Skip to main content

Insights

Datenschutz News – GDPC GbR
Datenschutzinformationen für Unternehmen & Mandanten

Aktuelle Datenschutzhinweise für Unternehmen und Mandanten

Sind Sie unsicher, welche datenschutzrechtlichen Anforderungen Ihr Unternehmen erfüllen muss?

Sie finden hier regelmäßig alle wichtigen und relevanten Informationen rund um das Thema Datenschutz. Wir stellen sicher, dass Sie stets auf dem neuesten Stand sind und Ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen. Vertrauen Sie auf die Expertise unserer Datenschutzbeauftragten der GDPC GbR, um Ihr Unternehmen vor rechtlichen Risiken zu schützen.

Aktuelle Informationen

05.11.2024 Information zur NIS-2-Richtlinie

Die NIS-2-Richtlinie der EU bringt zahlreiche Neuerungen und Herausforderungen im Bereich Informationssicherheit. Im Folgenden bieten wir Ihnen einen Überblick zu den wesentlichen Aspekten der NIS-2-Richtlinie.

1. Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine erweiterte Fassung der bisherigen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1). Die Mitgliedstaaten der EU sind verpflichtet, diese bis spätestens 17. Oktober 2024 in nationales Recht zu überführen. Deutschland plant, das nationale Gesetz im ersten Quartal 2025 zu verabschieden, hat die Frist allerdings bereits verpasst.

2. Betrifft die NIS-2-Richtlinie mein Unternehmen?

Die Richtlinie umfasst nicht nur Betreiber kritischer Infrastrukturen, sondern auch viele weitere Sektoren, wie z. B.:

  • Digitale Dienstleister (Cloud-Anbieter, Rechenzentren)
  • IT-Dienstleister und Softwarehersteller
  • Energieversorger und Transportunternehmen
  • Gesundheitswesen, Finanzdienstleister und Versicherungen
  • Unternehmen der Wasserwirtschaft, Lebensmittelproduktion und Entsorgung
  • Öffentliche Verwaltung

Ob Ihr Unternehmen konkret betroffen ist, hängt u. a. von Branche, Größe und Bedeutung für die Versorgungssicherheit ab. Für große Unternehmen (mehr als 249 Mitarbeitende oder 50 Millionen € Umsatz) gelten erweiterte Anforderungen. Für eine erste Einschätzung können Sie den Betroffenheits-Check des BSI unter BSI – NIS-2-Betroffenheitsprüfung nutzen.

3. Was verlangt die NIS-2-Richtlinie konkret?

Die Richtlinie verpflichtet Unternehmen, umfassende Sicherheitsmaßnahmen zu ergreifen, z. B.:

  • Cybersicherheits-Risikomanagement: Regelmäßige Risikoanalysen und Schutzmaßnahmen.
  • Technische Schutzmaßnahmen: Firewalls, Intrusion-Detection-Systeme und Datenverschlüsselung.
  • Vorfallmanagement und Meldepflichten: Einrichtung eines Systems zur Erkennung und Meldung von Sicherheitsvorfällen.
  • Mitarbeiterschulungen: Regelmäßige Schulungen zur Cyber-/Informationssicherheit.
  • Sicherheitsanforderungen in der Lieferkette: Vertragliche Absicherung der Cybersicherheitsstandards bei Partnern.
  • Sicherheitsrichtlinien und Dokumentation: Regelmäßige Aktualisierung der Sicherheitsrichtlinien und Dokumentation.
  • Penetrationstests: Prüfung der Systemresilienz durch simulierte Cyberangriffe.
  • Notfallplanung und Resilienzmaßnahmen: Maßnahmen zur Sicherung der Geschäftskontinuität.
  • Zugriffsrechte und -kontrollen: Stärkung durch Multi-Faktor-Authentifizierung und strikte Passwortrichtlinien.
  • Datensicherung und Backups: Regelmäßige Sicherung und Wiederherstellungstests für die Integrität der Daten.

Viele Unternehmen, die bereits datenschutzrechtliche Maßnahmen umsetzen, profitieren von geringem Zusatzaufwand, da viele NIS-2-Vorgaben hierauf aufbauen.

4. Wie sollte mein Unternehmen vorgehen?

Empfohlene Schritte zur Umsetzung:

  1. Betroffenheit klären: Überprüfen Sie, ob Ihr Unternehmen betroffen ist (siehe BSI-Link oben).
  2. Ressourcenplanung: Budget und personelle Ressourcen einplanen.
  3. Verantwortlichkeiten festlegen: Eine verantwortliche Person bestimmen und ggf. externe Partner hinzuziehen.
  4. Risikoanalyse und Bestandsaufnahme: Überprüfung aktueller Sicherheitsmaßnahmen.
  5. Maßnahmen umsetzen: Erforderliche Sicherheitsmaßnahmen einleiten und deren Umsetzung sichern.
  6. Kontinuierliche Überprüfung: Regelmäßige Audits und Monitoring durchführen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

02.10.2024 Neuer Beschluss der Datenschutzkonferenz zu Asset Deals

Die unabhängigen Datenschutzbehörden haben am 11. September 2024 neue Vorgaben zu Asset Deals beschlossen. Hier sind die wichtigsten Punkte zusammengefasst:

Datenübermittlung vor Vertragsabschluss:
Personenbezogene Daten (Kunden, Lieferanten, Beschäftigte) dürfen vor Vertragsabschluss nicht ohne Einwilligung weitergegeben werden. In fortgeschrittenen Verhandlungen ist dies bei Hauptvertragspartnern aufgrund berechtigter Interessen möglich.

Kundendaten:
Laufende Verträge:
Daten können bei einer Vertragsübernahme gemäß Art. 6 Abs. 1 lit. b DS-GVO übertragen werden.
Beendete Verträge:
Daten dürfen nur zur Erfüllung gesetzlicher Aufbewahrungsfristen weitergegeben werden.

Beschäftigtendaten:
Ohne Einwilligung ist die Übertragung nur bei einem Betriebsübergang (§ 613a BGB) erlaubt. Besondere Kategorien, wie Gesundheitsdaten, benötigen immer eine Einwilligung.

Werbung:
Kontaktdaten dürfen nur für Werbung genutzt werden, wenn dies dem Veräußerer erlaubt war. Bei E-Mail-Werbung ist eine Einwilligung erforderlich.

Besondere Kategorien und Bankdaten:
Gesundheits- und Bankdaten dürfen nur mit Einwilligung oder zur Vertragsabwicklung übertragen werden.

Offene Forderungen:
Daten dürfen bei offenen Forderungen übertragen werden, es sei denn, es besteht ein Abtretungsausschluss.

Beachten Sie die datenschutzrechtlichen Vorgaben, um Haftungsrisiken zu vermeiden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

10.09.2024 Rekordbußgeld für Uber: Datenschutzverstöße bei Datenübermittlung in die USA

Uber erhielt kürzlich ein Datenschutz-Bußgeld von 290 Millionen Euro, da das Unternehmen personenbezogene Daten unrechtmäßig in die USA übermittelt hatte. Beschwerden von Fahrern brachten ans Licht, dass sensible Daten wie Krankmeldungen und Ausweiskopien an die US-Muttergesellschaft gesendet wurden, ohne dass dafür eine rechtliche Grundlage bestand. Dies verstößt gegen die DSGVO, die für Datentransfers in Nicht-EU-Länder strenge Vorgaben macht.

Mit dem neuen EU-US-Privacy-Framework ist eine Übermittlung von Daten in die USA einfacher, sofern das US-Unternehmen bei der Federal Trade Commission (FTC) zertifiziert ist. Allerdings müssen Unternehmen regelmäßig die Gültigkeit und den Umfang der Zertifizierung prüfen, da diese oft nicht für Personaldaten gilt.

Um rechtliche Risiken zu vermeiden, sollten Unternehmen bei Datenübertragungen in Drittländer stets ihren Datenschutzbeauftragten einbeziehen und die Einhaltung der Vorschriften sicherstellen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

28.08.2024 Risiko durch HDMI-Kabel für die Datensicherheit?

Die schnelle Entwicklung von Künstlicher Intelligenz (KI) verändert die Geschäftswelt grundlegend und birgt auch Risiken. IT-Forscher haben kürzlich eine Schwachstelle entdeckt, bei der ein KI-Modell die elektromagnetische Strahlung von HDMI-Kabeln erfasst und Bildschirminhalte wie Passwörter, Zahlungsdaten oder Geschäftsgeheimnisse aus der Ferne rekonstruieren kann. Schon eine Antenne außerhalb eines Gebäudes genügt, um diese Daten in Echtzeit abzufangen.

Obwohl die Fehlerquote aktuell noch bei etwa 30% liegt, könnte sich dies mit technischen Fortschritten schnell ändern. Unternehmen sollten daher frühzeitig Maßnahmen ergreifen, um ihre Daten zu schützen:

  1. Abschirmung: Nutzen Sie gut abgeschirmte und verschlüsselte HDMI-Kabel.
  2. Physische Sicherheit: Beschränken Sie den Zugang zu sensiblen Bereichen.
  3. EMI-geschützte Räume: Verhindern Sie die Abstrahlung nach außen.
  4. Sicherheitsaudits: Überprüfen Sie regelmäßig die Sicherheit Ihrer HDMI-Verbindungen.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

11.06.2024 Korrekte Angaben im Cyberversicherungsantrag sind entscheidend!

Bitte beachten Sie die Bedeutung korrekter Angaben bei der Beantragung Ihrer Cyberversicherung.

Ein kürzlich ergangenes Urteil des Landgerichts Kiel (Az.5 O 128/21) verdeutlicht die Folgen von Falschangaben im Antragsprozess. Ein Unternehmen verlor seinen Versicherungsschutz nach einem Hackerangriff aufgrund unzureichender Sicherheitsmaßnahmen.

Es ist essenziell, die Risikofragen im Versicherungsantrag wahrheitsgemäß zu beantworten und den IT-Verantwortlichen sowie den Datenschutzbeauftragten einzubeziehen. Nur so kann der Versicherungsschutz gewährleistet werden.

Bitte überprüfen Sie daher Ihre Cyberversicherungspolice und kontaktieren Sie uns bei Fragen oder für Unterstützung.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

13.05.2024 Gesetzesänderung für Unternehmen ab 14. Mai 2024: Was Sie wissen müssen

Ab dem morgigen Tag, dem 14. Mai 2024, treten das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie das Digitale-Dienste-Gesetz (DDG) in Kraft. Vereinfacht gesagt wird aus dem TMG (Telemediengesetz) das DDG und aus dem TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) das TDDDG.

Was bedeutet das für Unternehmen?

a) Falls Ihr Impressum auf der Webseite einen Verweis auf § 5 TMG enthält (z. B. „Impressum gemäß § 5 TMG“), entfernen Sie einfach den Verweis auf § 5 TMG. Das Impressum selbst bleibt unverändert bestehen.

b) Wenn Ihre Datenschutzerklärung auf der Webseite und/oder in Ihrem Cookie-Consent-Manager einen Verweis auf § 25 TTDSG enthält, ändern Sie diesen entsprechend in „§ 25 TDDDG“ ab. Durchsuchen Sie daher auch Ihre Datenbanken oder Dokumentvorlagen nach den Begriffen TMG und TTDSG und passen Sie entsprechende Angaben/Verweise auf DDG oder TDDDG an.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

05.03.2024 Sicherheit auf Dienstreisen – Praktische Tipps für den Schutz sensibler Daten

Jeden Tag begeben sich Hunderttausende von Menschen auf Dienstreise, sei es im Zug, im Flugzeug, in Cafés oder Hotels. Während sie konzentriert an wichtigen Aufgaben arbeiten, gerät der Schutz sensibler Daten und Geschäftsgeheimnisse oft in den Hintergrund. Leider wird das Thema Datenschutz und Datensicherheit häufig vernachlässigt und Datendiebe lauern überall. Die Sicherheit Ihrer Daten und Informationen auf Reisen hat unverzichtbare Priorität, die ständig gewährleistet sein muss.

Im Folgenden finden Sie eine Zusammenstellung der wichtigsten Handlungsempfehlungen. Eine kontinuierliche Sensibilisierung der Mitarbeiter für dieses wichtige Thema ist entscheidend, um die typischen Risiken auf Dienstreisen nachhaltig und effektiv zu reduzieren.

Vertrauliche Gespräche und E-Mails geschickt handhaben

Um das Risiko von Datenlecks zu minimieren, sollten Sie vertrauliche Gespräche und E-Mails in öffentlichen Bereichen vermeiden. Falls unvermeidbar, beschränken Sie sich auf die Bearbeitung von Dokumenten und E-Mails, die keine vertraulichen Informationen enthalten. Seien Sie bei Telefonaten äußerst vorsichtig, sprechen Sie leise und vermeiden Sie die Offenlegung von sensiblen Details wie Kundendaten oder Namen.

Bildschirmschoner und Blickschutz

Für Ihre Endgeräte, wie Smartphone oder Laptop, sollten Sichtschutzfolien mit integriertem Blickschutzfilter verwendet werden. Diese sind bereits zu einem geringen Preis erhältlich und bieten einen erheblichen Mehrwert für die Sicherheit Ihrer Daten. Sollten keine Sichtschutzfolien verfügbar sein, wählen Sie während Ihrer Reise unbedingt einen Ort, der nicht leicht von Dritten eingesehen werden kann. Auf diese Weise verhindern Sie, dass Unbefugte Ihre Bildschirminhalte mitlesen können.

Wachsame Aufbewahrung und ständige Kontrolle Ihrer Endgeräte

Mobile Geräte wie Laptops und Smartphones sollten niemals unbeaufsichtigt gelassen werden, auch nicht kurzzeitig. Selbst wenn das Gerät gesperrt ist, bietet dies keinen Schutz vor Diebstahl. Idealerweise sollten Endgeräte auf Dienstreisen verschlüsselt sein. Für noch mehr Sicherheit, speichern Sie keine sensiblen Daten lokal, sondern greifen Sie auf die Daten über eine sichere VPN-Verbindung serverseitig zu. Das verringert das Datenschutzrisiko im Falle eines Diebstahls erheblich.

Verzicht auf öffentliche WLAN-Netzwerke und Nutzung von VPN-Verbindungen

Öffentliche WLAN-Netzwerke in Hotels, Zügen und anderen Orten sind bequem, bergen jedoch Sicherheitsrisiken. Unverschlüsselte Netzwerke ermöglichen Datenabhörung. Es ist ratsam, Ihre Nutzung zu minimieren und persönliche Konten oder sensible Daten nicht darüber zugänglich zu machen. Eine sicherere Alternative ist die Verwendung einer VPN-Verbindung. Automatische Verbindungen mit ungesicherten WLANs sollten deaktiviert werden und die Nutzung öffentlicher Computer vermieden werden, da sie oft Schadsoftware enthalten.

Die Bedeutung von sicheren Passwörtern und Multi-Faktor-Authentifizierung

Für Mitarbeiter, insbesondere während Dienstreisen, sind sichere und komplexe Passwörter (mindestens 12 Zeichen, einschließlich Zahlen und Sonderzeichen) unverzichtbar. Noch besser ist es, auf allen genutzten Geräten standardmäßig eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Diese erfordert einen zweiten Faktor für den Login, wie beispielsweise ein per Authenticator-App gesendeter PIN. Die Verwendung einer MFA wird von Aufsichtsbehörden als Stand der Technik angesehen und ist daher grundsätzlich für alle Unternehmen verpflichtend.

Wichtige Sicherheitsvorkehrungen stets auf dem neuesten Stand halten

Es ist entscheidend, dass die allgemeinen Schutzmaßnahmen an den Endgeräten, wie Anti-Virus-Programme, Virenscanner und Firewalls, stets auf dem neuesten Stand gehalten werden. Darüber hinaus empfiehlt es sich, die Risiken der IT-Nutzung im Unternehmen näher zu regeln und darüber aufzuklären. Hierbei ist die Erstellung einer sogenannten IT-Nutzungsrichtlinie als Arbeitsanweisung äußerst empfehlenswert.

Falls Sie noch keine solche Richtlinie haben, stehen wir Ihnen gerne zur Verfügung, um Sie dabei zu unterstützen.

Fazit

Die Einhaltung datensicherheitsrechtlicher Vorgaben auf Dienstreisen erfordert bei entsprechender Planung keine komplizierten Maßnahmen und ist relativ einfach zu bewerkstelligen. An erster Stelle steht jedoch die regelmäßige Schulung der Mitarbeiter bezüglich der Datensicherheit. Dadurch bleiben sie stets über die Dos and Don’ts informiert und können diese im Sinne des Unternehmens umsetzen und einhalten.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

01.03.2024 DocuSign verwendet Kundendaten für KI-Training

Das US-amerikanische Unternehmen DocuSign, das viele von Ihnen möglicherweise für die digitale Unterzeichnung von Verträgen oder ähnlichen Dokumenten nutzen, hat kürzlich bekannt gegeben, dass es teilweise Kundendaten für das Training eigener KI-Modelle verwendet. Obwohl DocuSign betont, dass die Daten nach geltenden Standards so weit wie möglich anonymisiert werden, um theoretisch keine Rückschlüsse auf Kunden zu ermöglichen, hat eine Recherche der IT-Plattform „Golem“ ergeben, dass DocuSign mindestens zwei Arten von KI-Systemen einsetzt. Dabei greift DocuSign bei mindestens einem System auf Microsoft Azure AI-Systeme zurück, die wiederum eine Verbindung zur OpenAI-KI-Infrastruktur (einschließlich ChatGPT und ähnlichen Modellen) herstellt.

Unabhängig von den Datenschutzrisiken, die mit der Verarbeitung personenbezogener Daten in KI-basierten Systemen einhergehen und die vermieden werden sollten, birgt die Nutzung von DocuSign auch erhebliche Risiken für betriebliche und geschäftliche Geheimnisse.

Unternehmen, die DocuSign nutzen, sollten daher genau prüfen, ob ihre Daten von DocuSign für Trainingszwecke verwendet werden und welche Informationen konkret genutzt werden, bevor sie sensible Geschäftsgeheimnisse wie vertrauliche Verträge hochladen. Denn es besteht die Möglichkeit, dass solche Daten oder Auszüge davon in Zukunft von anderen KI-Anwendern gefunden werden, die nach ähnlichen Informationen suchen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

05.02.2024 Cookie-Banner-Design: OLG Köln urteilt gegen Nudging-Praktiken

Sachverhalt und Hintergrund

Die Verbraucherzentrale NRW reichte eine Klage gegen den Betreiber der Webseite „wetteronline.de“ ein, da sie die Gestaltung des dort verwendeten Cookie-Banners beanstandete. Der „Einstellungen“-Button des Banners war kaum vom Hintergrund zu unterscheiden, während der „Akzeptieren“-Button deutlich hervorstach. Dies führte dazu, dass die Ablehnung nicht notwendiger Cookies erst auf der zweiten Ebene des Banners möglich war. Zusätzlich befand sich in der rechten oberen Ecke des Banners ein „X“ mit der Aufschrift „Akzeptieren & Schließen“, wodurch ebenfalls eine Zustimmung zum Setzen von (Tracking-)Cookies eingeholt werden sollte.

Gerichtsurteil

Das Gericht stimmte der Argumentation der Verbraucherzentrale zu und entschied, dass das Cookie-Banner nicht den Anforderungen an eine Einwilligung gemäß § 25 TTDSG entsprach. Insbesondere fehlte es an einer Möglichkeit für die Nutzer, die Ablehnung auf ähnlich einfache Weise wie die Zustimmung zu erklären, beispielsweise durch ein Feld mit der Option „Alle Ablehnen“. Die Begründung lautete, dass die visuelle Gestaltung des Cookie-Banners die Nutzer gezielt in Richtung „Akzeptieren“ lenkte, was als Nudging bezeichnet wird. Dadurch fehlte es an einer freiwilligen Einwilligung. Außerdem konnte der Nutzer nicht davon ausgehen, dass durch das Schließen des Banners (durch Klicken auf das „X“) eine Einwilligung erklärt wurde.

Anpassungen am Cookie-Banner nach Gerichtsurteil erforderlich

Unternehmen müssen sicherstellen, dass ihre Cookie-Banner auf der Webseite möglichst transparent und benutzerfreundlich gestaltet sind. Die Banner sollten so gestaltet sein, dass Nutzer sofort erkennen können, ob sie „Ablehnen“ oder „Zustimmen“ möchten. Dazu müssen die beiden Optionen optisch gleichwertig präsentiert werden. Eine unterschiedliche visuelle Gestaltung der Felder könnte als Verschleierung angesehen werden und zu Haftungsrisiken führen. Es wird empfohlen, das vorhandene Cookie-Banner auf der Webseite anhand dieser Grundsätze zu überprüfen und gegebenenfalls anzupassen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

10.10.2023 Juristische Hürden bei der Verwendung von ChatGPT & Co.

Wichtige Datenschutzaspekte beim Einsatz von ChatGPT in Unternehmen

Bei der Nutzung von ChatGPT und ähnlichen Tools in Unternehmen steht der Datenschutzrecht im Mittelpunkt. Entscheidend ist, ob dabei personenbezogene Daten verarbeitet werden, wie z.B. bei Schriftstücken mit Personenangaben oder der Verknüpfung mit E-Mail-Programmen. Schon die Anlegung eines Accounts durch Mitarbeiter für solche Zwecke unterliegt dem Datenschutzrecht. Anwendungen ohne personenbezogene Daten, wie die Generierung von Codes oder Marketingtexten, bergen hingegen keine datenschutzrechtlichen Risiken.

Datenschutzrechtliche Herausforderungen bei der Nutzung von KI

Wenn KI-Tools zur Verarbeitung personenbezogener Daten eingesetzt werden, sind Unternehmen verpflichtet, das gesamte Spektrum des Datenschutzrechts zu beachten, da dies mit erheblichen Haftungs- und Bußgeldrisiken verbunden ist. Beim Einsatz solcher Tools wie ChatGPT können viele datenschutzrechtliche Anforderungen leider nicht oder nur unzureichend erfüllt werden. Zum Beispiel gestaltet sich die Erfüllung der Betroffenenrechte auf Information (Artikel 13/14 DSGVO) und Auskunft (Artikel 15 DSGVO) über die Datenverarbeitung aufgrund mangelnder Transparenz solcher KI-Tools hinsichtlich ihrer Nutzung, Zwecke und Speicherdauer schwierig.

Die Nutzungsbedingungen von ChatGPT geben lediglich an, dass eingegebene Daten zu eigenen Zwecken genutzt werden, um die Dienste zu verbessern, ohne jedoch konkret und transparent zu sein. Darüber hinaus stellen sich weitere Datenschutzprobleme, wie die Bestimmung der datenschutzrechtlichen Verantwortlichkeit (Artikel 24 DSGVO) für die Datenverarbeitung oder die Frage nach der Rechtsgrundlage und Zulässigkeit der Datenübermittlung in unsichere Drittstaaten (z.B. USA), als schwierig heraus.

Zwischenbilanz: Datenschutzrechtliche Probleme bei ChatGPT & Co.

Die Verwendung von KI-Tools wie ChatGPT & Co. mit personenbezogenen Daten birgt kaum reduzierbare datenschutzrechtliche Risiken. Ein rechtskonformer Einsatz gestaltet sich aktuell kaum vorstellbar, insbesondere aufgrund der Schwierigkeiten bei der Umsetzung von Betroffenenrechten wie dem Recht auf Löschung und Auskunft. Besondere Vorsicht ist beim Einsatz von KI-Tools, insbesondere im HR-Bereich, geboten, da hier häufig Streitigkeiten und Auseinandersetzungen auftreten können.

Weitere rechtliche Aspekte und Herausforderungen bei ChatGPT & Co.

Die Verwendung von ChatGPT & Co. birgt auch aus anderen Rechtsbereichen rechtliche Risiken. Ungeklärte Fragen bestehen im Urheber- und Lizenzrecht sowie im Arbeitsrecht, insbesondere bezüglich der Schutzpflichten des Arbeitgebers und den Mitbestimmungsrechten von Betriebs- oder Personalräten.

Besonders relevant ist der Schutz von Betriebs- und Geschäftsgeheimnissen gemäß dem GeschGehG. Die Nutzung solcher KI-Tools kann dazu führen, dass eigene Geheimnisse preisgegeben werden oder fremde Geschäftsgeheimnisse offengelegt werden, was zu Schadensersatzforderungen und Verstößen gegen Non-Disclosure Agreements führen kann.

Empfehlungen für den Einsatz von KI-Tools und ChatGPT in Unternehmen

Für den geplanten Einsatz von KI-Tools im Unternehmen sollte darauf geachtet werden, auf die Verwendung personenbezogener Daten zu verzichten und klare Verhaltensregeln in einer Richtlinie festzuhalten. Eine Schulung der Mitarbeiter über den rechtskonformen Umgang mit KI-Tools kann ebenfalls sinnvoll sein. Kontrollmechanismen im Rahmen eines Qualitätsmanagements sollten eingeführt werden, insbesondere wenn KI-generierte Inhalte veröffentlicht werden sollen, da diese nicht immer fehlerfrei sind.

Die Zukunft von ChatGPT und KI: Entwicklungen und Perspektiven

Die genaue Tragweite der rechtlichen Probleme wird sich erst in Zukunft zeigen. Es gibt jedoch bereits erste Tools wie „nele.ai“ (Link: nele.ai – Sichere Künstliche Intelligenz / KI für Unternehmen), die einen rechtssicheren Einsatz von künstlicher Intelligenz ermöglichen sollen. Dies geschieht beispielsweise durch die vorherige Anonymisierung eingegebener Daten und die Speicherung auf EU-Servern.

Darüber hinaus arbeitet die EU derzeit an einer KI-Verordnung. Dies bietet die Chance, einen angemessenen Rahmen für den rechtskonformen Einsatz solcher Technologien zu schaffen und die Rechtsunsicherheiten für Unternehmen zumindest teilweise zu beseitigen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung und freut sich darauf, Ihnen bei allen Fragen und Anliegen behilflich zu sein. Zögern Sie nicht, uns zu kontaktieren!

15.06.2023 Insolvenz durch Hackerangriffe

Gefahren und Folgen für Unternehmen nach einem Hackerangriff

Der jüngste Vorfall, der heute in der F.A.Z. berichtet wurde, verdeutlicht erneut die unerlässliche Bedeutung von Datensicherheit für Unternehmen. Es betrifft die Fahrrad- und E-Bike-Hersteller „Prophete“ und „Cycle-Union“ aus Rheda-Wiedenbrück, bekannt für ihre Marken wie „VSF Fahrradmanufaktur“, „Rabeneick“ und „Kreidler“.

Dieses Unternehmen musste kürzlich Insolvenz anmelden, nachdem sie Opfer einess Hacker-Angriffs wurden.

Der Angriff führte zu einem vollständigen Stillstand der Betriebs- und Produktionsabläufe über mehrere Wochen. Es wird angenommen, dass es sich um einen Ransomware-Angriff handelte, der höchstwahrscheinlich durch fahrlässiges Verhalten eines Mitarbeiters ermöglicht wurde, vermutlich durch das Öffnen einer infizierten E-Mail.

Die Kosten, die mit dem Ausfall der Produktion einhergingen, waren für das bereits finanziell angeschlagene Unternehmen nicht mehr zu bewältigen, wie der vorläufige Insolvenzverwalter bestätigte.

Wichtig gegen Cyberangriffe – Datenschutz und Datensicherheit

Die Gefahr eines solchen Vorfalls ist heutzutage größer denn je. Jedes Unternehmen sollte daher unbedingt eine robuste Datenschutz- und Cybersicherheitsstrategie haben, um im schlimmsten Fall nicht auch den Weg zur Insolvenzanmeldung gehen zu müssen.

Für Unternehmen unverzichtbar – Schutzkonzept gegen Hacking-/Cyberangriffe

Um sich gegen solche Zwischenfälle abzusichern, ist ein dreistufiges Sicherheitskonzept unerlässlich. Zunächst sollten Mitarbeiter für das Thema Datensicherheit sensibilisiert werden und Schulungen zur Awareness erhalten, um die Einhaltung datenschutzrechtlicher Vorschriften sicherzustellen. Als zweiter Schritt ist die Durchführung eines IT-Sicherheitschecks und Penetrationstests durch externe Fachleute zu empfehlen. Dabei werden potenzielle Schwachstellen in den Systemen identifiziert und behoben, um möglichen Angreifern den Zugriff zu verwehren.

Gleichzeitig ist der Abschluss einer umfassenden Cyber-Risikoversicherung ratsam, um wirtschaftlich abgesichert zu sein, falls es dennoch zu einem Vorfall kommt. Insbesondere vor dem Hintergrund des neuen Hinweisgeberschutzgesetzes und der Verpflichtung zur Einrichtung interner Meldestellen, ist die Implementierung einer Zwei-Faktor-Authentifizierung aufgrund der Sensibilität der Daten von großer Bedeutung.

Anmerkung: Sowohl für IT-Sicherheitschecks als auch für Cyber-Risikoversicherungen steht die SMK Group als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

04.06.2023 Sicherheit und Datenschutz in der Digitalwelt: Die unverzichtbare Rolle der Zwei-Faktor-Authentifizierung

Datenschutz stärken: Die Bedeutung der Zwei-Faktor-Authentifizierung

Unternehmen müssen gemäß Artikel 32 der DSGVO angemessene technische und organisatorische Maßnahmen zum Datenschutz treffen. Ein starkes Passwort allein reicht jedoch nicht aus. Ähnlich wie bei Bankkarten ist ein zusätzlicher Sicherheitsfaktor notwendig.

Die Zwei-Faktor-Authentifizierung (2FA) bietet diesen Schutz, indem sie neben dem Passwort einen zweiten Authentifizierungsfaktor erfordert. Dies erhöht die Sicherheit erheblich und schützt sensible Daten vor unerwünschtem Zugriff und Datenschutzverletzungen.

Datenschutz im Fokus: Stand der Technik und aktuelle Vorgaben

Die Implementierung einer Zwei-Faktor-Authentifizierung für den Zugang zu Systemen, auf denen personenbezogene Daten verarbeitet werden, ist als Stand der Technik verpflichtend. Verschiedene Methoden stehen zur Verfügung, um die Zwei-Faktor-Authentifizierung umzusetzen. Die Verwendung von Apps bietet Unterstützung, Einmalkennwörter werden automatisch generiert (Bsp. Sophos Authenticator, Microsoft Authenticator).

Für die technische Einrichtung der Zwei-Faktor-Authentifizierung sollte der IT-Administrator oder ein IT-Dienstleister kontaktiert werden. Für rechtliche Aspekte ist hingegen der Datenschutzbeauftragte der richtige Ansprechpartner. Die ausgewählte Lösung muss datenschutzrechtlichen Vorgaben entsprechen, was je nach Anbieter nicht immer gegeben ist.

Weitere Informationen zur Zwei-Faktor-Authentifizierung finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik unter dem Thema „Zwei-Faktor-Authentisierung – mehr Sicherheit für Geräte und Daten“.

Zwei-Faktor-Authentifizierung: Effektive Risikoreduzierung für Datenzugriffe

Die Implementierung einer Zwei-Faktor-Authentifizierung erfordert zwar Aufwand, ist aber entscheidend, um Angriffe zu vereiteln und Ihr Unternehmen vor Datenpannen zu bewahren. Das Fehlen dieser Sicherheitsmaßnahme kann nicht nur zu unangenehmen Rückfragen seitens der Aufsichtsbehörden führen, sondern auch zu Bußgeldern gemäß der DSGVO. Es ist daher ratsam, diese zusätzliche Sicherheitsebene einzurichten, um finanzielle und rechtliche Konsequenzen zu vermeiden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

„Datenschutz und IT-Sicherheit gehen Hand in Hand. Wir betrachten diese Themen ganzheitlich, denn nur so können wir sicherstellen, dass sensible Daten geschützt und IT-Systeme abgesichert sind.“

Marco Gerth, coliex systems
Kontakt

Unsere Experten sind für Sie da

Entscheiden Sie, wie Sie mit uns in Kontakt treten möchten. Wir freuen uns Sie kennen zu lernen und an Ihrer Seite zu stehen.
ico mail

Nachricht senden

Senden Sie uns eine Nachricht. Wir kommen gerne auf Sie zu.
ico phone

Zum Anruf

Rufen Sie uns an. Wir sind gerne persönlich für Sie da.

Terminvereinbarung (extern)

Termin buchen

Buchen Sie direkt einen unverbindlichen Kennlerntermin via Teams.