist groß: von Preisvergleichen durch Mitbewerber über das Abgreifen von Kontaktdaten für Spam-Zwecke bis hin zur Vorbereitung von Phishing oder anderen Cyberangriffen.

Welche Gefahren birgt Web Scraping?

Für Betreiber von Webseiten geht mit Web Scraping nicht nur ein datenschutzrechtliches Risiko einher – auch urheberrechtliche Belange, Markenschutz und insbesondere die Sicherheit von Informationen und IT-Systemen können betroffen sein. Je mehr öffentlich zugängliche Daten über interne Abläufe, Zuständigkeiten, Mitarbeiter oder Kommunikationsmuster zur Verfügung stehen, desto präziser und gefährlicher lassen sich gezielte Angriffe planen und durchführen. Angreifer nutzen solche Informationen gezielt, um sich in täuschend echter Weise als legitime Akteure auszugeben – sei es durch gefälschte E-Mails oder raffinierte Social-Engineering-Taktiken.

Ein Fall aus der Praxis illustriert das Risiko: Ein Unternehmen hatte auf seiner Webseite Projektinformationen sowie Namen von Partnerfirmen veröffentlicht. Ein Cyberkrimineller gab sich daraufhin erfolgreich als einer dieser Partner aus – inklusive passender Projektdetails, Ansprechpartner und unternehmensspezifischem Wording. Er verschickte eine Rechnung, die auf den ersten Blick plausibel erschien. Lediglich eine falsch formatierte IBAN führte zu einer Rückfrage beim echten Zulieferer, durch die der Betrug zufällig aufflog.

Die Lehre daraus: Je weniger sensible Daten im Internet frei zugänglich sind, desto schwerer fällt es potenziellen Angreifern, diese für kriminelle Zwecke zu nutzen.

Handlungsempfehlungen

Im Lichte dieser Risiken geben Datenschutzaufsichtsbehörden konkrete Hinweise, wie Sie Ihre Website besser vor Web Scraping schützen können:

Zugriffsbegrenzung durch Login-Bereiche: Sensible Inhalte sollten – wo möglich – nur registrierten Nutzern nach Login zugänglich gemacht werden.

Überwachung des eingehenden Datenverkehrs: Durch Monitoring der HTTP-Anfragen lassen sich ungewöhnliche Zugriffsmuster frühzeitig erkennen.

IP-Adressen blockieren: Mit Hilfe von Traffic-Analysen können verdächtige oder übermäßig häufige Zugriffe identifiziert und gezielt ausgeschlossen werden.

robots.txt-Dateien einsetzen: Diese Dateien geben Bots Auskunft darüber, welche Seiten gecrawlt werden dürfen. Zwar halten sich nicht alle Programme daran, dennoch ist eine entsprechende Konfiguration sinnvoll.

Captchas nutzen: Um automatisierte Zugriffe zu erschweren, können Captchas eingesetzt werden. Dabei sollten jedoch mögliche Datenschutzaspekte – z. B. beim Einsatz von Google Captcha – berücksichtigt werden.

Regelmäßige Anpassung des HTML-Codes: Eine häufige Änderung der Struktur der Webseite kann das automatische Auslesen von Daten erschweren.

Verwendung eingebetteter Inhalte: Werden Inhalte etwa in Form von Bildern dargestellt, erschwert dies die maschinelle Erfassung – erfordert jedoch zusätzliche Technologien wie OCR.

Gesunder Menschenverstand: Überprüfen Sie regelmäßig, welche Informationen auf Ihrer Webseite tatsächlich öffentlich zugänglich sein müssen. Je mehr Daten zu Projekten, Mitarbeitenden oder Partnern online verfügbar sind, desto einfacher lassen sich komplexe Angriffsstrategien entwickeln.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie auf eine aktuelle Entscheidung des österreichischen Bundesverwaltungsgerichts aufmerksam machen (Urteil vom 27.03.2025, GZ: W298 2285480-1), die für Unternehmen und Institutionen gleichermaßen von Bedeutung ist.

Das Gericht entschied, dass eine in der Datenschutzerklärung (etwa auf der Website) genannte, aber technisch nicht erreichbare E-Mail-Adresse einen Datenschutzverstoß darstellen kann, der mit einem Bußgeld geahndet wird.

Im konkreten Fall hatte ein Reisebüro eine Anfrage zur Datenlöschung nicht beantwortet, da die in der Datenschutzerklärung genannte Kontaktadresse nicht funktionierte. Die Datenschutzbehörde verhängte daraufhin eine Geldstrafe in Höhe von 15.000 EUR – das Gericht bestätigte diese Entscheidung.

Speziell eingerichtete Datenschutzadressen (z. B. datenschutz@musterfirma.de) werden in vielen Fällen nicht ausreichend betreut.

Auch allgemein verwendete E-Mail-Adressen wie info@… gelten als gültige Kontaktwege, sofern sie öffentlich kommuniziert werden. Datenschutzanfragen über solche Adressen müssen ebenfalls rechtzeitig und vollständig bearbeitet werden.

Wir empfehlen daher folgende Maßnahmen:

Kontaktadressen prüfen: Überprüfen Sie alle öffentlich bekannten E-Mail-Kontaktadressen auf technische Erreichbarkeit und korrekte Weiterleitung – insbesondere die Datenschutzadresse.

Regelmäßige Tests etablieren: Führen Sie einen Prozess ein, der die Funktionsfähigkeit und Zustellbarkeit dieser Adressen in regelmäßigen Abständen kontrolliert.

Interne Prozesse absichern: Stellen Sie sicher, dass Datenschutzanfragen über alle Kommunikationskanäle erkannt und innerhalb der gesetzlichen Frist beantwortet werden – auch bei Abwesenheiten oder personellen Engpässen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie auf eine derzeit intensiv diskutierte Schwachstelle beim Einsatz von Künstlicher Intelligenz (KI) aufmerksam machen.

Es ist inzwischen allgemein bekannt, dass KI-Systeme – wie etwa ChatGPT – sogenannte „Halluzinationen“ erzeugen können. Darunter versteht man sachlich unzutreffende Inhalte, die sprachlich jedoch so überzeugend formuliert sind, dass sie für den Leser plausibel erscheinen und daher als korrekt wahrgenommen werden.

Wodurch entstehen solche Halluzinationen?
Grundsätzlich basieren KI-Modelle auf umfangreichen Trainingsdaten, aus denen sie Muster erkennen und auf neue Inhalte anwenden. Die Qualität und Ausgewogenheit dieser Daten sind entscheidend für die Zuverlässigkeit der Ergebnisse. Je besser und vielfältiger das zugrunde liegende Material, desto geringer in der Regel die Fehleranfälligkeit. Dennoch kann es selbst bei hochwertigen Datenquellen zu fehlerhaften Schlussfolgerungen kommen.

Vereinfacht ausgedrückt: Eine KI kann zwei an sich richtige Informationen miteinander verknüpfen und daraus eine falsche Aussage ableiten. Ein Beispiel veranschaulicht dies:

„Die KI weiß, dass Albert Einstein einen Nobelpreis für Physik erhalten hat und dass er die Relativitätstheorie entwickelte. Daraus schlussfolgert sie fälschlicherweise, dass er den Nobelpreis für die Relativitätstheorie erhielt.“

Solche falschen Aussagen werden oft in einem sehr überzeugenden, professionellen Stil formuliert, was dazu führen kann, dass Nutzer sie nicht kritisch hinterfragen. Aktuelle KI-Systeme haben zudem kein Bewusstsein für ihre Wissensgrenzen. Sie unterscheiden nicht zwischen belegbaren Fakten und unbegründeten Behauptungen. Unsicherheiten oder fehlende Informationsgrundlagen werden dabei in der Regel nicht kenntlich gemacht. Das macht es für Anwender umso schwieriger, potenzielle Halluzinationen zu erkennen.

Im Kontext der DSGVO sowie gemäß Artikel 4 des EU-KI-Gesetzes ist es daher unerlässlich, im Unternehmen ein fundiertes Verständnis für den Umgang mit KI aufzubauen. Nur so kann der Einsatz generativer KI-Systeme sicher, verantwortungsvoll und im Einklang mit datenschutzrechtlichen Vorgaben erfolgen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie auf eine aktuelle datenschutzrechtlich relevante Entwicklung aufmerksam machen, die insbesondere Unternehmen mit Facebook- oder Instagram-Präsenzen betrifft.

Der US-Konzern Meta plant, ab dem 27. Mai 2025 Daten europäischer Nutzerinnen und Nutzer von Facebook und Instagram zur Schulung eigener KI-Systeme zu verwenden. Dazu zählen öffentliche Inhalte wie Beiträge, Kommentare, Fotos und Bildunterschriften – auch aus der Vergangenheit. Diese Datennutzung betrifft nicht nur private, sondern ausdrücklich auch geschäftliche Accounts (z. B. Unternehmensseiten oder Fanpages).

Was bedeutet das für Sie als Unternehmen?
Wenn Sie geschäftliche Profile auf Facebook oder Instagram betreiben, empfehlen wir dringend, der Nutzung Ihrer Daten für KI-Zwecke zu widersprechen – und zwar separat für jeden Account. Andernfalls besteht die Gefahr, dass Inhalte, die möglicherweise personenbezogene Daten enthalten (z. B. Fotos von Mitarbeitenden), ohne rechtliche Grundlage von Meta verarbeitet werden.

So legen Sie Widerspruch ein:
Der Widerspruch kann direkt über die jeweiligen Plattformen erfolgen:

• Facebook: Widerspruchsformular

• Instagram: Widerspruchsformular
  Alternativ ist der Widerspruch auch über die mobilen Apps möglich:
  Einstellungen → Privacy Center → „Generative KI“ → Widerspruch beantragen

Zusätzliche Informationen hierzu stellt auch die Verbraucherzentrale NRW bereit, die Meta in dieser Angelegenheit bereits abgemahnt hat: „Meta AI“ bei Facebook, Instagram und WhatsApp – so widersprechen Sie

Warum der Widerspruch wichtig ist:
Meta liefert bislang keine ausreichende datenschutzrechtliche Begründung für die geplante Datenverarbeitung. Besonders problematisch: Sollten auf Ihrem Profil personenbezogene Inhalte (z. B. Fotos von Mitarbeitenden mit Einwilligung) veröffentlicht sein, wurden diese Einwilligungen in der Regel nicht für die Nutzung zu KI-Zwecken durch Dritte wie Meta erteilt. Die betroffenen Personen haben selbst keine Möglichkeit, dieser Nutzung zu widersprechen. Daraus könnten sich rechtliche Risiken, etwa Unterlassungs- oder Schadensersatzansprüche, gegen Ihr Unternehmen ergeben.

Unsere Empfehlung:
Legen Sie vorsorglich Widerspruch ein – insbesondere dann, wenn auf Ihren Accounts personenbezogene Inhalte oder Inhalte Dritter veröffentlicht wurden. Sollte dies nicht der Fall sein, ist ein Widerspruch zwar nicht zwingend erforderlich, jedoch sollten Sie dies sorgfältig im Einzelfall prüfen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Es kommt immer wieder vor, dass auf Websites und bei geschäftlichen Online-Auftritten wesentliche Impressumsangaben fehlen. Um rechtlichen Problemen, Abmahnungen und Bußgeldern (bis zu 50.000 € gemäß § 33 DDG) vorzubeugen, möchten wir Sie hiermit über die Impressumspflicht nach § 5 des Digitale-Dienste-Gesetzes (DDG) informieren.

Was gehört ins Impressum?

Jede geschäftlich genutzte Webseite, ebenso wie Social-Media-Profile (z. B. LinkedIn) und Onlineshops, unterliegt der Impressumspflicht. Die wichtigsten Pflichtangaben umfassen:

• Den vollständigen Namen und die Adresse des Unternehmens oder der verantwortlichen Person

• Kontaktdaten wie Telefonnummer und E-Mail-Adresse

• Handelsregistereintrag (falls vorhanden), einschließlich Registernummer und Registergericht

• Angaben zur zuständigen Aufsichtsbehörde (wenn erforderlich)

• Berufsrechtliche Angaben (z. B. für Freiberufler)

• Umsatzsteuer-Identifikationsnummer (USt-ID) oder Wirtschafts-Identifikationsnummer (W-IdNr.), falls vorhanden

• Weitere branchenspezifische Angaben gemäß § 5 DDG

Besonderer Hinweis: USt-ID nicht vergessen!

Die Angabe der Umsatzsteuer-Identifikationsnummer wird oft übersehen, obwohl sie gemäß § 5 Abs. 1 Nr. 6 DDG zwingend vorgeschrieben ist, sobald eine USt-ID vergeben wurde. Auch wenn diese Nummer nicht täglich verwendet wird: Wenn Sie eine USt-ID besitzen, muss diese in Ihrem Impressum aufgeführt werden. Diese Angabe vereinfacht oft die Kommunikation mit Ihren Geschäftspartnern, da sie die USt-ID direkt auf Ihrer Webseite finden können und keine separate Nachfrage erforderlich ist.

Empfehlung: Regelmäßige Prüfung des Impressums

Es ist ratsam, Ihr Impressum regelmäßig auf Vollständigkeit und Aktualität zu überprüfen. Ein rechtssicheres Impressum lässt sich auch einfach über sogenannte Impressum-Generatoren erstellen, die von verschiedenen Rechtsdienstleistern wie eRecht24 oder Dr. Schwenke angeboten werden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute informieren wir Sie über aktuelle Entwicklungen im Bereich der Datenübermittlung in die USA. Wie Sie wissen, bildet das EU-US-Privacy Framework die rechtliche Grundlage für die Datenübermittlung zwischen der EU und den USA. Auf dieser Basis können auch Dienstleister mit Sitz in den USA beauftragt werden. Allerdings wurden die vorherigen Vereinbarungen in der Vergangenheit vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Auch das aktuelle Abkommen könnte durch die jüngsten Entwicklungen in den USA dasselbe Schicksal erleiden.

Hintergrund: Schwächung der Datenschutzkontrollen in den USA

Ein zentraler Bestandteil des Abkommens ist das „Privacy and Civil Liberties Oversight Board“ (PCLOB), ein Gremium, das die Überwachungsaktivitäten der US-Regierung überwachen und sicherstellen soll, dass die von der EU geforderten Datenschutzstandards eingehalten werden. Die neue US-Regierung hat jedoch dieses Kontrollorgan erheblich geschwächt, indem sie drei der vier demokratischen Mitglieder entließ. Dies hat zur Folge, dass das Gremium nicht mehr beschlussfähig ist.

In Anbetracht dieser Entwicklung wird es zunehmend wahrscheinlicher, dass:

• die EU-Kommission das Abkommen zurücknimmt, oder
• der EuGH das Abkommen in Zukunft für ungültig erklärt.

Empfohlene Maßnahmen für Unternehmen

Vor diesem Hintergrund sollten Unternehmen sich rechtzeitig mit den möglichen Folgen eines Wegfalls des EU-US-Privacy Frameworks auseinandersetzen.

Folgende Maßnahmen sind ratsam:

1. EU-Alternative prüfen: Stellen Sie sicher, ob eine Verarbeitung der Daten innerhalb der EU möglich ist.
2. EU-Standardvertragsklauseln (SCCs) verwenden: Falls eine Verarbeitung in den USA weiterhin notwendig bleibt, sollten mit den Dienstleistern EU-Standardvertragsklauseln abgeschlossen werden, sofern dies noch nicht geschehen ist.
3. Transfer Impact Assessment durchführen: Unternehmen sollten bewerten, ob die Datenübermittlung in die USA unter den SCCs ein angemessenes Schutzniveau bietet.
4. Zusätzliche Sicherheitsmaßnahmen ergreifen: Um das Schutzniveau zu gewährleisten, sollten Unternehmen technische und organisatorische Maßnahmen wie etwa Verschlüsselung oder Pseudonymisierung umsetzen.

Mit diesen Maßnahmen können Unternehmen sich auf mögliche Veränderungen vorbereiten und sicherstellen, dass sie auch weiterhin datenschutzrechtlich konform handeln.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie über die Verordnung zur Künstlichen Intelligenz (KI-VO) informieren, deren erste Bestimmungen bereits in Kraft sind. Diese Verordnung legt verbindliche Regeln für den Einsatz von KI-Technologien innerhalb der Europäischen Union fest. Ab dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen laut Artikel 4 KI-VO sicherstellen, dass ihr Personal sowie beauftragte Dritte über ausreichende Fachkenntnisse im Umgang mit KI verfügen. Zudem sind ab diesem Datum bestimmte KI-Anwendungen explizit untersagt.

Welche Auswirkungen hat das für Ihr Unternehmen?

Falls Ihr Unternehmen KI-basierte Systeme oder Anwendungen nutzt, besteht die Pflicht, Ihre Mitarbeitenden in deren sicherer Anwendung und den rechtlichen Rahmenbedingungen zu schulen. Diese Schulungspflicht betrifft alle relevanten Fachkräfte – von Entwicklern über Implementierungsteams bis hin zu Nutzern. Beispiele für KI-gestützte Systeme sind:

• Virtuelle Assistenten und Chatbots (z. B. ChatGPT, automatisierte Kundenbetreuung)

• Automatisierte Entscheidungsprozesse (z. B. Kreditprüfungen, Bewerberauswahl)

• Bilderkennungstechnologien (z. B. Gesichtserkennung, medizinische Diagnostik)

• Vorhersagemodelle und Empfehlungssysteme (z. B. personalisierte Werbung, Marktanalysen)

• Sprachverarbeitungstools (z. B. Transkriptionssoftware, Sprachassistenten)

• Autonome Maschinen und Robotik (z. B. selbstfahrende Fahrzeuge, Lagerroboter)

Dringender Handlungsbedarf

Unabhängig von der gesetzlichen Schulungspflicht sind Weiterbildungen im Bereich KI von entscheidender Bedeutung für die Sicherheit und den Schutz sensibler Unternehmensdaten. Unsachgemäßer Umgang mit KI-Technologien kann dazu führen, dass vertrauliche Informationen unbeabsichtigt offengelegt werden. Eine gezielte Schulung hilft, Risiken zu minimieren und den verantwortungsvollen Einsatz von KI zu gewährleisten.

Eine Standardunterweisung zur Nutzung risikoarmer KI-Anwendungen wie ChatGPT in kleinen und mittleren Unternehmen dauert beispielsweise nur 60 Minuten.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Heute möchten wir Sie über die neuesten Entwicklungen zur NIS-2-Richtlinie informieren. Die Einführung von NIS 2 wirft zahlreiche Fragen auf und stellt Unternehmen vor neue Herausforderungen. Ob Ihr Unternehmen von der NIS 2-Richtlinie betroffen ist und welche Anforderungen sich daraus ergeben, sind im Folgenden zusammengefasst.

1. Was ist die NIS 2-Richtlinie?

Die NIS 2-Richtlinie ist die aktualisierte Version der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-1). Die EU-Mitgliedstaaten, darunter auch Deutschland, waren verpflichtet, diese bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland gibt es jedoch bislang nur Entwürfe und ein Diskussionspapier für das „NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Die Frist zur Umsetzung wurde verpasst, und das Bundesministerium des Innern (BMI) rechnet mit einem Inkrafttreten des Gesetzes erst im ersten Quartal 2025.

2. Ist mein Unternehmen von der NIS 2-Richtlinie betroffen?

Eine der zentralen Fragen ist, ob und inwiefern Ihr Unternehmen unter die neuen Regelungen fällt. Während NIS-1 vor allem Betreiber kritischer Infrastrukturen betraf, erweitert NIS 2 den Geltungsbereich erheblich. Betroffen sind unter anderem:

• Digitale Dienstleister: Cloud-Anbieter, Rechenzentren, Content Delivery Networks (CDNs), Domain-Registrierungsdienste und E-Commerce-Plattformen.

• IT-Dienstleister und Softwareanbieter: Unternehmen, die essenzielle IT-Dienstleistungen oder Softwareprodukte anbieten.

• Energieversorger: Stromnetzbetreiber, Öl- und Gasunternehmen sowie Akteure im Bereich erneuerbare Energien.

• Transport- und Logistikunternehmen: Luftfahrt, Schifffahrt, Bahn- und Nahverkehrsanbieter.

• Gesundheitssektor: Krankenhäuser, pharmazeutische Unternehmen, Labore und medizinische Forschungseinrichtungen.

• Finanz- und Versicherungswesen: Banken, Finanzdienstleister und Versicherungen.

• Wasserversorgung und Abwasserentsorgung: Betreiber von Trinkwasseraufbereitungsanlagen und Abwasserunternehmen.

• Lebensmittelindustrie: Hersteller und Lieferanten von Lebensmitteln, darunter Agrarbetriebe und Großhändler.

• Abfall- und Entsorgungswirtschaft: Unternehmen, die für Recycling und Müllentsorgung zuständig sind.

• Öffentliche Verwaltungen und staatliche Institutionen.

Ob Ihr Unternehmen unter die Richtlinie fällt, hängt von verschiedenen Faktoren wie der Branche, Unternehmensgröße und wirtschaftlichen Bedeutung ab. Unternehmen mit über 249 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro unterliegen strengeren Anforderungen. Auch kleinere Unternehmen (unter 50 Mitarbeiter, unter 10 Millionen Euro Umsatz) können betroffen sein, wenn sie für die öffentliche Versorgungssicherheit eine essenzielle Rolle spielen.

Deutschland kann einige Definitionen und Grenzwerte individuell anpassen. Daher ist es sinnvoll, den aktuellen Stand der Umsetzung im Auge zu behalten. Eine erste Einschätzung zur Betroffenheit können Unternehmen mithilfe des Self-Checks des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder über den NIS2-Navigator erhalten.

3. Welche Anforderungen stellt die NIS 2-Richtlinie?

Die NIS 2-Richtlinie fordert von betroffenen Unternehmen umfassende Maßnahmen zur Stärkung der Cybersicherheit. Dazu gehören unter anderem:

1. Risikomanagement: Regelmäßige Risikoanalysen zur Identifikation und Bewertung potenzieller Bedrohungen.

2. Technische Schutzmaßnahmen: Implementierung von Firewalls, Intrusion-Detection-Systemen (IDS) und Verschlüsselungstechnologien.

3. Vorfallmanagement: Einführung von Prozessen zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle (Meldepflicht innerhalb von 24 bis 72 Stunden).

4. Mitarbeiterschulungen: Sensibilisierung und regelmäßige Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen.

5. Sicherheitsvorgaben für Lieferketten: Sicherstellung, dass auch Zulieferer Cybersicherheitsstandards einhalten.

6. Sicherheitsrichtlinien und Dokumentation: Erstellung und regelmäßige Aktualisierung von Sicherheitskonzepten.

7. Penetrationstests: Durchführung regelmäßiger Tests zur Überprüfung der Widerstandsfähigkeit der IT-Systeme.

8. Notfallpläne: Entwicklung von Strategien zur Gewährleistung der Geschäftskontinuität bei Cyberangriffen.

9. Überprüfung und Audits: Regelmäßige interne und externe Sicherheitskontrollen.

10. Zugriffsrechte und Authentifizierung: Einführung von Multi-Faktor-Authentifizierung (MFA) und strengen Zugriffsbeschränkungen.

11. Daten-Backups: Regelmäßige Sicherungen und Tests zur Wiederherstellung der Datenintegrität.

Unternehmen, die bereits Maßnahmen im Bereich Datenschutz umgesetzt haben, müssen einige dieser Anforderungen möglicherweise nur erweitern oder anpassen.

4. Wie sollte mein Unternehmen vorgehen?

Falls Ihr Unternehmen unter die NIS 2-Richtlinie fällt, empfiehlt sich eine strukturierte Vorgehensweise:

1. Prüfung der Betroffenheit: Nutzen Sie Self-Checks oder Konsultationen mit Experten.

2. Ressourcenplanung: Budgetierung und Bereitstellung personeller Kapazitäten für die Umsetzung.

3. Bestimmung eines Verantwortlichen: Festlegung einer operativen Ansprechperson für die NIS 2-Compliance.

4. Durchführung einer Risikoanalyse: Identifikation bestehender Sicherheitslücken und Defizite.

5. Umsetzung erforderlicher Maßnahmen: Anpassung bestehender Sicherheitsprozesse und Implementierung neuer Schutzmaßnahmen.

6. Laufende Überprüfung und Optimierung: Durchführung regelmäßiger Audits und Sicherheitskontrollen.

Die NIS 2-Richtlinie stellt Unternehmen vor neue Herausforderungen, bietet jedoch auch eine Chance zur nachhaltigen Verbesserung der Cybersicherheit.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Um das neue Jahr direkt produktiv zu beginnen, möchten wir Sie auf wichtige datenschutzrechtliche Entscheidungen hinweisen, die kürzlich getroffen wurden:

• OLG Dresden (4U 422/24 vom 15.10.2024):
  Verantwortliche, die Auftragsverarbeiter gemäß Art. 28 DSGVO einsetzen und den Vertrag beenden, sind verpflichtet, die Löschung der personenbezogenen Daten, die im Auftrag verarbeitet wurden, zu kontrollieren. Sie müssen Löschungsnachweise von (ehemaligen) Auftragsverarbeitern einfordern und diese dokumentieren bzw. archivieren.
• Verwaltungsgericht Bremen (4 K 2298/23 vom 17.12.2024):
  Beim Nachweis der Datenlöschung gelten strenge Anforderungen: Verantwortliche müssen konkret darlegen, wann, durch wen, wie, in welchem Umfang und aus welchem Speichermedium Daten gelöscht wurden. Allgemeine Aussagen wie „Die Daten wurden gelöscht“ genügen nicht, um die Anforderungen nach Art. 17 Abs. 1 und Art. 5 Abs. 2 DSGVO zu erfüllen.
• EuGH (C-394/23 vom 09.01.2025):
  Werden Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet, z. B. bei Videoüberwachung oder Werbemaßnahmen, ohne die Betroffenen vorab konkret über diese Interessen zu informieren (Art. 13 DSGVO), ist die Verarbeitung unrechtmäßig. Diese strengen Vorgaben machen eine Überarbeitung vieler Datenschutzerklärungen erforderlich.
• EuGH (C-65/23 vom 19.12.2024):
  Betriebsvereinbarungen mit dem Betriebsrat können nicht allein als Rechtsgrundlage für Datenverarbeitungen herangezogen werden (§ 26 Abs. 4 BDSG). Falls Ihre Verarbeitungen bisher ausschließlich auf § 26 Abs. 4 BDSG oder eine Betriebsvereinbarung gestützt sind, prüfen Sie bitte, ob alternative Rechtsgrundlagen (Art. 6 oder Art. 9 DSGVO) in Frage kommen. Gegebenenfalls müssen Betriebsvereinbarungen angepasst werden.

„Datenschutz ist wie ein guter Vorsatz fürs neue Jahr – er funktioniert nur, wenn man ihn ernst nimmt.“ Lassen Sie uns gemeinsam daran arbeiten, 2025 zu einem erfolgreichen Jahr in Sachen Datenschutz zu machen!

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Ein aktuelles Urteil des österreichischen Bundesverwaltungsgerichts (BVWGT_20240913_W298_2274626_1_00.pdf) bringt bedeutende Klarheit in datenschutzrechtliche Fragen rund um den Einsatz von Google reCAPTCHA. Das Urteil unterstreicht die Verantwortung von Website-Betreibern im Umgang mit Cookies und Drittanbieter-Diensten.

Im konkreten Fall wurde festgestellt, dass ohne die Einwilligung der Nutzer personenbezogene Daten wie IP-Adressen und Nutzerkennungen durch Google reCAPTCHA erfasst und an Google weitergeleitet wurden. Das Gericht entschied, dass diese Datenverarbeitung weder technisch notwendig war noch ausreichend transparente Informationen bereitgestellt wurden.

Was ist Google reCAPTCHA?

Google reCAPTCHA dient dazu, menschliche Nutzer von automatisierten Programmen (Bots) zu unterscheiden, um Websites vor Spam, Missbrauch und betrügerischen Aktivitäten zu schützen. Der Dienst analysiert Interaktionen mit der Website, z. B. Mausbewegungen, Tastatureingaben, IP-Adressen und Browsereinstellungen. Diese Informationen werden, oft mithilfe zuvor gesetzter Cookies, verarbeitet und an Google übermittelt, was datenschutzrechtlich besonders heikel ist.

Was bedeutet das Urteil für Website-Betreiber?

Unternehmen, die Google reCAPTCHA einsetzen möchten, dürfen dies nur unter bestimmten Bedingungen tun:

1. Einwilligung erforderlich: Der Dienst darf erst nach aktiver und informierter Zustimmung des Nutzers aktiviert werden.
2. Integration in den Cookie-Consent-Manager: Die Einwilligung muss über einen Cookie-Consent-Banner eingeholt werden, bevor Cookies gesetzt oder Daten an Google übermittelt werden.
3. Transparenzpflicht: Nutzer müssen sowohl im Cookie-Consent-Banner als auch in der Datenschutzerklärung klar über den Einsatz von Google reCAPTCHA informiert werden.

Ohne die Zustimmung der Nutzer darf der Dienst nicht aktiv sein.

Zusätzliche Herausforderungen

Einige Datenschutzbehörden, wie die Bayerische Aufsichtsbehörde, vertreten die Ansicht, dass der Einsatz von Google reCAPTCHA selbst bei vorheriger Einwilligung problematisch ist. Grund dafür ist die fehlende Transparenz seitens Google, was einen Verstoß gegen die Informationspflichten nach Art. 13/14 DSGVO darstellt.

Handlungsempfehlung

Es wird empfohlen, alternative Technologien wie HoneyCA oder Friendly Captcha in Betracht zu ziehen. Diese Lösungen sind oft datenschutzfreundlicher und helfen, potenzielle Haftungsrisiken zu minimieren.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Die NIS-2-Richtlinie der EU bringt zahlreiche Neuerungen und Herausforderungen im Bereich Informationssicherheit. Im Folgenden bieten wir Ihnen einen Überblick zu den wesentlichen Aspekten der NIS-2-Richtlinie.

1. Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine erweiterte Fassung der bisherigen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1). Die Mitgliedstaaten der EU sind verpflichtet, diese bis spätestens 17. Oktober 2024 in nationales Recht zu überführen. Deutschland plant, das nationale Gesetz im ersten Quartal 2025 zu verabschieden, hat die Frist allerdings bereits verpasst.

2. Betrifft die NIS-2-Richtlinie mein Unternehmen?

Die Richtlinie umfasst nicht nur Betreiber kritischer Infrastrukturen, sondern auch viele weitere Sektoren, wie z. B.:

• Digitale Dienstleister (Cloud-Anbieter, Rechenzentren)
• IT-Dienstleister und Softwarehersteller
• Energieversorger und Transportunternehmen
• Gesundheitswesen, Finanzdienstleister und Versicherungen
• Unternehmen der Wasserwirtschaft, Lebensmittelproduktion und Entsorgung
• Öffentliche Verwaltung

Ob Ihr Unternehmen konkret betroffen ist, hängt u. a. von Branche, Größe und Bedeutung für die Versorgungssicherheit ab. Für große Unternehmen (mehr als 249 Mitarbeitende oder 50 Millionen € Umsatz) gelten erweiterte Anforderungen. Für eine erste Einschätzung können Sie den Betroffenheits-Check des BSI unter BSI – NIS-2-Betroffenheitsprüfung nutzen.

3. Was verlangt die NIS-2-Richtlinie konkret?

Die Richtlinie verpflichtet Unternehmen, umfassende Sicherheitsmaßnahmen zu ergreifen, z. B.:

• Cybersicherheits-Risikomanagement: Regelmäßige Risikoanalysen und Schutzmaßnahmen.
• Technische Schutzmaßnahmen: Firewalls, Intrusion-Detection-Systeme und Datenverschlüsselung.
• Vorfallmanagement und Meldepflichten: Einrichtung eines Systems zur Erkennung und Meldung von Sicherheitsvorfällen.
• Mitarbeiterschulungen: Regelmäßige Schulungen zur Cyber-/Informationssicherheit.
• Sicherheitsanforderungen in der Lieferkette: Vertragliche Absicherung der Cybersicherheitsstandards bei Partnern.
• Sicherheitsrichtlinien und Dokumentation: Regelmäßige Aktualisierung der Sicherheitsrichtlinien und Dokumentation.
• Penetrationstests: Prüfung der Systemresilienz durch simulierte Cyberangriffe.
• Notfallplanung und Resilienzmaßnahmen: Maßnahmen zur Sicherung der Geschäftskontinuität.
• Zugriffsrechte und -kontrollen: Stärkung durch Multi-Faktor-Authentifizierung und strikte Passwortrichtlinien.
• Datensicherung und Backups: Regelmäßige Sicherung und Wiederherstellungstests für die Integrität der Daten.

Viele Unternehmen, die bereits datenschutzrechtliche Maßnahmen umsetzen, profitieren von geringem Zusatzaufwand, da viele NIS-2-Vorgaben hierauf aufbauen.

4. Wie sollte mein Unternehmen vorgehen?

Empfohlene Schritte zur Umsetzung:

1. Betroffenheit klären: Überprüfen Sie, ob Ihr Unternehmen betroffen ist (siehe BSI-Link oben).
2. Ressourcenplanung: Budget und personelle Ressourcen einplanen.
3. Verantwortlichkeiten festlegen: Eine verantwortliche Person bestimmen und ggf. externe Partner hinzuziehen.
4. Risikoanalyse und Bestandsaufnahme: Überprüfung aktueller Sicherheitsmaßnahmen.
5. Maßnahmen umsetzen: Erforderliche Sicherheitsmaßnahmen einleiten und deren Umsetzung sichern.
6. Kontinuierliche Überprüfung: Regelmäßige Audits und Monitoring durchführen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Die unabhängigen Datenschutzbehörden haben am 11. September 2024 neue Vorgaben zu Asset Deals beschlossen. Hier sind die wichtigsten Punkte zusammengefasst:

Datenübermittlung vor Vertragsabschluss:
Personenbezogene Daten (Kunden, Lieferanten, Beschäftigte) dürfen vor Vertragsabschluss nicht ohne Einwilligung weitergegeben werden. In fortgeschrittenen Verhandlungen ist dies bei Hauptvertragspartnern aufgrund berechtigter Interessen möglich.

Kundendaten:
Laufende Verträge: Daten können bei einer Vertragsübernahme gemäß Art. 6 Abs. 1 lit. b DS-GVO übertragen werden.
Beendete Verträge: Daten dürfen nur zur Erfüllung gesetzlicher Aufbewahrungsfristen weitergegeben werden.

Beschäftigtendaten:
Ohne Einwilligung ist die Übertragung nur bei einem Betriebsübergang (§ 613a BGB) erlaubt. Besondere Kategorien, wie Gesundheitsdaten, benötigen immer eine Einwilligung.

Werbung:
Kontaktdaten dürfen nur für Werbung genutzt werden, wenn dies dem Veräußerer erlaubt war. Bei E-Mail-Werbung ist eine Einwilligung erforderlich.

Besondere Kategorien und Bankdaten:
Gesundheits- und Bankdaten dürfen nur mit Einwilligung oder zur Vertragsabwicklung übertragen werden.

Offene Forderungen:
Daten dürfen bei offenen Forderungen übertragen werden, es sei denn, es besteht ein Abtretungsausschluss.

Beachten Sie die datenschutzrechtlichen Vorgaben, um Haftungsrisiken zu vermeiden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Uber erhielt kürzlich ein Datenschutz-Bußgeld von 290 Millionen Euro, da das Unternehmen personenbezogene Daten unrechtmäßig in die USA übermittelt hatte. Beschwerden von Fahrern brachten ans Licht, dass sensible Daten wie Krankmeldungen und Ausweiskopien an die US-Muttergesellschaft gesendet wurden, ohne dass dafür eine rechtliche Grundlage bestand. Dies verstößt gegen die DSGVO, die für Datentransfers in Nicht-EU-Länder strenge Vorgaben macht.

Mit dem neuen EU-US-Privacy-Framework ist eine Übermittlung von Daten in die USA einfacher, sofern das US-Unternehmen bei der Federal Trade Commission (FTC) zertifiziert ist. Allerdings müssen Unternehmen regelmäßig die Gültigkeit und den Umfang der Zertifizierung prüfen, da diese oft nicht für Personaldaten gilt.

Um rechtliche Risiken zu vermeiden, sollten Unternehmen bei Datenübertragungen in Drittländer stets ihren Datenschutzbeauftragten einbeziehen und die Einhaltung der Vorschriften sicherstellen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Die schnelle Entwicklung von Künstlicher Intelligenz (KI) verändert die Geschäftswelt grundlegend und birgt auch Risiken. IT-Forscher haben kürzlich eine Schwachstelle entdeckt, bei der ein KI-Modell die elektromagnetische Strahlung von HDMI-Kabeln erfasst und Bildschirminhalte wie Passwörter, Zahlungsdaten oder Geschäftsgeheimnisse aus der Ferne rekonstruieren kann. Schon eine Antenne außerhalb eines Gebäudes genügt, um diese Daten in Echtzeit abzufangen.

Obwohl die Fehlerquote aktuell noch bei etwa 30% liegt, könnte sich dies mit technischen Fortschritten schnell ändern. Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um ihre Daten zu schützen:

1. Abschirmung: Nutzen Sie gut abgeschirmte und verschlüsselte HDMI-Kabel.
2. Physische Sicherheit: Beschränken Sie den Zugang zu sensiblen Bereichen.
3. EMI-geschützte Räume: Verhindern Sie die Abstrahlung nach außen.
4. Sicherheitsaudits: Überprüfen Sie regelmäßig die Sicherheit Ihrer HDMI-Verbindungen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Bitte beachten Sie die Bedeutung korrekter Angaben bei der Beantragung Ihrer Cyberversicherung.

Ein kürzlich ergangenes Urteil des Landgerichts Kiel (Az.5 O 128/21) verdeutlicht die Folgen von Falschangaben im Antragsprozess. Ein Unternehmen verlor seinen Versicherungsschutz nach einem Hackerangriff aufgrund unzureichender Sicherheitsmaßnahmen.

Es ist essenziell, die Risikofragen im Versicherungsantrag wahrheitsgemäß zu beantworten und den IT-Verantwortlichen sowie den Datenschutzbeauftragten einzubeziehen. Nur so kann der Versicherungsschutz gewährleistet werden.

Bitte überprüfen Sie daher Ihre Cyberversicherungspolice und kontaktieren Sie uns bei Fragen oder für Unterstützung.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Ab dem morgigen Tag, dem 14. Mai 2024, treten das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie das Digitale-Dienste-Gesetz (DDG) in Kraft. Vereinfacht gesagt wird aus dem TMG (Telemediengesetz) das DDG und aus dem TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) das TDDDG.

Was bedeutet das für Unternehmen?

a) Falls Ihr Impressum auf der Webseite einen Verweis auf § 5 TMG enthält (z. B. „Impressum gemäß § 5 TMG“), entfernen Sie einfach den Verweis auf § 5 TMG. Das Impressum selbst bleibt unverändert bestehen.

b) Wenn Ihre Datenschutzerklärung auf der Webseite und/oder in Ihrem Cookie-Consent-Manager einen Verweis auf § 25 TTDSG enthält, ändern Sie diesen entsprechend in „§ 25 TDDDG“ ab. Durchsuchen Sie daher auch Ihre Datenbanken oder Dokumentvorlagen nach den Begriffen TMG und TTDSG und passen Sie entsprechende Angaben/Verweise auf DDG oder TDDDG an.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Jeden Tag begeben sich Hunderttausende von Menschen auf Dienstreise, sei es im Zug, im Flugzeug, in Cafés oder Hotels. Während sie konzentriert an wichtigen Aufgaben arbeiten, gerät der Schutz sensibler Daten und Geschäftsgeheimnisse oft in den Hintergrund. Leider wird das Thema Datenschutz und Datensicherheit häufig vernachlässigt und Datendiebe lauern überall. Die Sicherheit Ihrer Daten und Informationen auf Reisen hat unverzichtbare Priorität, die ständig gewährleistet sein muss.

Im Folgenden finden Sie eine Zusammenstellung der wichtigsten Handlungsempfehlungen. Eine kontinuierliche Sensibilisierung der Mitarbeiter für dieses wichtige Thema ist entscheidend, um die typischen Risiken auf Dienstreisen nachhaltig und effektiv zu reduzieren.

Vertrauliche Gespräche und E-Mails geschickt handhaben

Um das Risiko von Datenlecks zu minimieren, sollten Sie vertrauliche Gespräche und E-Mails in öffentlichen Bereichen vermeiden. Falls unvermeidbar, beschränken Sie sich auf die Bearbeitung von Dokumenten und E-Mails, die keine vertraulichen Informationen enthalten. Seien Sie bei Telefonaten äußerst vorsichtig, sprechen Sie leise und vermeiden Sie die Offenlegung von sensiblen Details wie Kundendaten oder Namen.

Bildschirmschoner und Blickschutz

Für Ihre Endgeräte, wie Smartphone oder Laptop, sollten Sichtschutzfolien mit integriertem Blickschutzfilter verwendet werden. Diese sind bereits zu einem geringen Preis erhältlich und bieten einen erheblichen Mehrwert für die Sicherheit Ihrer Daten. Sollten keine Sichtschutzfolien verfügbar sein, wählen Sie während Ihrer Reise unbedingt einen Ort, der nicht leicht von Dritten eingesehen werden kann. Auf diese Weise verhindern Sie, dass Unbefugte Ihre Bildschirminhalte mitlesen können.

Wachsame Aufbewahrung und ständige Kontrolle Ihrer Endgeräte

Mobile Geräte wie Laptops und Smartphones sollten niemals unbeaufsichtigt gelassen werden, auch nicht kurzzeitig. Selbst wenn das Gerät gesperrt ist, bietet dies keinen Schutz vor Diebstahl. Idealerweise sollten Endgeräte auf Dienstreisen verschlüsselt sein. Für noch mehr Sicherheit, speichern Sie keine sensiblen Daten lokal, sondern greifen Sie auf die Daten über eine sichere VPN-Verbindung serverseitig zu. Das verringert das Datenschutzrisiko im Falle eines Diebstahls erheblich.

Verzicht auf öffentliche WLAN-Netzwerke und Nutzung von VPN-Verbindungen

Öffentliche WLAN-Netzwerke in Hotels, Zügen und anderen Orten sind bequem, bergen jedoch Sicherheitsrisiken. Unverschlüsselte Netzwerke ermöglichen Datenabhörung. Es ist ratsam, Ihre Nutzung zu minimieren und persönliche Konten oder sensible Daten nicht darüber zugänglich zu machen. Eine sicherere Alternative ist die Verwendung einer VPN-Verbindung. Automatische Verbindungen mit ungesicherten WLANs sollten deaktiviert werden und die Nutzung öffentlicher Computer vermieden werden, da sie oft Schadsoftware enthalten.

Die Bedeutung von sicheren Passwörtern und Multi-Faktor-Authentifizierung

Für Mitarbeiter, insbesondere während Dienstreisen, sind sichere und komplexe Passwörter (mindestens 12 Zeichen, einschließlich Zahlen und Sonderzeichen) unverzichtbar. Noch besser ist es, auf allen genutzten Geräten standardmäßig eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Diese erfordert einen zweiten Faktor für den Login, wie beispielsweise ein per Authenticator-App gesendeter PIN. Die Verwendung einer MFA wird von Aufsichtsbehörden als Stand der Technik angesehen und ist daher grundsätzlich für alle Unternehmen verpflichtend.

Wichtige Sicherheitsvorkehrungen stets auf dem neuesten Stand halten

Es ist entscheidend, dass die allgemeinen Schutzmaßnahmen an den Endgeräten, wie Anti-Virus-Programme, Virenscanner und Firewalls, stets auf dem neuesten Stand gehalten werden. Darüber hinaus empfiehlt es sich, die Risiken der IT-Nutzung im Unternehmen näher zu regeln und darüber aufzuklären. Hierbei ist die Erstellung einer sogenannten IT-Nutzungsrichtlinie als Arbeitsanweisung äußerst empfehlenswert.

Falls Sie noch keine solche Richtlinie haben, stehen wir Ihnen gerne zur Verfügung, um Sie dabei zu unterstützen.

Fazit

Die Einhaltung datensicherheitsrechtlicher Vorgaben auf Dienstreisen erfordert bei entsprechender Planung keine komplizierten Maßnahmen und ist relativ einfach zu bewerkstelligen. An erster Stelle steht jedoch die regelmäßige Schulung der Mitarbeiter bezüglich der Datensicherheit. Dadurch bleiben sie stets über die Dos and Don’ts informiert und können diese im Sinne des Unternehmens umsetzen und einhalten.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Das US-amerikanische Unternehmen DocuSign, das viele von Ihnen möglicherweise für die digitale Unterzeichnung von Verträgen oder ähnlichen Dokumenten nutzen, hat kürzlich bekannt gegeben, dass es teilweise Kundendaten für das Training eigener KI-Modelle verwendet. Obwohl DocuSign betont, dass die Daten nach geltenden Standards so weit wie möglich anonymisiert werden, um theoretisch keine Rückschlüsse auf Kunden zu ermöglichen, hat eine Recherche der IT-Plattform „Golem“ ergeben, dass DocuSign mindestens zwei Arten von KI-Systemen einsetzt. Dabei greift DocuSign bei mindestens einem System auf Microsoft Azure AI-Systeme zurück, die wiederum eine Verbindung zur OpenAI-KI-Infrastruktur (einschließlich ChatGPT und ähnlichen Modellen) herstellt.

Unabhängig von den Datenschutzrisiken, die mit der Verarbeitung personenbezogener Daten in KI-basierten Systemen einhergehen und die vermieden werden sollten, birgt die Nutzung von DocuSign auch erhebliche Risiken für betriebliche und geschäftliche Geheimnisse.

Unternehmen, die DocuSign nutzen, sollten daher genau prüfen, ob ihre Daten von DocuSign für Trainingszwecke verwendet werden und welche Informationen konkret genutzt werden, bevor sie sensible Geschäftsgeheimnisse wie vertrauliche Verträge hochladen. Denn es besteht die Möglichkeit, dass solche Daten oder Auszüge davon in Zukunft von anderen KI-Anwendern gefunden werden, die nach ähnlichen Informationen suchen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

Sachverhalt und Hintergrund

Die Verbraucherzentrale NRW reichte eine Klage gegen den Betreiber der Webseite „wetteronline.de“ ein, da sie die Gestaltung des dort verwendeten Cookie-Banners beanstandete. Der „Einstellungen“-Button des Banners war kaum vom Hintergrund zu unterscheiden, während der „Akzeptieren“-Button deutlich hervorstach. Dies führte dazu, dass die Ablehnung nicht notwendiger Cookies erst auf der zweiten Ebene des Banners möglich war. Zusätzlich befand sich in der rechten oberen Ecke des Banners ein „X“ mit der Aufschrift „Akzeptieren & Schließen“, wodurch ebenfalls eine Zustimmung zum Setzen von (Tracking-)Cookies eingeholt werden sollte.

Gerichtsurteil

Das Gericht stimmte der Argumentation der Verbraucherzentrale zu und entschied, dass das Cookie-Banner nicht den Anforderungen an eine Einwilligung gemäß § 25 TTDSG entsprach. Insbesondere fehlte es an einer Möglichkeit für die Nutzer, die Ablehnung auf ähnlich einfache Weise wie die Zustimmung zu erklären, beispielsweise durch ein Feld mit der Option „Alle Ablehnen“. Die Begründung lautete, dass die visuelle Gestaltung des Cookie-Banners die Nutzer gezielt in Richtung „Akzeptieren“ lenkte, was als Nudging bezeichnet wird. Dadurch fehlte es an einer freiwilligen Einwilligung. Außerdem konnte der Nutzer nicht davon ausgehen, dass durch das Schließen des Banners (durch Klicken auf das „X“) eine Einwilligung erklärt wurde.

Anpassungen am Cookie-Banner nach Gerichtsurteil erforderlich

Unternehmen müssen sicherstellen, dass ihre Cookie-Banner auf der Webseite möglichst transparent und benutzerfreundlich gestaltet sind. Die Banner sollten so gestaltet sein, dass Nutzer sofort erkennen können, ob sie „Ablehnen“ oder „Zustimmen“ möchten. Dazu müssen die beiden Optionen optisch gleichwertig präsentiert werden. Eine unterschiedliche visuelle Gestaltung der Felder könnte als Verschleierung angesehen werden und zu Haftungsrisiken führen. Es wird empfohlen, das vorhandene Cookie-Banner auf der Webseite anhand dieser Grundsätze zu überprüfen und gegebenenfalls anzupassen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

Wichtige Datenschutzaspekte beim Einsatz von ChatGPT in Unternehmen

Bei der Nutzung von ChatGPT und ähnlichen Tools in Unternehmen steht der Datenschutzrecht im Mittelpunkt. Entscheidend ist, ob dabei personenbezogene Daten verarbeitet werden, wie z.B. bei Schriftstücken mit Personenangaben oder der Verknüpfung mit E-Mail-Programmen. Schon die Anlegung eines Accounts durch Mitarbeiter für solche Zwecke unterliegt dem Datenschutzrecht. Anwendungen ohne personenbezogene Daten, wie die Generierung von Codes oder Marketingtexten, bergen hingegen keine datenschutzrechtlichen Risiken.

Datenschutzrechtliche Herausforderungen bei der Nutzung von KI

Wenn KI-Tools zur Verarbeitung personenbezogener Daten eingesetzt werden, sind Unternehmen verpflichtet, das gesamte Spektrum des Datenschutzrechts zu beachten, da dies mit erheblichen Haftungs- und Bußgeldrisiken verbunden ist. Beim Einsatz solcher Tools wie ChatGPT können viele datenschutzrechtliche Anforderungen leider nicht oder nur unzureichend erfüllt werden. Zum Beispiel gestaltet sich die Erfüllung der Betroffenenrechte auf Information (Artikel 13/14 DSGVO) und Auskunft (Artikel 15 DSGVO) über die Datenverarbeitung aufgrund mangelnder Transparenz solcher KI-Tools hinsichtlich ihrer Nutzung, Zwecke und Speicherdauer schwierig.

Die Nutzungsbedingungen von ChatGPT geben lediglich an, dass eingegebene Daten zu eigenen Zwecken genutzt werden, um die Dienste zu verbessern, ohne jedoch konkret und transparent zu sein. Darüber hinaus stellen sich weitere Datenschutzprobleme, wie die Bestimmung der datenschutzrechtlichen Verantwortlichkeit (Artikel 24 DSGVO) für die Datenverarbeitung oder die Frage nach der Rechtsgrundlage und Zulässigkeit der Datenübermittlung in unsichere Drittstaaten (z.B. USA), als schwierig heraus.

Zwischenbilanz: Datenschutzrechtliche Probleme bei ChatGPT & Co.

Die Verwendung von KI-Tools wie ChatGPT & Co. mit personenbezogenen Daten birgt kaum reduzierbare datenschutzrechtliche Risiken. Ein rechtskonformer Einsatz gestaltet sich aktuell kaum vorstellbar, insbesondere aufgrund der Schwierigkeiten bei der Umsetzung von Betroffenenrechten wie dem Recht auf Löschung und Auskunft. Besondere Vorsicht ist beim Einsatz von KI-Tools, insbesondere im HR-Bereich, geboten, da hier häufig Streitigkeiten und Auseinandersetzungen auftreten können.

Weitere rechtliche Aspekte und Herausforderungen bei ChatGPT & Co.

Die Verwendung von ChatGPT & Co. birgt auch aus anderen Rechtsbereichen rechtliche Risiken. Ungeklärte Fragen bestehen im Urheber- und Lizenzrecht sowie im Arbeitsrecht, insbesondere bezüglich der Schutzpflichten des Arbeitgebers und den Mitbestimmungsrechten von Betriebs- oder Personalräten.

Besonders relevant ist der Schutz von Betriebs- und Geschäftsgeheimnissen gemäß dem GeschGehG. Die Nutzung solcher KI-Tools kann dazu führen, dass eigene Geheimnisse preisgegeben werden oder fremde Geschäftsgeheimnisse offengelegt werden, was zu Schadensersatzforderungen und Verstößen gegen Non-Disclosure Agreements führen kann.

Empfehlungen für den Einsatz von KI-Tools und ChatGPT in Unternehmen

Für den geplanten Einsatz von KI-Tools im Unternehmen sollte darauf geachtet werden, auf die Verwendung personenbezogener Daten zu verzichten und klare Verhaltensregeln in einer Richtlinie festzuhalten. Eine Schulung der Mitarbeiter über den rechtskonformen Umgang mit KI-Tools kann ebenfalls sinnvoll sein. Kontrollmechanismen im Rahmen eines Qualitätsmanagements sollten eingeführt werden, insbesondere wenn KI-generierte Inhalte veröffentlicht werden sollen, da diese nicht immer fehlerfrei sind.

Die Zukunft von ChatGPT und KI: Entwicklungen und Perspektiven

Die genaue Tragweite der rechtlichen Probleme wird sich erst in Zukunft zeigen. Es gibt jedoch bereits erste Tools wie „nele.ai“ (Link: nele.ai – Sichere Künstliche Intelligenz / KI für Unternehmen), die einen rechtssicheren Einsatz von künstlicher Intelligenz ermöglichen sollen. Dies geschieht beispielsweise durch die vorherige Anonymisierung eingegebener Daten und die Speicherung auf EU-Servern.

Darüber hinaus arbeitet die EU derzeit an einer KI-Verordnung. Dies bietet die Chance, einen angemessenen Rahmen für den rechtskonformen Einsatz solcher Technologien zu schaffen und die Rechtsunsicherheiten für Unternehmen zumindest teilweise zu beseitigen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung und freut sich darauf, Ihnen bei allen Fragen und Anliegen behilflich zu sein. Zögern Sie nicht, uns zu kontaktieren!

Gefahren und Folgen für Unternehmen nach einem Hackerangriff

Der jüngste Vorfall, der heute in der F.A.Z. berichtet wurde, verdeutlicht erneut die unerlässliche Bedeutung von Datensicherheit für Unternehmen. Es betrifft die Fahrrad- und E-Bike-Hersteller „Prophete“ und „Cycle-Union“ aus Rheda-Wiedenbrück, bekannt für ihre Marken wie „VSF Fahrradmanufaktur“, „Rabeneick“ und „Kreidler“.

Dieses Unternehmen musste kürzlich Insolvenz anmelden, nachdem sie Opfer einess Hacker-Angriffs wurden.

Der Angriff führte zu einem vollständigen Stillstand der Betriebs- und Produktionsabläufe über mehrere Wochen. Es wird angenommen, dass es sich um einen Ransomware-Angriff handelte, der höchstwahrscheinlich durch fahrlässiges Verhalten eines Mitarbeiters ermöglicht wurde, vermutlich durch das Öffnen einer infizierten E-Mail.

Die Kosten, die mit dem Ausfall der Produktion einhergingen, waren für das bereits finanziell angeschlagene Unternehmen nicht mehr zu bewältigen, wie der vorläufige Insolvenzverwalter bestätigte.

Wichtig gegen Cyberangriffe – Datenschutz und Datensicherheit

Die Gefahr eines solchen Vorfalls ist heutzutage größer denn je. Jedes Unternehmen sollte daher unbedingt eine robuste Datenschutz- und Cybersicherheitsstrategie haben, um im schlimmsten Fall nicht auch den Weg zur Insolvenzanmeldung gehen zu müssen.

Für Unternehmen unverzichtbar – Schutzkonzept gegen Hacking-/Cyberangriffe

Um sich gegen solche Zwischenfälle abzusichern, ist ein dreistufiges Sicherheitskonzept unerlässlich. Zunächst sollten Mitarbeiter für das Thema Datensicherheit sensibilisiert werden und Schulungen zur Awareness erhalten, um die Einhaltung datenschutzrechtlicher Vorschriften sicherzustellen. Als zweiter Schritt ist die Durchführung eines IT-Sicherheitschecks und Penetrationstests durch externe Fachleute zu empfehlen. Dabei werden potenzielle Schwachstellen in den Systemen identifiziert und behoben, um möglichen Angreifern den Zugriff zu verwehren.

Gleichzeitig ist der Abschluss einer umfassenden Cyber-Risikoversicherung ratsam, um wirtschaftlich abgesichert zu sein, falls es dennoch zu einem Vorfall kommt. Insbesondere vor dem Hintergrund des neuen Hinweisgeberschutzgesetzes und der Verpflichtung zur Einrichtung interner Meldestellen, ist die Implementierung einer Zwei-Faktor-Authentifizierung aufgrund der Sensibilität der Daten von großer Bedeutung.

Anmerkung: Sowohl für IT-Sicherheitschecks als auch für Cyber-Risikoversicherungen steht die SMK Group als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Datenschutz stärken: Die Bedeutung der Zwei-Faktor-Authentifizierung

Unternehmen müssen gemäß Artikel 32 der DSGVO angemessene technische und organisatorische Maßnahmen zum Datenschutz treffen. Ein starkes Passwort allein reicht jedoch nicht aus. Ähnlich wie bei Bankkarten ist ein zusätzlicher Sicherheitsfaktor notwendig.

Die Zwei-Faktor-Authentifizierung (2FA) bietet diesen Schutz, indem sie neben dem Passwort einen zweiten Authentifizierungsfaktor erfordert. Dies erhöht die Sicherheit erheblich und schützt sensible Daten vor unerwünschtem Zugriff und Datenschutzverletzungen.

Datenschutz im Fokus: Stand der Technik und aktuelle Vorgaben

Die Implementierung einer Zwei-Faktor-Authentifizierung für den Zugang zu Systemen, auf denen personenbezogene Daten verarbeitet werden, ist als Stand der Technik verpflichtend. Verschiedene Methoden stehen zur Verfügung, um die Zwei-Faktor-Authentifizierung umzusetzen. Die Verwendung von Apps bietet Unterstützung, Einmalkennwörter werden automatisch generiert (Bsp. Sophos Authenticator, Microsoft Authenticator).

Für die technische Einrichtung der Zwei-Faktor-Authentifizierung sollte der IT-Administrator oder ein IT-Dienstleister kontaktiert werden. Für rechtliche Aspekte ist hingegen der Datenschutzbeauftragte der richtige Ansprechpartner. Die ausgewählte Lösung muss datenschutzrechtlichen Vorgaben entsprechen, was je nach Anbieter nicht immer gegeben ist.

Weitere Informationen zur Zwei-Faktor-Authentifizierung finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik unter dem Thema „Zwei-Faktor-Authentisierung – mehr Sicherheit für Geräte und Daten“.

Zwei-Faktor-Authentifizierung: Effektive Risikoreduzierung für Datenzugriffe

Die Implementierung einer Zwei-Faktor-Authentifizierung erfordert zwar Aufwand, ist aber entscheidend, um Angriffe zu vereiteln und Ihr Unternehmen vor Datenpannen zu bewahren. Das Fehlen dieser Sicherheitsmaßnahme kann nicht nur zu unangenehmen Rückfragen seitens der Aufsichtsbehörden führen, sondern auch zu Bußgeldern gemäß der DSGVO. Es ist daher ratsam, diese zusätzliche Sicherheitsebene einzurichten, um finanzielle und rechtliche Konsequenzen zu vermeiden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!