Die ersten Pflichten der KI-Verordnung sind nun in Kraft: Schon jetzt müssen Unternehmen, die KI einsetzen, die folgenden Aspekte der KI-Verordnung beachten:

1. KI-Kompetenz sicherstellen: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über ein ausreichendes Maß an KI-Kompetenz verfügen. Dazu gehören technische Kenntnisse, Erfahrung und eine angemessene Schulung im Umgang mit KI-Systemen.
2. Nutzungsrichtlinien implementieren: Für den Einsatz von KI-Systemen sollten klare Richtlinien aufgestellt werden. Diese sollten die zulässige Nutzung, die Kontrolle und die Einhaltung von Gesetzen und internen Regelungen festlegen.
3. Verbotene Praktiken beachten: Der Einsatz von manipulativer Beeinflussung oder emotionaler Überwachung durch KI-Systeme ist verboten.
4. Transparenz gewährleisten: Nutzerinnen und Nutzer müssen darüber informiert werden, wenn sie mit einem KI-System interagieren.
5. Risikobewertung durchführen: Unternehmen sollten prüfen, ob der Einsatz von KI-Systemen als Hochrisiko-KI-System einzustufen ist, da dies zusätzliche Anforderungen nach sich ziehen würde.
6. Dokumentation und Überwachung: Es müssen Maßnahmen zur Dokumentation, Qualitätssicherung und regelmäßigen Überwachung des KI-Systems umgesetzt werden.

Diese Anforderungen gelten unabhängig von der Unternehmensgröße und betreffen alle, die KI-Systeme entwickeln, bereitstellen oder nutzen. 

Wir unterstützen Sie gerne bei der Umsetzung dieser Anforderungen.

Die Rechtsanwaltskanzlei HÄRTING hat unseren Berater Martin Raasch eingeladen, beim 2. HÄRTING-KI-Tag am 28. November einen Vortrag mit Praxisbezug zu halten. Neben Rednern wie dem Hamburger Datenschutz-Beauftragen Thomas Fuchs, dem DSB a.D. Baden-Württembergs, Dr. Stefan Brink und Rebekka Weiß von Microsoft sprach Martin darüber, wie Bias in KI-Syteme gerät und was man dagegen unternehmen kann.

In einer interaktiven Demo zeigte Martin Raasch den Teilnehmenden anhand von Googles Teachable Machine, wie KI-Modelle trainiert werden können und wie sich dabei Bias einschleichen kann. Es ist erstaunlich, wie einfach das Training von KI-Modellen mittlerweile ist – so gibt es inzwischen sogar Spielzeuge, mit denen Kinder eigene KI-Modelle trainieren können. Für einfache Anwendungen reichen oft schon wenige hundert Bilder, um gute Vorhersagen zu erzielen. Doch wenn KI-Systeme auf biometrische Merkmale wie Stimme oder Aussehen trainiert werden, braucht es entweder große, repräsentative Datensätze oder vortrainierte Modelle, um Bias zu vermeiden. In unserem Beitrag beleuchteten wir drei Dimensionen, in denen Bias erkannt und vermieden werden kann:

1. Datenkontrolle: Die Trainingsdaten sollten zweckgerecht und sorgfältig ausgewählt werden.
2. Modellkontrolle: Modell-Vorhersagen müssen mit Testdaten überprüft werden.
3. Erklärbarkeit von Entscheidungen: Es ist wichtig zu verstehen, welche Datenpunkte welche KI-Features aktivieren.

Ein Highlight unserer Demo war der Einsatz synthetischer Trainingsdaten. Mit dem Open-Source-Modell Stable Diffusion erstellten wir 1.200 Bilder von nicht existierenden Personen und konnten diese erfolgreich für das Training einsetzen. Die Qualität des Modells verbesserte sich merklich durch den Einsatz solcher hochwertiger, künstlich generierter Daten. Dieses Thema stieß auf großes Interesse bei den Teilnehmenden, da synthetische Daten in den kommenden Jahren eine immer wichtigere Rolle für das Training und Testen von KI-Modellen spielen werden.

Martins Beitrag kann in Folge 62 des Podcasts Härting.fm nachgehört werden.

Für weitere Informationen zu KI und Datenschutz, KI im Unternehmen und zur Vorbereitung auf die kommende EU-KI-Verordnung kontaktieren Sie uns gerne unter: service@brainosphere.de.

Mit der Veröffentlichung der KI-Verordnung am 12. Juli 2024 ist der erste entscheidende Meilenstein zur Regulierung von Künstlicher Intelligenz in Europa gesetzt: Der genaue Wortlaut und die Fristen stehen fest. Das 140 Seiten umfassende Regelwerk bringt Herausforderungen mit sich. Wie bereits bei der DSGVO steht nun im Vordergrund, die komplexen Bestimmungen präzise zu interpretieren und konsequent anzuwenden.

Um das Thema greifbar zu machen, fassen wir hier die wichtigsten Anforderungen für Unternehmen zusammen, die KI mit allgemeinem Einsatzzweck (sogenannte General Purpose AIs, wie ChatGPT oder MS Copilot) nutzen oder einsetzen wollen:

1. Risikoanalyse durchführen: Stellen Sie sicher, dass Ihre KI keine verbotenen Anwendungen (Art. 5, Abs. 1 KI-VO) oder hochriskanten Verarbeitungen (Art. 6, Abs. 1 und Anhang III KI-VO) durchführt.

2. Transparenz gewährleisten: Erfüllen Sie alle Transparenzpflichten vor der ersten Interaktion der Betroffenen mit der KI. Dies umfasst auch die Kennzeichnung von KI-erstellten Inhalten.

3. Datenschutz einhalten: Achten Sie darauf, dass personenbezogenen Daten nur mit abgesicherter Rechtsgrundlage verarbeitet werden.

4. Unternehmensrichtlinie etablieren: Definieren Sie klare Einsatzszenarien und Verbote für den Umgang mit KI in Ihrem Unternehmen. Eine ausgewogene Richtlinie verhindert, dass zu viele Freiheiten Risiken schaffen oder übermäßige Einschränkungen zur Umgehung der Richtlinie führen.

5. Mitarbeiterschulung: Schulen Sie Ihre Belegschaft im Umgang mit KI. Dabei sollten insbesondere Fragen der Datenweitergabe und der sicheren Interpretation von KI-Ergebnissen im Vordergrund stehen.

6. Notfallplan erstellen: Definieren Sie Maßnahmen, um schnell auf Fehler oder falsche Entscheidungen der KI zu reagieren. Sorgen Sie dafür, dass diese Fehler schnell korrigiert werden können.

Übergangsfristen:

Februar 2025: Alle verbotenen Verarbeitungen müssen eingestellt werden, KI-Kompetenz erforderlich.

August 2025: Vorschriften für General Purpose AI (GenAI) treten in Kraft.

August 2026: Alle Vorschriften der KI-Verordnung sind gültig. Ausnahmen bestehen weiterhin für Hochrisiko-Systeme.

August 2027: Die Übergangsfrist für (fast alle) Hochrisiko-KI-Systeme endet. Einige wenige Ausnahmen für bestehende Systeme gelten mit einer Übergangsfrist bis 2030.

Verwendung von generativer KI im Unternehmen

In dieser Woche wurde im EU-Parlament die KI-Verordnung verabschiedet – das weltweit erste Gesetzeswerk für den Einsatz von KI und ein erster Schritt zur Regulierung von generativen künstlichen Intelligenzen.

Generative künstliche Intelligenzen sind Anwendungen, die nach entsprechendem Training Texte verstehen und dann im Dialog neue Inhalte in Text, Bild oder Code erzeugen. Ihre Möglichkeiten scheinen grenzenlos. Doch die KI kann und weiß eben doch nicht alles. Rechtliche Grenzen und manchmal simple Regeln menschlichen Umgangs müssen Sie selbst sicherstellen. Mit alltagstauglichen Einsatzregeln ist das möglich.

Die verabschiedete EU-KI-Verordnung wird mit einer Übergangsfrist von zwei Jahren erst 2026 in Kraft treten. Ein sicherer und rechtskonformer Einsatz von KI-Anwendungen ist aber mit Kenntnis der neuen Rechtslage schon jetzt möglich. 

Zentraler Punkt der neuen Gesetzgebung ist die notwendige Risikobewertung. Vor der Verwendung von KI im Unternehmen sollte das Risiko des KI-Einsatzes in folgenden Bereichen geprüft werden: Datenschutz, IT-Sicherheit und Geschäftsgeheimnisse. In allen drei Bereichen muss das Risiko niedrig sein, sonst scheidet die Nutzung der KI erstmal aus.

Auch die DSGVO steht der Verwendung Künstlicher Intelligenz nicht grundsätzlich entgegen. Soweit personenbezogene Daten bei der Nutzung von KI verarbeitet werden, gelten die Spielregeln des Datenschutzes.

Für den KI-Alltag ergeben sich aus der neuen Verordnung in Verbindung mit der DSGVO und den Veröffentlichungen der Aufsichtsbehörden vorerst folgende zehn Empfehlungen:

1. Entscheidungen trifft der Verantwortliche immer selbst. Die KI darf nie eine letzte Entscheidung fällen.
2. Es werden keine personenbezogenen Daten mit der KI geteilt. Prompts und Dokumente, die hochgeladen werden, dürfen keine Informationen über Kunden, Geschäftspartner oder sonstige Dritte enthalten.
3. Es werden der KI keine Geschäftsgeheimnisse offenbart.
4. Es werden der KI keine Daten zum Lernen zur Verfügung gestellt. Opt-Out, um der Verwendung zu Trainingszwecken zu widersprechen.
5. Im medizinischen Bereich wird KI nicht eingesetzt, solange es keine explizite Rechtsgrundlage dafür gibt.
6. Es wird kritisch geprüft, ob das von der KI generierte Material urheberrechtlich geschützt ist.
7. Nur zugelassene KI-Tools, die vorher mit der IT und dem Datenschutzbeauftragten abgestimmt wurden, werden eingesetzt.
8. Da generative KI teilweise Fakten frei erfindet („halluzinieren“), werden Ergebnisse der KI auf Richtigkeit und Diskriminierung geprüpft.
9. Es muss Transparenz geschaffen werden, indem Kollegen und Geschäftspartner informiert werden, wenn KI eingesetzt wird.
10. KI ist Teamwork. Besonders, solange alle Beteiligten noch dazulernen, muss es einen regelmäßigen Austausch mit Kollegen, der IT und dem Datenschutzbeauftragten geben.

In jedem Fall gilt ohne Kompromisse: Es werden keine vertraulichen Informationen und Geschäftsgeheimnisse an die KI weitergegeben! 

Auch die Wahl des Anbieters ist wichtig. Als Orientierung: Zu den renommierten KI-Anbietern gehören:

• OpenAI (Chat GPT, Dall-E etc.)
• Anthropic (Claude)
• GitHub (Copilot)
• Google (Bard, Gemini)
• Microsoft (Bing Chat, Image Creator, MS Copilot)
• Stable Diffusion
• Adobe (Firefly, Sensei etc.)

Bei diesen Anbietern besteht ein geringeres Risiko für Datenschutzverstöße als bei Ihnen unbekannten KI-Startups.

Einsatzszenarien

Texte schreiben

Ohne Zögern und Nachdenken formuliert KI Texte. Insbesondere ChatGPT kann gut Texte gliedern  oder Rumpftexte schreiben. Wenn Sie die genannten Regeln beachten, kann KI den Aufwand für das Schreiben von Texten drastisch minimieren.

Denn es stimmt nicht alles, was die KI schreibt. Sie prüfen das Ergebnis jedes einzelne Mal selbst auf erfundene Quellenangaben, Entgleisungen und überarbeiten den Text.

Wichtig: Weder personenbezogene Daten noch Firmeninterna verlassen das Haus.

Illustrationen erstellen

Einige KI-Systeme, insbesondere Midjourney und DALL-E von OpenAI bieten die Möglichkeit, Bilder und Illustrationen zu erzeugen. Die Illustrationen für diesen Artikel wurden mit DALL-E erstellt. 

Wie bei Texten auch, müssen Sie immer das Ergebnis prüfen, um Image-Schaden vom Unternehmen abzuwenden. KI orientiert sich an existierenden Vorbildern und das schlimmstenfalls bin hin zum Plagiat. Aber auch sachliche Fehler wie dreiarmige Menschen kommen vor. Solche Inhalte verwenden Sie nicht und prüfen außerdem auf Diskriminierung. 

Sie nennen immer die Plattform in den Photo Credits.

Wichtig: Weder personenbezogene Daten noch Firmeninterna verlassen das Haus.

Log-Files auswerten

KI-Systeme können uns von einer der eintönigsten Arbeiten des digitalen Zeitalters befreien und gleichzeitig wertvolles Wissen beisteuern. Selbstverständlich prüfen Sie zuvor manuell, ob sich personenbezogene oder vertrauliche Informationen in den Logfiles befinden.

Wichtig: Keine personenbezogenen Daten, Passwörter, oder vertrauliche Infrastruktur-Informationen verlassen das Haus.

MS-Office-Erweiterungen entwickeln

Generative KI kann für die Programmierung von Office-Erweiterungen in VBA und C# eingesetzt werden. Insbesondere GitHub Copilot und ChatGPT verfügen über beeindruckende Programmierfähigkeiten. KI kann bestehenden Code analysieren und dabei helfen, Funktionen zu ergänzen.

Sie teilen keine APIKeys, Passwörter oder sensiblen Code.

Wichtig: Keine Daten verlassen das Unternehmen, da der Code lokal ausgeführt wird.

Die Anwendungsfälle werden weiter zunehmen. Neben dem Schreiben kommt das Übersetzen und Gestalten von Präsentationen und Schulungsunterlagen hinzu. Statistiken können blitzschnell ausgewertet werden – sofern sie keine personenbezogenen Daten enthalten. Veranstaltungen können geplant werden – aber ohne Gästemanagement.

Fazit

Es gibt keinen datenschutzrechtlichen Grund, KI grundsätzlich abzulehnen. Durch transparente Regeln und die Zusammenarbeit mit verlässlichen Anbietern können Unternehmen sicherstellen, dass KI-Anwendungen rechtskonform und verantwortungsbewusst eingesetzt werden.

Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind.

Was ist das Whistleblower-Gesetz?

Mit dem Hinweisgeberschutzgesetz, das seit dem 2. Juli 2023 gilt, hat sich Deutschland daran gemacht, die EU-Richtlinie zum Schutz von Hinweisgebern (Whistleblowern)  in nationales Recht zu übertragen. 

Was ist das Ziel des Gesetzes? Es soll den Rücken von Personen stärken, die auf Missstände im Job aufmerksam machen. Unternehmen mit über 50 Beschäftigten müssen nun interne Meldestellen einrichten. Für bestimmte Unternehmen der Finanzbranche ist die Einrichtung einer Meldestelle unabhängig von der Mitarbeiterzahl Pflicht.

Die Aufgabe der Meldestellen: Sie müssen unter Wahrung der Vertraulichkeit Meldungen entgegennehmen, bewerten und gegebenenfalls Ermittlungen gegen die beschuldigte Person einleiten.

Das Fehlen einer Hinweisgeberstelle kann das Unternehmen 20.000 Euro kosten. Wer eine Meldung verhindert, muss bis zu 50.000 Euro zahlen.

Wie funktioniert die Meldung?

Meldungen können grundsätzlich mündlich oder in Textform abgegeben werden. Die Einrichtung einer Hotline mit einem befähigten Gegenüber ist genauso zulässig wie z.B. die Benennung einer Vertrauensperson. Die Meldung kann sowohl mündlich als auch in Textform abgegeben werden, was elektronische Meldungen einschließt. Um die Anonymität der Hinweisgeber zu schützen und Ressourcen zu schonen, verwenden viele Unternehmen Online-Plattformen, die von einer Vielzahl von Anbietern bereitgestellt werden.

In der Regel verläuft der Meldeprozess bei Online-Meldestellen nach dem folgenden Schema ab: 

Der Hinweisgeber nutzt das sichere Online-Formular des Fallmanagement-Systems, um die Meldung über den vermuteten Missstand oder Verstoß einzureichen. Dies kann eine Beschreibung des Vorfalls, Namen von Personen oder Abteilungen, Orte und Daten sowie andere relevante Details umfassen. Der Hinweisgeber sollte die Möglichkeit haben, eine Meldung anonym abzugeben, kann aber auch entscheiden, unter Angabe der Identität zu melden.

Nachdem die Meldung online eingereicht wurde, erhält der Hinweisgeber automatisch, spätestens aber nach sieben Tagen, eine Bestätigung über den Eingang seiner Meldung. Wird die Meldung vom Meldestellenverantwortliche (auch Ombudsmann genannt) als relevant eingestuft, koordiniert dieser anschließend das gesamte Verfahren. 

Der Ombudsmann informiert innerhalb von drei Monaten den Hinweisgeber über den Fortschritt der Untersuchung und die ergriffenen Maßnahmen und fordert bei Bedarf weitere Dokumente und Informationen beim Hinweisgeber an. Wenn die Untersuchung Verstöße oder Missstände bestätigt, wird ein internes Ermittlungsverfahren durchgeführt. 

Das Verfahren endet, wenn die Untersuchung abgeschlossen ist und alle erforderlichen Maßnahmen ergriffen wurden. Der Ombudsmann übermittelt dem Hinweisgeber das Ergebnis der Ermittlungen, soweit dies mit gesetzlichen Verschwiegenheitspflichten vereinbar ist. Üblicherweise wird die Meldung zusammen mit allen zum Fall gehörenden Ermittlungsergebnisse und Dokumente an diesem Punkt archiviert und aus dem Hinweisgeber-System entfernt. 

Kann eine interne Meldestelle extern beauftragt werden? 

Die Einrichtung und der Betrieb einer internen Meldestelle im eigenen Hause gemäß dem Hinweisgeberschutzgesetz kann für Unternehmen aus verschiedenen Gründen unpraktisch sein. 

Zunächst besteht das Risiko von Interessenkonflikten. Ein intern beauftragter Ombudsmann könnte befangen sein, insbesondere wenn die Meldung gegen Kollegen oder Vorgesetzte gerichtet ist. Die Objektivität und Unabhängigkeit der Untersuchung könnten dadurch beeinträchtigt werden. 

Zweitens ist der Betrieb einer internen Meldestelle arbeitsintensiv und erfordert spezielle Kompetenzen und Schulungen, die zusätzliche Ressourcen beanspruchen. Nicht jedes Unternehmen kann auf qualifizierte Mitarbeiter zurückgreifen, die unter Berücksichtigung der Vertraulichkeit und der nötigen Fachkunde für die Rolle des Ombudsmannes in Frage kommen.

Drittens werden bei internen Meldestellen sensible Daten verarbeitet, was eine Herausforderung hinsichtlich des Datenschutzes darstellt. 

Ein externer Dienstleister kann dieses Dilemma lösen, indem er Unabhängigkeit und Fachkenntnis bietet und das Unternehmen von der Verwaltung der Meldestelle entlastet​​. Die Meldestelle bleibt auch bei externer Vergabe eine interne Meldestelle. Externe Meldestellen sind im Gesetz gesondert geregelt und werden u.a. vom Bund eingerichtet.

Welche datenschutzrechtlichen Verträge sind notwendig?

Bei der Einrichtung einer Meldestelle liegt die Verantwortung für die Verarbeitung personenbezogener Daten beim verantwortlichen Unternehmen, auch wenn sie von externen Dienstleistern betrieben wird.

In Unternehmensgruppen hängt die Vertragsart für die Datenverarbeitung beim gemeinsamen Betrieb eines Hinweisgebersystems davon ab, wie die Verarbeitung organisiert ist. Bei gemeinsamer Verantwortlichkeit, typischerweise wenn mehrere Konzerngesellschaften die Mittel und Zwecke gemeinsam bestimmen (was bei einem gemeinsamen Datenpool der Fall sein dürfte), wird eine entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controller Agreement) nach Art. 26 DSGVO benötigt. 

Die Bereitstellung des Tools für die interne Meldestelle durch einen Dienstleister (egal ob intern oder extern) ist in jedem Fall Auftragsverarbeitung und muss vertraglich geregelt werden.

Braucht es eine Datenschutzfolgenabschätzung (DSFA) für die Verarbeitung im Rahmen der internen Meldestelle?

Im Jahr 2018 hat die Datenschutzkonferenz in einer Orientierungshilfe ohne weitere Begründung festgestellt, dass ein Verfahren zur Meldung von Missständen aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegt. Zu diesem Zeitpunkt war die Einrichtung einer internen Meldestelle noch eine freiwillige Maßnahme. Seit der Einführung des Hinweisgeberschutzgesetzes, ist der Sachverhalt jedoch völlig anders und die Orientierungshilfe der Aufsichtsbehörden sollte überarbeitet oder zurückgezogen werden. Im Gegensatz zum österreichischen Gesetzgeber hat es der Deutsche Bundestag leider versäumt, die DSFA gleich mit ins Gesetz zu schreiben. Es stellt sich die Frage, warum eine vom Gesetzgeber geforderte automatisierte Verarbeitung (hier: Meldung in Textform), die unter Einhaltung der Anforderungen der DSGVO (Artikel 25, 28 und 32) implementiert wird überhaupt zu einem hohen Risiko, das im Rahmen einer DSFA gesondert geprüft werden muss, führen kann. Dass Aufsichtsbehörden und Berater die Notwendigkeit einer DSFA bejahen ist nur verständlich, aber rechtlich begründet ist es nicht.

Seit einem halben Jahrzehnt ist die DSGVO in Kraft. Zu Beginn haben wir alle mit viel Energie versucht, dem detaillierten Regelwerk gerecht zu werden. Doch da die enthaltenen Löschfristen anfangs noch in weiter Ferne lagen, hatte ihre Umsetzung oft keine hohe Priorität. Inzwischen sitzen viele Unternehmen auf Bergen von Daten, die eigentlich längst gelöscht sein sollten.
Wissen Sie, welche Daten wann in Ihrer Organisation gelöscht werden müssen?

Das Datenleck bei Motel One: Ein kurzer Überblick

Ende September 2023 wurde die Hotelkette Motel One Opfer eines groß angelegten Hackerangriffs. Millionen Kundendaten  landeten im Darknet. Darunter waren die komplette Gästeliste seit 2016, private Rechnungsadressen und Geburtsdaten von Kunden, interne Geschäftszahlen aber auch Handynummern von Beschäftigten. Besonders brisant: 150 Kreditkartendaten von Gästen, wie Motel One bestätigen musste.

Die Konsequenzen

Für Motel One ist das Datenleck ein Desaster. Das Unternehmen verliert Vertrauen bei seinen Kunden und Mitarbeiterinnen – denn auch deren Daten sind betroffen, sofern sie auf Reisen selbst Gäste ihres Arbeitgebers waren.

In Deutschland führten schon kleinere Fälle zu sechsstelligen Bußgeldzahlungen.
Bereits für das Fehlen von klar definierten Löschregeln für personenbezogene Daten wurden in der Vergangenheit schmerzhafte Strafzahlungen verhängt. 

Betroffene können online leicht Ansprüche prüfen – eine Klagewelle gegen Motel One ist zu erwarten.
Dazu der immense Reputationsverlust: Wer den Datenschutz missachtet, dem wird auch in anderen Bereichen Nachlässigkeit unterstellt.

Die Idee “Der Staat müsste sich mehr um Datensicherheit kümmern” zeugt von Unverständnis: Wer Daten verarbeitet, ist für die Sicherheit der Daten verantwortlich.

Die Blamage und der wirtschaftliche Schaden wären viel kleiner ausgefallen, wenn das Unternehmen Zeit in ein sinnvolles Löschkonzept investiert und auch gelöscht hätte. Gelöschte Daten können nicht mehr gestohlen werden.
Das Paradoxe dabei: Wir müssen viele Daten aufbewahren.  Je weniger exponiert die Daten mit langer Aufbewahrungsfrist gespeichert werden (z.B. in speziell gesicherten Archiv-Systemen), desto kleiner ist das Risiko für Ihr Unternehmen.

Was man nicht mehr braucht, muss weg

Alle Daten ohne rechtliche Aufbewahrungspflicht oder bei denen der Zweck der Verarbeitung nicht mehr vorliegt, müssen gelöscht werden. Ein effektives, gut in das Unternehmen integriertes Löschkonzept kann das sicherstellen. Es schützt Reputation, Kundenvertrauen und Finanzen im Falle eines Cyberangriffs vor Schaden.

Löschkonzept

Ein Löschkonzept ist ein strukturierter Ansatz zur Datenverwaltung, der den gesamten Lebenszyklus der Daten von der Erhebung bis zur Löschung abdeckt. Es hilft Unternehmen, veraltete und nicht mehr benötigte Daten sicher zu entfernen und somit die Risiken von Datenlecks zu minimieren. Doch ein Löschkonzept geht über die bloße Löschung hinaus. Es umfasst auch die Prüfung der Rechtmäßigkeit der Datenspeicherung und die Implementierung effektiver Sicherheitsmaßnahmen zum Schutz der Daten.

Was müssen Sie tun?

1. Bestandsaufnahme: Prüfen sie alle Verarbeitungstätigkeiten im Unternehmen

Welche Datenkategorien werden verarbeitet und welche Löschfristen bestehen für diese Daten? Die Löschfrist ergibt sich in der Regel aus der Rechtsgrundlage zur eigentlichen Verarbeitung. Es können aber auch weitere gesetzliche Verpflichtungen zur Aufbewahrung bestehen, die sie berücksichtigen müssen.

Beispielsweise könnten Geschäftsbriefe, die zu keinem Abschluss geführt haben, aus Sicht eines Unternehmens vernichtet werden. Die Steuergesetzgebung schreibt jedoch vor, dass Geschäftsbriefe 6 Jahre aufbewahrt werden müssen. 

2. Definition von Löschklassen und Löschregeln
   Um die Komplexität der Löschanforderungen überschaubar zu halten, definieren sie Löschklassen. Das sind Gruppen von Daten, für die gleiche Aufbewahrungsfristen bestehen. Die Zuordnung von Löschklassen zu den einzelnen Verarbeitungsschritten der Verarbeitung erlaubt die Ableitung von Löschregeln. Löschregeln definieren für jede Verarbeitung, welche Daten konkret wann gelöscht werden müssen.

3. Die Implementierung eines effektiven Löschkonzepts kann anspruchsvoll sein, doch mit der richtigen Unterstützung ist es durchaus machbar. Brainosphere hat Erfahrung bei der Erstellung und Umsetzung von umfangreichen Löschkonzepten auch in Konzernstrukturen. Gerne helfen wir auch Ihrem Unternehmen, datenschutzkonform zu arbeiten. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihr Löschkonzept zu erarbeiten und umzusetzen.

Für Unterstützung beim Thema Löschkonzept, kontaktieren Sie uns gerne unter service@brainosphere.de.

Die EU-Kommission hat 10.7.2023  einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO.

Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung sensibler Daten nur noch mit zusätzlichem Aufwand möglich.

Das Urteil des EuGH damals: Personenbezogene Daten dürfen nur in Länder übertragen werden, deren Datenschutz so streng ist wie der europäische. Diese Bedingung erfüllten die USA aus Sicht der Richter nicht, da US-Behörden trotz “Privacy Shield” fast ungehindert Zugang zu den Daten von EU-Bürgern hatten, wenn diese auf US-Servern lagen. Außerdem existierte kein angemessener Rechtsschutz für EU-Bürger, die gegen die Nutzung ihrer Daten vorgehen wollten.

Geklagt hatte der österreichische Datenschutzaktivist Max Schrems gegen die Übertragung von Daten durch Facebook aus Europa in die USA. Dort hätten NSA und FBI legal Zugriff auf persönliche Daten von Europäern. 

Das sahen die Richter am EuGH genauso. Das Urteil wurde als Schrems-II bekannt und machte den EU-US Privacy Shield über Nacht ungültig. Betroffen war somit nicht nur Facebook, sondern auch Microsoft, Google, Apple, Yahoo und jeder andere Serviceanbieter mit Kunden in Europa.

Aber auch die Datenschutzerklärungen vieler europäischer Unternehmen wurden hinfällig.

Wer danach immer noch personenbezogene Daten in die USA übertragen wollte, musste dafür Standardvertragsklauseln (SCC) abschließen und ein Transfer Impact Assessment (TIA) durchführen.

Was ändert sich?

Das EU-U.S. Data Privacy Framework (DPF) schafft eine allgemein gültige Rechtsgrundlage für Datentransfers in die USA. Es wird wieder deutlich einfacher, personenbezogene Daten in den USA zu speichern oder zu verarbeiten. Die bislang erforderlichen Maßnahmen hatten gerade für kleinere Unternehmen oft erheblichen Aufwand bedeutet. 

Was ist zu tun?

• Voraussetzung ist, dass das US-Unternehmen auch beim Department of Commerce (DOC) zertifiziert ist. Solche Anbieter sind in der Data Privacy Framework List aufgeführt. 
• Für alle anderen US-Datenverarbeiter ändert das neue Abkommen überhaupt nichts. In diesen Fällen gelten die gleichen Regeln wie für Unternehmen aus Ländern ohne Angemessenheitsbeschluss. Prüfen Sie also, ob Ihre Vertragspartner dem DPF beigetreten sind.
• Vorhandene SCC bleiben bis dahin nötig, sollten also nicht gekündigt werden, bis Sie einen neuen DPF-basierten Vertrag mit Ihrem US-Partner abgeschlossen haben.
• Prüfen Sie, ob Sie Ihre Datenschutzdokumentation anpassen müssen. Datenschutzerklärung, Informationspflichten und Ihr Verzeichnis von Verarbeitungstätigkeiten können betroffen sein.

Wie geht es weiter?

Damit das Data Privacy Framework ausgehandelt werden konnte, erließ US-Präsident Joe Biden am 07.10.2022 eine Executive Order. Darin wird den US-Geheimdiensten weiterhin Zugriff auf die Daten von Europäern gestattet. Genau dieser Zugriff aber war in der Vergangenheit Grund für die Ablehnung der Vorgängerabkommen durch den EuGH. 

Bidens Präsidentenerlass legt nun fest, dass der Datenzugriff der Geheimdienste “verhältnismäßig” sein solle. Ob das dem “angemessenen” Schutz personenbezogener Daten genügt, den die DSGVO fordert, wird den Europäischen Gerichtshof bald wieder beschäftigen. 

In Bezug auf den Rechtsschutz gibt es einen Fortschritt: EU-Bürger können jetzt nicht nur Beschwerde gegen die Verarbeitung ihrer Daten einlegen, sondern auch vor einem US-Gericht dagegen klagen.

Die Datenschutzbeauftragten von Hessen, Niedersachsen und Thüringen gehen nicht davon aus, dass das Data Privacy Framework dauerhaft Bestand haben wird. Max Schrems hat seine Einwände gegen das EU-U.S. Data Privacy Framework bereits öffentlich gemacht. Seine Klage dürfte folgen.

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick.

tl; dr

1. Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO implementierten wollte, einige strukturelle Mängel aufweist.
2. Diese strukturellen Mängel wurden auch durch höchstrichterliche Urteile und die Diskussion um einen harten Brexit, der uns glücklicherweise erspart geblieben ist, deutlich.
3. Folgende Mängel der DSGVO haben wir in diesem Jahr immer wieder beobachten können:
   • Die Theorie vom relativen Personenbezug (Urteil in der Rechtssache C‑582/14 Patrick Breyer von 2016), die die DSGVO praktisch nahtlos übernommen hat, ist in der Praxis viel zu weit gefasst.
   • Die Verarbeitung von pseudonymen Daten wird in der DSGVO nicht ausreichend privilegiert bzw. es werden die Verarbeiter von pseudonymen Daten nicht ausreichend von unnötigen Pflichten befreit.
   • Die Haushaltsausnahme ist mit der DSGVO zu eng gefasst.
   • Der Begriff des Verantwortlichen ist hingegen zu weit gefasst.
   • Die Hersteller von Produkten, die eine Verarbeitung von anonymen, pseudonymen oder evtl. personenbezogenen Daten erforderlich machen, werden durch die DSGVO nicht adressiert bzw. nur über die Bande des sog. Verantwortlichen reguliert.
   • 18 unabhängige Aufsichtsbehörden in Deutschland führen nicht zu einer einheitlichen Auslegung der DSGVO.

Corona-Warn-App

Die Diskussionen um die Corona-Warn-App zeigen exemplarisch, dass es entgegen der von Datenschützer*innen hier, hier und hier vertretenen Auffassung weiterhin einige Kritikpunkte auch aus Sicht des Datenschutzes gibt. So hat sich das höchste europäische Datenschutzgremium, der Europäische Datenschutzausschuss – EDSA (englisch: European Data Protection Board; EDPB) am 21. April 2020 recht früh festgelegt, dass es für Contakt-Tracing-Apps nicht erforderlich ist, dass der Ort von individuellen Usern verfolgt wird. Stattdessen sollen Näherungsdaten (proximity data) verwendet werden. Apple und Google haben festgelegt, dass das gemeinsame Exposure Notification Framework (ENF), das die Grundlage vieler Covid19-Apps wurde, aus Datenschutz- und Sicherheitsgründen keine Standortdaten an Gesundheitsbehörden und auch nicht an die eigenen Server weiter gibt. Nachdem wir nun seit dem Sommer wissen, dass „es auf die Cluster ankommt„, stellt sich schon die Frage, wie eine vernünftige elektronische Unterstützung ohne Geo-Lokalisierung auskommen kann. Die Antwort lieferte das RKI am 28.12.2020 mit Version 1.10.1 der Corona-Warn-App: einfach mal den Ort händisch eintippen. Die Implementierung einer seit über 10 Jahren üblichen „Check-In“-Funktion war scheinbar nicht möglich. Ebenso gibt es keinen Zugriff auf das lokale Adressbuch und den Kalender. Warum eigentlich nicht, wenn nicht aus Datenschutzgründen?

Datenschutz-Folgenabschätzung (DSFA)

Und damit kommen wir zu den Mängeln der DSGVO, die bei der Beurteilung der Corana-Warn-App aus Sicht des Datenschutzes deutlich werden. Das RKI als verantwortliche Stelle hat gemeinsam mit den Dienstleistern T-Systems und SAP sowie der Kanzlei Schürmann Rosenthal Dreyer eine bemerkenswerte Datenschutz-Folgenabschätzung (DSFA) vorgelegt. Bemerkenswert in zweierlei Hinsicht. Erstens ist es die derzeit wohl umfangreichste veröffentlichte DSFA im deutschsprachigen Raum (117 Seiten Bericht plus 297 Seiten Anlagen mit über 200 einzeln betrachteten Risiken). Noch überraschender ist aber das Ergebnis: Es bestehen nämlich laut DSFA hohe Restrisiken für die Betroffenen, die vom Verantwortlichen (dem RKI) nicht beseitigt werden können, schon weil die Corona-Warn-App auf Diensten von Google und Apple aufsetzt. Wohlgemerkt handelt es sich bei den vom RKI angeblich im ersten Schritt verarbeiteten Daten um stark pseudonymisierte Schlüssel aus dem ENF von Google und Apple, die ausschließlich im Speicher der Telefone der Betroffen liegen. Es ist insofern überraschend, dass für diese im ersten Schritt vom Betroffenen freiwillig auf dem eigenen Telefon verarbeiteten Daten, bei denen es unklar ist, ob überhaupt jemand mit vertretbarem Aufwand einen Personenbezug herstellen kann, die DSGVO Anwendung finden und das RKI (als Hersteller der App) dafür verantwortlich sein soll. Aber der Gesetzgeber und viele Datenschützer*innen wünschten sich offenbar eine strenge Auslegung des Haushaltsprivilegs. Es gibt sogar Datenschützer*innen, die die Auffassung vertreten, dass z.B. die Überprüfung einer Corona-App im Rahmen einer Einlasskontrolle  der DSGVO unterliegen soll (Zitat: „Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem„).

Microsoft Office 365 und Zoom

Etwas anders gelagert, aber gleichfalls betroffen von den Mängeln der DSGVO, ist die möglicherweise rechtswidrige Nutzung von Microsoft Office 365 mit Teams oder der beliebten Anwendung von Zoom in den Zeiten von Social Distancing und Homeoffice. Hier soll nicht etwa der Hersteller der Software für etwaige Datenschutzmängel zuständig sein, sondern der Nutzer der Software wie z.B. die örtliche Schulleitung. Schließlich stellt sich am Beispiel von Zoom schon die Frage, warum die Firma B verantwortlich ist, wenn ihr Mitarbeiter Herr A eine Einladung für eine Videokonferenz an Herrn C von der Firma D verschickt. Dabei hat Firma D doch ebenfalls einen Business Account bei Zoom und eine AVV abgeschlossen. Es könnte ja auch das Telekommunikationsgeheimnis zur Anwendung kommen und dann wäre der Dienstanbieter verantwortlich. Aber statt solche praktischen Lösungsvorschläge zu überlegen, beschenkt man sich bei den Aufsichtsbehörden lieber mit Nebelkerzen (Hashtag: #dsgvowirkt). 

Drittstaatentransfer

Ein weiterer unmittelbarer Konstruktionsfehler der DSGVO zeigt sich beim Drittstaatentransfer rund um die Artikel 44 ff. DSGVO. So musste die große Mehrheit der europäischen Unternehmen am 16.7.2020 nach dem Urteil des EuGH in Sachen Schrems II (gegen Facebook) überrascht feststellen, dass Teile Ihrer Datenverarbeitung unzulässig sind. Jedenfalls die Teile bei denen eine Übermittlung in die USA (z.B. durch den Einsatz von Subunternehmern) nicht ausgeschlossen werden konnte. Dabei ist es doch relativ unwahrscheinlich, dass eine betroffene Arbeitnehmerin z.B. an der Einreise in die USA gehindert wird, weil amerikanische Behörden sich ohne richterlichen Beschluss Zugang zu ihrer dienstlichen IP Adresse verschafft haben. Interessanterweise wurde die Interessenabwägung beim Drittstaatentransfer im Rahmen des Trilogs aus dem Gesetz gestrichen. Auch hier bemühten sich die Aufsichtsbehörden redlich, konnten aber nicht wirklich behilflich sein.

Cookies

Beim Thema Cookies gab es ein bemerkenswertes Urteil des BGH aus dem Mai, das zwar dazu führte, dass wir jetzt auch in Deutschland überall Consent Management Plattformen einsetzen. Ansonsten ist allerdings die Sanktionierung für Verstößen in diesem Bereich weitgehend unklar.

Bußgelder gegen 1&1, AOK und H&M

Ein weiteres hervorzuhebendes Thema ist das sog. Bußgeldkonzept der deutschen Aufsichtsbehörden. Durch drei interessante Bußgeldverfahren wurde in diesem Jahr zweierlei deutlich: Im Verfahren gegen 1&1 vor dem Landgericht Bonn zeigte sich, dass die Bußgelder unangemessen hoch sind. Im Verfahren gegen H&M zeigte sich, dass auch ein noch so hohes Bußgeld vom Beschuldigten akzeptiert wird, wenn die befürchteten Schäden durch eine medienwirksame Auseinandersetzung mit der Aufsichtsbehörde unkalkulierbar werden könnten. Gleiches dürfte sich auch die AOK gedacht haben, nachdem der Datenschutzbeauftragte von Baden-Würtemberg offenbar sogar mit einem Durchsuchungsbefehl um die Ecke kam.

Aber es gab auch gute Nachrichten in 2020: Einige Projekte konnten erfolgreich abgeschlossen werden, wir haben freundliche neue Kunden gewonnen und Martin hat im Podcast von Härting über die Einführung eines Datenschutz-Managements-Systems mit agilen Methoden berichtet.

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2021!

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg.

Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch keinen Einstieg in die neue Gesetzgebung gefunden haben, hilft evtl. der von uns entwickelte 10-Punkte-Plan:

1. Aktualisieren Sie die Datenschutz-Erklärung Ihrer Website. Ein gutes Muster finden Sie beim Anwaltsverein. Etwas komfortabler geht es bei Thomas Schwenke (Kosten ab 99 EUR).
2. Kümmern Sie sich um die Informationspflicht gegenüber Kunden, Mandanten, Patienten, Beschäftigten oder Bewerbern. Eine gute Praxishilfe finden Sie hier.
3. Schalten Sie Ihre Video-Überwachung ab oder kümmern sich wenigstens um die Informationspflicht sowie die Beschilderung. Wie das geht, erfahren Sie beim LfD Niedersachsen.
4. Analysieren Sie Ihre CRM-Daten und die Prozesse beim E-Mail-Marketing. Warum Sie dabei nicht in Panik geraten sollten, erfahren Sie von Martin Schirmbacher.
5. Verzichten Sie auf Facebook Custom Audience und arbeiten Sie die Checkliste zu Google Analytics von Nina Diercks ab.
6. Überlegen Sie sich interne Prozesse zum Auskunftsrecht und zur Meldepflicht bei Datenpannen.
7. Benennen Sie einen DSB ab 10 Beschäftigten (Artikel 37 & § 38 BDSG) und teilen dessen Kontaktdaten (E-Mail-Adresse) der Aufsichtsbehörde mit.
8. Schulen Sie Ihre Beschäftigten und verpflichten Sie sie auf die DSGVO. Ein gutes Muster erhalten Sie vom Bayerischen Landesamt für Datenschutzaufsicht.
9. Beginnen Sie mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie Gesundheitsdaten verarbeiten, denken Sie an die Risikoanalyse. Vergessen Sie nicht die TOM-Liste.
10. Erstellen Sie eine Übersicht Ihrer Auftragsverarbeiter. Eine Übersicht mit 100 Beispielen finden Sie hier.