Aktuelle Datenschutzhinweise für Unternehmen und Mandanten

Jeden Tag begeben sich Hunderttausende von Menschen auf Dienstreise, sei es im Zug, im Flugzeug, in Cafés oder Hotels. Während sie konzentriert an wichtigen Aufgaben arbeiten, gerät der Schutz sensibler Daten und Geschäftsgeheimnisse oft in den Hintergrund. Leider wird das Thema Datenschutz und Datensicherheit häufig vernachlässigt und Datendiebe lauern überall. Die Sicherheit Ihrer Daten und Informationen auf Reisen hat unverzichtbare Priorität, die ständig gewährleistet sein muss.

Im Folgenden finden Sie eine Zusammenstellung der wichtigsten Handlungsempfehlungen. Eine kontinuierliche Sensibilisierung der Mitarbeiter für dieses wichtige Thema ist entscheidend, um die typischen Risiken auf Dienstreisen nachhaltig und effektiv zu reduzieren.

Vertrauliche Gespräche und E-Mails geschickt handhaben

Um das Risiko von Datenlecks zu minimieren, sollten Sie vertrauliche Gespräche und E-Mails in öffentlichen Bereichen vermeiden. Falls unvermeidbar, beschränken Sie sich auf die Bearbeitung von Dokumenten und E-Mails, die keine vertraulichen Informationen enthalten. Seien Sie bei Telefonaten äußerst vorsichtig, sprechen Sie leise und vermeiden Sie die Offenlegung von sensiblen Details wie Kundendaten oder Namen.

Bildschirmschoner und Blickschutz

Für Ihre Endgeräte, wie Smartphone oder Laptop, sollten Sichtschutzfolien mit integriertem Blickschutzfilter verwendet werden. Diese sind bereits zu einem geringen Preis erhältlich und bieten einen erheblichen Mehrwert für die Sicherheit Ihrer Daten. Sollten keine Sichtschutzfolien verfügbar sein, wählen Sie während Ihrer Reise unbedingt einen Ort, der nicht leicht von Dritten eingesehen werden kann. Auf diese Weise verhindern Sie, dass Unbefugte Ihre Bildschirminhalte mitlesen können.

Wachsame Aufbewahrung und ständige Kontrolle Ihrer Endgeräte

Mobile Geräte wie Laptops und Smartphones sollten niemals unbeaufsichtigt gelassen werden, auch nicht kurzzeitig. Selbst wenn das Gerät gesperrt ist, bietet dies keinen Schutz vor Diebstahl. Idealerweise sollten Endgeräte auf Dienstreisen verschlüsselt sein. Für noch mehr Sicherheit, speichern Sie keine sensiblen Daten lokal, sondern greifen Sie auf die Daten über eine sichere VPN-Verbindung serverseitig zu. Das verringert das Datenschutzrisiko im Falle eines Diebstahls erheblich.

Verzicht auf öffentliche WLAN-Netzwerke und Nutzung von VPN-Verbindungen

Öffentliche WLAN-Netzwerke in Hotels, Zügen und anderen Orten sind bequem, bergen jedoch Sicherheitsrisiken. Unverschlüsselte Netzwerke ermöglichen Datenabhörung. Es ist ratsam, Ihre Nutzung zu minimieren und persönliche Konten oder sensible Daten nicht darüber zugänglich zu machen. Eine sicherere Alternative ist die Verwendung einer VPN-Verbindung. Automatische Verbindungen mit ungesicherten WLANs sollten deaktiviert werden und die Nutzung öffentlicher Computer vermieden werden, da sie oft Schadsoftware enthalten.

Die Bedeutung von sicheren Passwörtern und Multi-Faktor-Authentifizierung

Für Mitarbeiter, insbesondere während Dienstreisen, sind sichere und komplexe Passwörter (mindestens 12 Zeichen, einschließlich Zahlen und Sonderzeichen) unverzichtbar. Noch besser ist es, auf allen genutzten Geräten standardmäßig eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Diese erfordert einen zweiten Faktor für den Login, wie beispielsweise ein per Authenticator-App gesendeter PIN. Die Verwendung einer MFA wird von Aufsichtsbehörden als Stand der Technik angesehen und ist daher grundsätzlich für alle Unternehmen verpflichtend.

Wichtige Sicherheitsvorkehrungen stets auf dem neuesten Stand halten

Es ist entscheidend, dass die allgemeinen Schutzmaßnahmen an den Endgeräten, wie Anti-Virus-Programme, Virenscanner und Firewalls, stets auf dem neuesten Stand gehalten werden. Darüber hinaus empfiehlt es sich, die Risiken der IT-Nutzung im Unternehmen näher zu regeln und darüber aufzuklären. Hierbei ist die Erstellung einer sogenannten IT-Nutzungsrichtlinie als Arbeitsanweisung äußerst empfehlenswert.

Falls Sie noch keine solche Richtlinie haben, stehen wir Ihnen gerne zur Verfügung, um Sie dabei zu unterstützen.

Fazit

Die Einhaltung datensicherheitsrechtlicher Vorgaben auf Dienstreisen erfordert bei entsprechender Planung keine komplizierten Maßnahmen und ist relativ einfach zu bewerkstelligen. An erster Stelle steht jedoch die regelmäßige Schulung der Mitarbeiter bezüglich der Datensicherheit. Dadurch bleiben sie stets über die Dos and Don’ts informiert und können diese im Sinne des Unternehmens umsetzen und einhalten.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Das US-amerikanische Unternehmen DocuSign, das viele von Ihnen möglicherweise für die digitale Unterzeichnung von Verträgen oder ähnlichen Dokumenten nutzen, hat kürzlich bekannt gegeben, dass es teilweise Kundendaten für das Training eigener KI-Modelle verwendet. Obwohl DocuSign betont, dass die Daten nach geltenden Standards so weit wie möglich anonymisiert werden, um theoretisch keine Rückschlüsse auf Kunden zu ermöglichen, hat eine Recherche der IT-Plattform „Golem“ ergeben, dass DocuSign mindestens zwei Arten von KI-Systemen einsetzt. Dabei greift DocuSign bei mindestens einem System auf Microsoft Azure AI-Systeme zurück, die wiederum eine Verbindung zur OpenAI-KI-Infrastruktur (einschließlich ChatGPT und ähnlichen Modellen) herstellt.

Unabhängig von den Datenschutzrisiken, die mit der Verarbeitung personenbezogener Daten in KI-basierten Systemen einhergehen und die vermieden werden sollten, birgt die Nutzung von DocuSign auch erhebliche Risiken für betriebliche und geschäftliche Geheimnisse.

Unternehmen, die DocuSign nutzen, sollten daher genau prüfen, ob ihre Daten von DocuSign für Trainingszwecke verwendet werden und welche Informationen konkret genutzt werden, bevor sie sensible Geschäftsgeheimnisse wie vertrauliche Verträge hochladen. Denn es besteht die Möglichkeit, dass solche Daten oder Auszüge davon in Zukunft von anderen KI-Anwendern gefunden werden, die nach ähnlichen Informationen suchen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

Sachverhalt und Hintergrund

Die Verbraucherzentrale NRW reichte eine Klage gegen den Betreiber der Webseite „wetteronline.de“ ein, da sie die Gestaltung des dort verwendeten Cookie-Banners beanstandete. Der „Einstellungen“-Button des Banners war kaum vom Hintergrund zu unterscheiden, während der „Akzeptieren“-Button deutlich hervorstach. Dies führte dazu, dass die Ablehnung nicht notwendiger Cookies erst auf der zweiten Ebene des Banners möglich war. Zusätzlich befand sich in der rechten oberen Ecke des Banners ein „X“ mit der Aufschrift „Akzeptieren & Schließen“, wodurch ebenfalls eine Zustimmung zum Setzen von (Tracking-)Cookies eingeholt werden sollte.

Gerichtsurteil

Das Gericht stimmte der Argumentation der Verbraucherzentrale zu und entschied, dass das Cookie-Banner nicht den Anforderungen an eine Einwilligung gemäß § 25 TTDSG entsprach. Insbesondere fehlte es an einer Möglichkeit für die Nutzer, die Ablehnung auf ähnlich einfache Weise wie die Zustimmung zu erklären, beispielsweise durch ein Feld mit der Option „Alle Ablehnen“. Die Begründung lautete, dass die visuelle Gestaltung des Cookie-Banners die Nutzer gezielt in Richtung „Akzeptieren“ lenkte, was als Nudging bezeichnet wird. Dadurch fehlte es an einer freiwilligen Einwilligung. Außerdem konnte der Nutzer nicht davon ausgehen, dass durch das Schließen des Banners (durch Klicken auf das „X“) eine Einwilligung erklärt wurde.

Anpassungen am Cookie-Banner nach Gerichtsurteil erforderlich

Unternehmen müssen sicherstellen, dass ihre Cookie-Banner auf der Webseite möglichst transparent und benutzerfreundlich gestaltet sind. Die Banner sollten so gestaltet sein, dass Nutzer sofort erkennen können, ob sie „Ablehnen“ oder „Zustimmen“ möchten. Dazu müssen die beiden Optionen optisch gleichwertig präsentiert werden. Eine unterschiedliche visuelle Gestaltung der Felder könnte als Verschleierung angesehen werden und zu Haftungsrisiken führen. Es wird empfohlen, das vorhandene Cookie-Banner auf der Webseite anhand dieser Grundsätze zu überprüfen und gegebenenfalls anzupassen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung. Zögern Sie nicht, uns zu kontaktieren!

Wichtige Datenschutzaspekte beim Einsatz von ChatGPT in Unternehmen

Bei der Nutzung von ChatGPT und ähnlichen Tools in Unternehmen steht der Datenschutzrecht im Mittelpunkt. Entscheidend ist, ob dabei personenbezogene Daten verarbeitet werden, wie z.B. bei Schriftstücken mit Personenangaben oder der Verknüpfung mit E-Mail-Programmen. Schon die Anlegung eines Accounts durch Mitarbeiter für solche Zwecke unterliegt dem Datenschutzrecht. Anwendungen ohne personenbezogene Daten, wie die Generierung von Codes oder Marketingtexten, bergen hingegen keine datenschutzrechtlichen Risiken.

Datenschutzrechtliche Herausforderungen bei der Nutzung von KI

Wenn KI-Tools zur Verarbeitung personenbezogener Daten eingesetzt werden, sind Unternehmen verpflichtet, das gesamte Spektrum des Datenschutzrechts zu beachten, da dies mit erheblichen Haftungs- und Bußgeldrisiken verbunden ist. Beim Einsatz solcher Tools wie ChatGPT können viele datenschutzrechtliche Anforderungen leider nicht oder nur unzureichend erfüllt werden. Zum Beispiel gestaltet sich die Erfüllung der Betroffenenrechte auf Information (Artikel 13/14 DSGVO) und Auskunft (Artikel 15 DSGVO) über die Datenverarbeitung aufgrund mangelnder Transparenz solcher KI-Tools hinsichtlich ihrer Nutzung, Zwecke und Speicherdauer schwierig.

Die Nutzungsbedingungen von ChatGPT geben lediglich an, dass eingegebene Daten zu eigenen Zwecken genutzt werden, um die Dienste zu verbessern, ohne jedoch konkret und transparent zu sein. Darüber hinaus stellen sich weitere Datenschutzprobleme, wie die Bestimmung der datenschutzrechtlichen Verantwortlichkeit (Artikel 24 DSGVO) für die Datenverarbeitung oder die Frage nach der Rechtsgrundlage und Zulässigkeit der Datenübermittlung in unsichere Drittstaaten (z.B. USA), als schwierig heraus.

Zwischenbilanz: Datenschutzrechtliche Probleme bei ChatGPT & Co.

Die Verwendung von KI-Tools wie ChatGPT & Co. mit personenbezogenen Daten birgt kaum reduzierbare datenschutzrechtliche Risiken. Ein rechtskonformer Einsatz gestaltet sich aktuell kaum vorstellbar, insbesondere aufgrund der Schwierigkeiten bei der Umsetzung von Betroffenenrechten wie dem Recht auf Löschung und Auskunft. Besondere Vorsicht ist beim Einsatz von KI-Tools, insbesondere im HR-Bereich, geboten, da hier häufig Streitigkeiten und Auseinandersetzungen auftreten können.

Weitere rechtliche Aspekte und Herausforderungen bei ChatGPT & Co.

Die Verwendung von ChatGPT & Co. birgt auch aus anderen Rechtsbereichen rechtliche Risiken. Ungeklärte Fragen bestehen im Urheber- und Lizenzrecht sowie im Arbeitsrecht, insbesondere bezüglich der Schutzpflichten des Arbeitgebers und den Mitbestimmungsrechten von Betriebs- oder Personalräten.

Besonders relevant ist der Schutz von Betriebs- und Geschäftsgeheimnissen gemäß dem GeschGehG. Die Nutzung solcher KI-Tools kann dazu führen, dass eigene Geheimnisse preisgegeben werden oder fremde Geschäftsgeheimnisse offengelegt werden, was zu Schadensersatzforderungen und Verstößen gegen Non-Disclosure Agreements führen kann.

Empfehlungen für den Einsatz von KI-Tools und ChatGPT in Unternehmen

Für den geplanten Einsatz von KI-Tools im Unternehmen sollte darauf geachtet werden, auf die Verwendung personenbezogener Daten zu verzichten und klare Verhaltensregeln in einer Richtlinie festzuhalten. Eine Schulung der Mitarbeiter über den rechtskonformen Umgang mit KI-Tools kann ebenfalls sinnvoll sein. Kontrollmechanismen im Rahmen eines Qualitätsmanagements sollten eingeführt werden, insbesondere wenn KI-generierte Inhalte veröffentlicht werden sollen, da diese nicht immer fehlerfrei sind.

Die Zukunft von ChatGPT und KI: Entwicklungen und Perspektiven

Die genaue Tragweite der rechtlichen Probleme wird sich erst in Zukunft zeigen. Es gibt jedoch bereits erste Tools wie „nele.ai“ (Link: nele.ai – Sichere Künstliche Intelligenz / KI für Unternehmen), die einen rechtssicheren Einsatz von künstlicher Intelligenz ermöglichen sollen. Dies geschieht beispielsweise durch die vorherige Anonymisierung eingegebener Daten und die Speicherung auf EU-Servern.

Darüber hinaus arbeitet die EU derzeit an einer KI-Verordnung. Dies bietet die Chance, einen angemessenen Rahmen für den rechtskonformen Einsatz solcher Technologien zu schaffen und die Rechtsunsicherheiten für Unternehmen zumindest teilweise zu beseitigen.

Die SMK Group steht Ihnen als Ansprechpartner zur Verfügung und freut sich darauf, Ihnen bei allen Fragen und Anliegen behilflich zu sein. Zögern Sie nicht, uns zu kontaktieren!

Gefahren und Folgen für Unternehmen nach einem Hackerangriff

Der jüngste Vorfall, der heute in der F.A.Z. berichtet wurde, verdeutlicht erneut die unerlässliche Bedeutung von Datensicherheit für Unternehmen. Es betrifft die Fahrrad- und E-Bike-Hersteller „Prophete“ und „Cycle-Union“ aus Rheda-Wiedenbrück, bekannt für ihre Marken wie „VSF Fahrradmanufaktur“, „Rabeneick“ und „Kreidler“.

Dieses Unternehmen musste kürzlich Insolvenz anmelden, nachdem sie Opfer einess Hacker-Angriffs wurden.

Der Angriff führte zu einem vollständigen Stillstand der Betriebs- und Produktionsabläufe über mehrere Wochen. Es wird angenommen, dass es sich um einen Ransomware-Angriff handelte, der höchstwahrscheinlich durch fahrlässiges Verhalten eines Mitarbeiters ermöglicht wurde, vermutlich durch das Öffnen einer infizierten E-Mail.

Die Kosten, die mit dem Ausfall der Produktion einhergingen, waren für das bereits finanziell angeschlagene Unternehmen nicht mehr zu bewältigen, wie der vorläufige Insolvenzverwalter bestätigte.

Wichtig gegen Cyberangriffe – Datenschutz und Datensicherheit

Die Gefahr eines solchen Vorfalls ist heutzutage größer denn je. Jedes Unternehmen sollte daher unbedingt eine robuste Datenschutz- und Cybersicherheitsstrategie haben, um im schlimmsten Fall nicht auch den Weg zur Insolvenzanmeldung gehen zu müssen.

Für Unternehmen unverzichtbar – Schutzkonzept gegen Hacking-/Cyberangriffe

Um sich gegen solche Zwischenfälle abzusichern, ist ein dreistufiges Sicherheitskonzept unerlässlich. Zunächst sollten Mitarbeiter für das Thema Datensicherheit sensibilisiert werden und Schulungen zur Awareness erhalten, um die Einhaltung datenschutzrechtlicher Vorschriften sicherzustellen. Als zweiter Schritt ist die Durchführung eines IT-Sicherheitschecks und Penetrationstests durch externe Fachleute zu empfehlen. Dabei werden potenzielle Schwachstellen in den Systemen identifiziert und behoben, um möglichen Angreifern den Zugriff zu verwehren.

Gleichzeitig ist der Abschluss einer umfassenden Cyber-Risikoversicherung ratsam, um wirtschaftlich abgesichert zu sein, falls es dennoch zu einem Vorfall kommt. Insbesondere vor dem Hintergrund des neuen Hinweisgeberschutzgesetzes und der Verpflichtung zur Einrichtung interner Meldestellen, ist die Implementierung einer Zwei-Faktor-Authentifizierung aufgrund der Sensibilität der Daten von großer Bedeutung.

Anmerkung: Sowohl für IT-Sicherheitschecks als auch für Cyber-Risikoversicherungen steht die SMK Group als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!

Datenschutz stärken: Die Bedeutung der Zwei-Faktor-Authentifizierung

Unternehmen müssen gemäß Artikel 32 der DSGVO angemessene technische und organisatorische Maßnahmen zum Datenschutz treffen. Ein starkes Passwort allein reicht jedoch nicht aus. Ähnlich wie bei Bankkarten ist ein zusätzlicher Sicherheitsfaktor notwendig.

Die Zwei-Faktor-Authentifizierung (2FA) bietet diesen Schutz, indem sie neben dem Passwort einen zweiten Authentifizierungsfaktor erfordert. Dies erhöht die Sicherheit erheblich und schützt sensible Daten vor unerwünschtem Zugriff und Datenschutzverletzungen.

Datenschutz im Fokus: Stand der Technik und aktuelle Vorgaben

Die Implementierung einer Zwei-Faktor-Authentifizierung für den Zugang zu Systemen, auf denen personenbezogene Daten verarbeitet werden, ist als Stand der Technik verpflichtend. Verschiedene Methoden stehen zur Verfügung, um die Zwei-Faktor-Authentifizierung umzusetzen. Die Verwendung von Apps bietet Unterstützung, Einmalkennwörter werden automatisch generiert (Bsp. Sophos Authenticator, Microsoft Authenticator).

Für die technische Einrichtung der Zwei-Faktor-Authentifizierung sollte der IT-Administrator oder ein IT-Dienstleister kontaktiert werden. Für rechtliche Aspekte ist hingegen der Datenschutzbeauftragte der richtige Ansprechpartner. Die ausgewählte Lösung muss datenschutzrechtlichen Vorgaben entsprechen, was je nach Anbieter nicht immer gegeben ist.

Weitere Informationen zur Zwei-Faktor-Authentifizierung finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik unter dem Thema „Zwei-Faktor-Authentisierung – mehr Sicherheit für Geräte und Daten“.

Zwei-Faktor-Authentifizierung: Effektive Risikoreduzierung für Datenzugriffe

Die Implementierung einer Zwei-Faktor-Authentifizierung erfordert zwar Aufwand, ist aber entscheidend, um Angriffe zu vereiteln und Ihr Unternehmen vor Datenpannen zu bewahren. Das Fehlen dieser Sicherheitsmaßnahme kann nicht nur zu unangenehmen Rückfragen seitens der Aufsichtsbehörden führen, sondern auch zu Bußgeldern gemäß der DSGVO. Es ist daher ratsam, diese zusätzliche Sicherheitsebene einzurichten, um finanzielle und rechtliche Konsequenzen zu vermeiden.

Die SMK Group steht als Ansprechpartner zur Verfügung – zögern Sie nicht, uns zu kontaktieren!