<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:wfw="http://wellformedweb.org/CommentAPI/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:sy="http://purl.org/rss/1.0/modules/syndication/" xmlns:slash="http://purl.org/rss/1.0/modules/slash/" > <channel> <title>Dr. Datenschutz</title> <atom:link href="https://www.dr-datenschutz.de/feed/" rel="self" type="application/rss+xml" /> <link>https://www.dr-datenschutz.de/</link> <description>Aktuelles zu Datenschutz, Recht und IT</description> <lastBuildDate>Fri, 22 Nov 2024 17:41:14 +0000</lastBuildDate> <language>de</language> <sy:updatePeriod> hourly </sy:updatePeriod> <sy:updateFrequency> 1 </sy:updateFrequency> <generator>https://wordpress.org/?v=6.6.2</generator> <image> <url>https://www.dr-datenschutz.de/wp-content/uploads/2020/07/cropped-favicon-32x32.png</url> <title>Dr. Datenschutz</title> <link>https://www.dr-datenschutz.de/</link> <width>32</width> <height>32</height> </image> <item> <title>Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit</title> <link>https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/</link> <comments>https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/#respond</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Fri, 22 Nov 2024 16:39:11 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Hacker]]></category> <category><![CDATA[IT-Sicherheit]]></category> <category><![CDATA[KI]]></category> <category><![CDATA[Verschlüsselung]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69292</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/" title="Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" fetchpriority="high" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Wem das Thema der Quantencomputer untergekommen ist, dem ist wahrscheinlich auch seine Relevanz für die IT-Sicherheit bewusst. Insbesondere wenn anscheinend einer der prominentesten Punkte „Das Ende für unsere Verschlüsselung“ ist. Dazu hier ein Überblick, was es damit auf sich hat und wofür Quantencomputer genutzt werden können und wofür nicht. Quantencomputer: Unterschied zu regulären Computern Bevor [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/" title="Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-43-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Wem das Thema der Quantencomputer untergekommen ist, dem ist wahrscheinlich auch seine Relevanz für die IT-Sicherheit bewusst. Insbesondere wenn anscheinend einer der prominentesten Punkte „Das Ende für unsere Verschlüsselung“ ist. Dazu hier ein Überblick, was es damit auf sich hat und wofür Quantencomputer genutzt werden können und wofür nicht.<span id="more-69292"></span></p> <h2>Quantencomputer: Unterschied zu regulären Computern</h2> <p>Bevor wir uns tiefergehend mit Quantencomputern beschäftigen, ist es sinnvoll zu veranschaulichen, wie sich diese von unseren herkömmlichen Computern unterscheiden. Unsere heutigen Supercomputer arbeiten auf denselben Prinzipien, wie die PCs, Laptops, Tablets oder Smartphones, mit dem dieser Blog gelesen werden kann. Quantencomputer bringen jedoch neue Prinzipien mit. Neu in der Form, dass Physiker sich bereits vor über 100 Jahren mit der Quantenphysik beschäftigt haben. Insbesondere die folgenden Prinzipien sind dabei ausschlaggebend:</p> <ul> <li><strong>Superposition:</strong><br /> Klassische Computer arbeiten bekannterweise auf sogenannten Bits, die entweder den Wert „0“ oder „1“ haben. Quantencomputer hingegen verwenden jedoch sogenannte Qubits. Diese können nicht nur einen Wert von „0“ oder „1“ annehmen, sondern mehrere Zustände gleichzeitig. Dies ermöglicht mehrere Berechnungen parallel. Vorstellen kann man sich das so, dass man in einem Labyrinth nicht einzeln jeden Weg ablaufen muss, sondern parallel alle gleichzeitig und dann den direkten Weg nach draußen kennt.</li> <li><strong>Verschränkung:<br /> </strong> Bei klassischen Computern sind alle Bits voneinander unabhängig und werden über sogenannte logische Operationen verarbeitet. Die Qubits von Quantencomputern können jedoch miteinander verschränkt werden, sodass sich die Qubits identisch verhalten, auch unabhängig von ihrem Standort und der Distanz zueinander.</li> <li><strong>Andere Algorithmen:<br /> </strong> Durch den grundlegend unterschiedlichen Aufbau arbeiten klassische Computer und Quantencomputer anders, wodurch Quantencomputer eigene Algorithmen, also Arbeitsanweisungen, brauchen.</li> </ul> <p>Es gibt zahlreiche weitere Unterschiede, die hier jedoch den Rahmen sprengen würden.</p> <h2>Anwendungsbereiche von Quantencomputern</h2> <p>So schön das jetzt auch mit Quantencomputern und den Nachrichten klingen mag, die man oft zu ihnen finden kann, so sind sie weder Alleskönner noch Allheilmittel oder schlimmster Albtraum. Aber in manchen Aufgaben sind sie vom Prinzip her doch besser als die klassischen Computer.</p> <h3>Die Bedrohung durch Quantencomputer</h3> <p>Einer der größten Punkte, der im Rahmen von Quantencomputer Beachtung findet, ist die Gefährdung unserer heutigen Verschlüsselungsmethoden und dass wir durch sie nicht mehr effektiv verschlüsselt kommunizieren können. Ausschlaggebend sind hierbei die Qubits mit ihrer Superposition und der Verschränkung. Dadurch sind Quantencomputer in der Lage, die kryptografischen Schlüssel, die für die Verschlüsslung unserer Kommunikation benötigt werden, effektiver zu berechnen. Dies betrifft vor allem die sogenannte asymmetrische und nicht die symmetrische Verschlüsselung. Zu <a href="https://www.dr-datenschutz.de/verschluesselung-symmetrisch-asymmetrisch-oder-hybrid/">den verschiedenen Arten von Verschlüsselungsverfahren</a> hatten wir bereits berichtet. Jedoch sind beide Verfahren ausschlaggebend für unsere heutige Verschlüsselung. Aus diesem Grund wird aktuell viel nach Verschlüsselungsmethoden gesucht, die resistent gegen Quantencomputer sind.</p> <h3>Chancen durch Quantencomputer</h3> <p>Quantencomputer sind jedoch nicht nur Fluch für die IT-Sicherheit. Sie bieten auch komplett neue Möglichkeiten für die Kryptografie. Beispielsweise das BB84 Protokoll, bei dem es möglich ist, einen Schlüssel „öffentlich“ zu übertragen und damit das einzige Verschlüsselungsverfahren anzuwenden, das nachweislich sicher ist. Das sogenannte <a href="https://de.wikipedia.org/wiki/One-Time-Pad" target="_blank" rel="noopener">One-Time-Pad</a>. Ja, das bedeutet auch, dass kein Verschlüsselungsverfahren, das wir in der Praxis verwenden, bewiesenermaßen sicher ist.</p> <p>Aber auch abgesehen von der IT-Sicherheit bieten Quantencomputer Chancen. Insbesondere in den Themenfeldern, die von parallelen Berechnungen profitieren, wie zum Beispiel:</p> <ul> <li>Optimierung</li> <li>Simulierung</li> <li>Künstliche Intelligenz</li> </ul> <h2>Stand der Technik bei den Quantencomputern</h2> <p>Die Praxis zu Quantencomputern steht noch relativ in ihren Kinderschuhen, auch wenn an der Theorie bereits seit über 100 Jahren geforscht wird. Gründe gibt’s hierfür mehrere, wie allein die schiere Komplexität der Theorie. Dazu ein Zitat vom Nobelpreis-Physiker Richard Feynman: „Wer glaubt, die Quantentheorie verstanden zu haben, hat sie nicht verstanden.“</p> <p>Ein weiterer großer Faktor besteht auch in den physischen Anforderungen, denen Quantencomputer unterliegen. So sind sie auf mehreren Ebenen enorm störungsanfällig. Zunächst wird eine Temperatur nahe von 0 Grad Kelvin benötigt. Also nahe dem absoluten Nullpunkt, der niedrigsten Temperatur, die uns Menschen bekannt ist. Zu dieser Voraussetzung kommt eine Anfälligkeit gegenüber von Erschütterungen und anderen externen Einflüssen wie Licht, die die Qubits aus ihrer Superposition reißen können und einen Quantencomputer damit massiv beeinträchtigen.</p> <p>Jedoch erzielt die Forschung stetig weitere Fortschritte, sodass sich heute bereits Gedanken über den potenziellen Einfluss von praktischen Quantencomputern gemacht wird.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit - https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/&t=Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit&body=https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/was-bedeuten-quantencomputer-eigentlich-fuer-die-it-sicherheit/feed/</wfw:commentRss> <slash:comments>0</slash:comments> </item> <item> <title>ISO 27701: Unser Weg zur Datenschutz-Zertifizierung</title> <link>https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/</link> <comments>https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/#respond</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Thu, 21 Nov 2024 12:37:41 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Datenschutz-Zertifizierung]]></category> <category><![CDATA[Datenschutzbeauftragter]]></category> <category><![CDATA[ISO 27701]]></category> <category><![CDATA[personenbezogene Daten]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69606</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/" title="ISO 27701: Unser Weg zur Datenschutz-Zertifizierung"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Heute berichten wir mal in eigener Sache: Wir haben es geschafft! Als intersoft consulting services sind wir neben der ISO 27001 nun auch nach der ISO 27701 zertifiziert. Wie der Weg vom Wunsch bis zur tatsächlichen Zertifizierung aussah und ein persönliches Fazit beinhaltet dieser Artikel. Was ist ISO 27701? Um die ISO 27701-Zertifizierung für ein Datenschutzmanagementsystem [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/" title="ISO 27701: Unser Weg zur Datenschutz-Zertifizierung"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/dokumente-16-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p><span data-teams="true">Heute berichten wir mal in eigener Sache: Wir haben es geschafft! Als intersoft consulting services sind wir neben der ISO 27001 nun auch nach der ISO 27701 zertifiziert. Wie der Weg vom Wunsch bis zur tatsächlichen Zertifizierung aussah und ein persönliches Fazit beinhaltet dieser Artikel.</span><br /> <span id="more-69606"></span></p> <h2>Was ist ISO 27701?</h2> <p>Um die ISO 27701-Zertifizierung für ein Datenschutzmanagementsystem zu erhalten, muss ein Unternehmen bereits über ein <a href="https://www.dr-datenschutz.de/iso-27701-die-iso-welt-und-der-begriff-des-managementsystem/#ISO-27001-Internationale-Norm-fuer-die-Informationssicherheit">funktionierendes Informationssicherheitsmanagementsystem (ISMS) verfügen</a> oder dabei sein, dieses zu erlangen. Der Grund dafür ist, dass ISO 27701 auf die ISO 27001 aufbaut.</p> <p>Inhaltlich legt die ISO 27701 fest, wie die Maßnahmen zum Datenschutz und zur Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Datenschutz (PIMS, en: Privacy Information Management System) zu erreichen. Des Weiteren sieht die Norm in Anhängen A und B zahlreiche Maßnahmen vor, die speziell das Thema Datenschutz betreffen.</p> <p>Die ISO 27701 umfasst das Management von Risiken im Zusammenhang mit personenbezogenen Daten und unterstützt die Einhaltung der gesetzlichen Vorgaben aus der DSGVO, BDSG und anderen Datenschutzgesetzen.</p> <p>ISO 27701 bietet somit einen Rahmen für das Management des Datenschutzes.</p> <h2>Wie läuft die Zertifizierung ab?</h2> <p>Da intersoft consulting bereits sehr früh den Entschluss gefasst hat, sich neben der ISO 9001 und ISO 27001 auch nach ISO 27701 zu zertifizieren, fingen die Vorbereitungshandlungen wie die Definition und der Aufbau der Prozesse bereits im Frühjahr 2021 an.</p> <p>Rückblickend fast die größte Hürde war, in Deutschland eine akkreditierte Zertifizierungsstelle zu finden. Noch im Jahr 2023 gab es keine Zertifizierungsstelle für ISO 27701, die die Anforderungen der Akkreditierungsstelle (DAkkS) erfüllen konnte oder wollte. Es gab einige Unternehmen, die sich bei der ANAP (USA) akkreditiert hatten, aber eine US-Zertifizierung fanden wir als Unternehmen im Bereich Datenschutz nicht so erstrebenswert. Letztendlich sind wir im Jahr 2023 in den Niederlanden fündig geworden.</p> <p>Erst kürzlich kam die erfreuliche Nachricht, dass die DAkkS deutschlandweit die erste Akkreditierung gemäß ISO/IEC 27701 zum Datenschutz-Management einem deutschen Unternehmen erteilt hat. Daher ist der Weg für die ISO 27701 Zertifizierungen in Deutschland geebnet.</p> <p>Unser Audit fand im Mai und Juni 2024 statt. Die Zertifizierung wurde uns im September 2024 erteilt.</p> <h2>Effektives Managementsystem nach ISO 27701</h2> <p>Um die Zertifizierung nach ISO 27701 zu erhalten, mussten wir ein effektives Datenschutzmanagementsystem einführen, das den Anforderungen des Standards entspricht.</p> <p>Hinter jedem funktionierenden Managementsystem steht eine großartige Teamarbeit. So haben bei uns maßgeblich der QM-Beauftragte, die Risikomanagerin sowie der Informationssicherheitsbeauftragte (ISB) bei der Erstellung und Einführung von verschiedenen Prozessen mitgewirkt.</p> <p>Eine Managerin für das integrierte Managementsystem (iMS) hat das Team komplett gemacht: Sie hat den Überblick behalten und darauf geachtet, wie die verschiedenen Themen miteinander verzahnt sind.</p> <p>Natürlich mussten auch die einzelnen Fachabteilungen mitmachen und Input geben. Denn sie sind häufig diejenigen, die die Prozesse in der täglichen Arbeit umsetzen müssen. Hinter einem funktionierenden Prozess steckt also einiges an Zusammenarbeit von verschiedenen Akteuren im Unternehmen.</p> <h2>Prozesse und Dokumentation im Rahmen der ISO 27701</h2> <p>Ein Managementsystem nach ISO 27701 setzt einiges an Dokumentation voraus. Für mich als Juristin war es zu Anfang etwas ungewohnt, dass Themen, die bisher wie selbstverständlich funktioniert haben, plötzlich aufgeschrieben und in einem PDCA-Zyklus dargestellt werden mussten. Meine Kolleg:innen, die sich primär mit der „ISO-27001-Welt“ beschäftigen, haben für mich die „ISO-Menschen-Sprache“ gesprochen. Oft genug durfte ich hören: „Wenn Du deinen Prozess nach ISO-Vorgaben nicht aufgeschrieben hast, dann gibt es diesen Prozess auch nicht.“ (Wo steht das, was du da gerade erzählst?)</p> <p>Also habe ich losgelegt, alle datenschutzrechtlich relevanten Themen als Prozesse aufzuschreiben sowie dazu gehörige Dokumente zu erstellen. Welche Prozesse es sind, stelle ich nach und nach auch in unserer Blogreihe „<a href="https://www.dr-datenschutz.de/datenschutz-zertifizierung-nach-iso-27701/">ISO 27701 Zertifizierungen</a>“ vor.</p> <p>Auch wenn ich anfänglich vielleicht nicht zu 100 % von so viel Dokumentationsarbeit überzeugt war – heute bin ich es voll und ganz. Die Dokumentation von Prozessen hat den großen Vorteil, dass die Behandlung der Datenschutzthemen klar definiert und geklärt ist. Die Mitarbeiter:innen – inklusive mir als interne Datenschutzbeauftragte – wissen, was zu tun ist, es kann alles nachgelesen werden. Hierdurch herrscht viel Klarheit. Außerdem haben wir feste Regeln, wie wir unsere Prozesse mit Hilfe von regelmäßigen Überprüfungen sowie kontinuierlicher Verbesserung up to date halten. Damit können Schwachstellen rechtzeitig erkannt und beseitigt werden.</p> <h2>Was bringt die ISO 27701 Zertifizierung?</h2> <p>Aus persönlicher Sicht definitiv die Sicherheit, dass man als interne Datenschutzbeauftragte eines Datenschutzberatungshauses das Thema Datenschutz nicht nur extern, sondern eben auch intern gut im Griff hat.</p> <p>Unsere Erfahrung, die wir gemacht haben, können wir an unsere Kunden, die an einer <a href="https://www.intersoft-consulting.de/datenschutz-zertifizierung-nach-iso-27701/" target="_blank" rel="noopener">ISO 27701 Zertifizierung interessiert</a> sind, praxisorientiert weitergeben. Wir können bei der Suche nach einer geeigneten Zertifizierungsstelle unterstützen, bei der Vorbereitung zu einer Zertifizierung nach ISO 27701 zur Seite stehen sowie einen Audit nach ISO 27701 isoliert oder zusammen mit 27001 begleiten. Unsere Kunden können von unserer Erfahrung profitieren.</p> <p>Aus unternehmerischer Perspektive werden sicher die Risiken, die Verletzungen des Datenschutzrechts mit sich bringen würden, reduziert. Die Rollen und Verantwortlichkeiten sind innerhalb des Unternehmens klar geregelt. Außerdem verstärkt sich durch die Zertifizierung das Vertrauen der Kunden und den Beschäftigten in die Fähigkeiten des Unternehmens, mit personenbezogenen Daten nachweislich sicher umzugehen.</p> <h2>Und wie geht es weiter?</h2> <p>Wir werden unser integriertes Managementsystem stets verbessern, ist doch klar!</p> <p>Ich möchte einige Prozesse etwas vereinfachen und verkürzen. Als Juristin bin ich gewohnt, viel zu schreiben. Nun prüfe ich, wie ich die relevanten Inhalte – da wo möglich – in präzisen Flussdiagrammen darstellen kann, um einen schnellen Überblick über die einzelnen Prozesse bekommen zu können.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=ISO 27701: Unser Weg zur Datenschutz-Zertifizierung - https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/&t=ISO 27701: Unser Weg zur Datenschutz-Zertifizierung" target="_blank">FACEBOOK</a> <a href="mailto:?subject=ISO 27701: Unser Weg zur Datenschutz-Zertifizierung&body=https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/iso-27701-unser-weg-zur-datenschutz-zertifizierung/feed/</wfw:commentRss> <slash:comments>0</slash:comments> </item> <item> <title>Datenschutz bei Krankmeldung: Muss ich Gründe angeben?</title> <link>https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/</link> <comments>https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/#comments</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Wed, 20 Nov 2024 15:10:59 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Arbeitsunfähigkeitsbescheinigung]]></category> <category><![CDATA[Beschäftigtendatenschutz]]></category> <category><![CDATA[Gesundheitsdaten]]></category> <category><![CDATA[Krankenkasse]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69567</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/" title="Datenschutz bei Krankmeldung: Muss ich Gründe angeben?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Der Winter steht vor der Tür. Mit ihm und seinen kälteren Temperaturen steigen, wie jedes Jahr, die Krankheitsfälle. Wie eine Krankmeldung beim Arbeitgeber korrekt zu erfolgen hat und welche Informationen zu übermitteln sind, möchten wir uns im folgenden Artikel genauer anschauen. Was ist eine Krankmeldung? Grundsätzlich bedeutet eine Krankmeldung, den Arbeitgeber unverzüglich über die Arbeitsunfähigkeit [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/" title="Datenschutz bei Krankmeldung: Muss ich Gründe angeben?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/gesundheit-02-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Der Winter steht vor der Tür. Mit ihm und seinen kälteren Temperaturen steigen, wie jedes Jahr, die Krankheitsfälle. Wie eine Krankmeldung beim Arbeitgeber korrekt zu erfolgen hat und welche Informationen zu übermitteln sind, möchten wir uns im folgenden Artikel genauer anschauen.<span id="more-69567"></span></p> <h2>Was ist eine Krankmeldung?</h2> <p>Grundsätzlich bedeutet eine Krankmeldung, den Arbeitgeber unverzüglich über die Arbeitsunfähigkeit zu informieren und – falls die Krankheit länger dauert – eine ärztliche Arbeitsunfähigkeitsbescheinigung vorzulegen. Dabei dürfen Arbeitgeber die Vorlage der Arbeitsunfähigkeit bereits ab dem ersten Tag einfordern. Gesetzlich, d. h. nach den Vorschriften des Entgeltfortzahlungsgesetzes, hat der Arbeitnehmer bei einer Arbeitsunfähigkeit, die länger als drei Kalendertage dauert, die ärztliche Arbeitsunfähigkeitsbescheinigung spätestens am vierten Tag vorzulegen.</p> <p>Seit 2023 wird der gelbe Schein durch die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) ersetzt. Seitdem sind Arbeitgeber in Deutschland verpflichtet, die Arbeitsunfähigkeitsdaten ihrer gesetzlich versicherten Mitarbeiter elektronisch bei den Krankenkassen abzurufen. Wie dies datenschutzkonform möglich ist, haben wir uns <a href="https://www.dr-datenschutz.de/datenschutzkonforme-krankmeldung-auf-dem-weg-zur-eau/">hier</a> angesehen.</p> <h2>Welche Daten enthält die Arbeitsunfähigkeitsbescheinigung?</h2> <p>Neben allgemeinen Informationen, wie Name des Arbeitnehmers, Beginn und voraussichtliche Dauer der Arbeitsunfähigkeit, informiert die Arbeitsunfähigkeitsbescheinigung den Arbeitgeber grundsätzlich darüber, dass der Arbeitnehmer aus gesundheitlichen Gründen arbeitsunfähig ist. Im Ergebnis lässt die Arbeitsunfähigkeitsbescheinigung damit einen Rückschluss auf den Gesundheitszustand des Arbeitsnehmers zu und ist damit als Gesundheitsdatum im Sinne des Art. 4 Nr. 15 DSGVO zu qualifizieren.</p> <h2>Muss ich meinem Arbeitgeber sagen, warum ich krank bin?</h2> <p>Es kommt immer wieder vor, dass Arbeitgeber von Arbeitnehmern über die konkrete Ursache der Krankmeldung informiert werden wollen. Doch ist das Nennen der konkreten Diagnose durch den Arbeitnehmer tatsächlich erforderlich oder genügt nicht vielmehr die schlichte Information über die krankheitsbedingte Abwesenheit?</p> <p>Grundsätzlich unterfallen Art, Ursache und Umfang der Erkrankung der Privatsphäre des Arbeitnehmers. Die Informationspflicht einer Krankmeldung beschränkt sich auf die Arbeitsunfähigkeit sowie die voraussichtliche Dauer der Abwesenheit, denn nur diese sind letztlich für den Arbeitgeber relevant. Ein Arbeitnehmer muss einem Arbeitgeber nicht sagen, warum er krank ist. Eine Ausnahme und damit eine Pflicht zur Mitteilung der Erkrankung gilt nur bei ansteckenden Krankheiten, bei denen ein wichtiges betriebliches Interesse besteht, etwa weil sich auch Arbeitskollegen angesteckt haben könnten.</p> <h2>Was, wenn der Arbeitgeber an der Krankmeldung zweifelt?</h2> <p>Sollte der Arbeitgeber an der Richtigkeit der Krankmeldung des Arbeitnehmers zweifeln, stellt sich die Frage, inwieweit eine Überprüfung der ärztlichen Arbeitsunfähigkeit durch den Arbeitgeber rechtlich möglich ist.</p> <h3>Fortsetzungserkrankung vs. Wiederholungserkrankung</h3> <p>Grundsätzlich ist der Arbeitgeber nur zu einer Entgeltfortzahlung von bis zu sechs Wochen verpflichtet. Danach übernimmt die Krankenkasse mit dem Krankengeld die Kosten. Bei einer Fortsetzungserkrankung, die vorliegt, wenn dieselbe Krankheit erneut auftritt und die Arbeitsunfähigkeit damit auf demselben Grund beruht, muss der Arbeitgeber nur in den Ausnahmefällen des § 3 EntgFG weitere sechs Wochen die Entgeltfortzahlung tragen.</p> <p>Anders hingegen bei Wiederholungserkrankungen. Diese liegen vor, wenn die Arbeitsunfähigkeit des Arbeitnehmers auf jeweils verschiedenen Gründen beruhen. Somit liegt auch jeweils eine neue Erkrankung vor und der Anspruch auf eine Entgeltfortzahlung von bis zu sechs Wochen entsteht jedes Mal neu. Der Arbeitgeber kann in solchen Fällen also deutlich länger zur Entgeltfortzahlung verpflichtet sein. Er hat daher ein wirtschaftliches Interesse daran, zu wissen, ob es sich um eine Fortsetzungs- oder um eine Wiederholungserkrankung handelt.</p> <p>Die Beweislast, dass es sich bei der Erkrankung des Arbeitnehmers um eine Fortsetzungserkrankung handelt und der Anspruch des Arbeitnehmers auf Entgeltfortzahlung nur für einen Zeitraum von sechs Wochen besteht, liegt beim Arbeitgeber. Da dieser allerdings kaum in der Lage ist, das Bestehen einer Fortsetzungserkrankung darzulegen, kann er entweder, sofern der Arbeitnehmer gesetzlich versichert ist, nach den Regelungen des SGB X bei der zuständigen Krankenkasse nachfragen, ob eine Fortsetzungserkrankung vorliegt. Anderenfalls kann der Arbeitnehmer auf Antrag des Arbeitgebers den behandelnden Arzt von seiner Schweigepflicht entbinden. Die zu übermittelnden Informationen beschränken sich in diesem Fall allerdings ebenfalls ausschließlich auf die Mitteilung, ob eine Fortsetzungserkrankung angenommen werden kann oder nicht. Eine Übermittlung der Diagnose darf hingegen auch in diesem Fall nicht erfolgen.</p> <h3>Hat der Arbeitgeber weitere Handlungsmöglichkeiten?</h3> <p>In der Regel lässt den Arbeitgeber lediglich ein Bauchgefühl an der Krankmeldung des Arbeitnehmers zweifeln. Konkrete Anhaltspunkte bzw. eine eindeutige Sachlage werden nur in Einzelfällen vorliegen. Sollten sich die Zweifel verstärken, kann es hilfreich sein, das persönliche Gespräch mit dem Beschäftigten zu suchen. In diesem ist der Beschäftigte allerdings ebenfalls nicht verpflichtet, über die Erkrankung Auskunft zu geben. Zusätzlich ist es dem Arbeitgeber erlaubt, sich den Nachweis über die Arbeitsunfähigkeit bereits ab dem ersten Tag vorlegen zu lassen. Sollte der Arbeitnehmer die Arbeitsunfähigkeitsbescheinigung nicht rechtzeitig vorlegen oder der Arbeitnehmer ernsthafte Zweifel im Sinne des SGB V an der Arbeitsunfähigkeit vortragen können, können Arbeitgeber die Entgeltfortzahlung verweigern.</p> <p>Zusätzlich gibt es die Möglichkeit einer sog. Zusammenhangsanfrage bei der Krankenkasse, d. h. bei berechtigten Zweifeln kann ein Arbeitgeber erfragen, ob vorhergehende Arbeitsunfähigkeiten aufgrund derselben Krankheit bestanden. Darüber hinaus kann von der Krankenkasse verlangt werden, dass diese eine gutachterliche Stellungnahme bei einem unabhängigem Gutachterteam, dem medizinischen Dienst, einholt. Eine entsprechende Begutachtung kann von der Krankenkasse allerdings abgelehnt werden, sofern die Arbeitsunfähigkeit aus den vorliegenden Diagnosen eindeutig nachvollzogen werden kann. Sollte eine Stellungnahme jedoch eingeholt werden, kann diese den Beweiswert der Arbeitsunfähigkeitsbescheinigung erschüttern.</p> <h3>Darf der Arbeitgeber zusätzlich einen Detektiv beauftragen?</h3> <p>Die Überwachung von Beschäftigten durch einen Privatdetektiv ist hingegen nur innerhalb enger rechtlicher Grenzen möglich (BAG, Az.: <a href="https://www.bundesarbeitsgericht.de/entscheidung/2-azr-597-16/" target="_blank" rel="noopener">2 AZR 597/16</a>). Der Detektiv erhebt im Rahmen seiner heimlichen Observation nicht nur allgemeine Daten zu Aufenthaltsorten und Aktivitäten, sondern gegebenenfalls auch Gesundheitsdaten, sofern der sichtbare Gesundheitszustand des Arbeitnehmers im Rahmen der Beobachtung dokumentiert wird. Für diese Daten ist der Arbeitgeber verantwortlich im Sinne der DSGVO. Eine Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten liegt in diesem Zusammenhang allerdings nur vor, sofern die Verarbeitung erforderlich ist, damit der Verantwortliche, die ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben kann. Ob das Vorliegen einer entsprechenden Rechtsgrundlage angenommen werden kann, lässt sich generell nicht beantworten, sondern ist vielmehr eine Entscheidung des Einzelfalls.</p> <h2>Ausnahme: Betriebliches Eingliederungsmanagement (BEM)</h2> <p>Nach § 167 Abs. 2 SGB IX muss ein Arbeitgeber allen Arbeitnehmer – langzeiterkrankte sowie häufig kurz erkrankte –, die jährlich länger als 6 Wochen abwesend sind, ein <a href="https://www.dr-datenschutz.de/betriebliches-eingliederungsmanagement-bem-in-der-praxis/">betriebliches Eingliederungsmanagement (BEM)</a> anbieten. Im Rahmen dessen wird erörtert, wie die Arbeitsunfähigkeit des Arbeitnehmers möglichst überwunden und mit welchen Leistungen oder Hilfen vorgebeugt werden kann. Dafür müssen dann natürlich auch die Gründe für die vorherigen Krankmeldungen angeben werden.</p> <p>Eine Pflicht zur Teilnahme am BEM für den Mitarbeiter existiert grundsätzlich nicht. Die Angabe der Gründe für die krankheitsbedingte Abwesenheit ist somit freiwillig. Sollte der Arbeitnehmer die Teilnahme allerdings ablehnen, kann sich dies im Falle einer krankheitsbedingten Kündigung und bezüglich möglicher Sozialleistungsansprüche negativ für ihn auswirken, sodass ein gewisser Druck besteht. Dafür sind die <a href="https://www.dr-datenschutz.de/bem-verfahren-scheitert-aufgrund-fehlerhafter-datenschutzhinweise/">datenschutzrechtlichen Anforderungen, die an die Durchführung des BEM-Verfahrens gestellt werden</a>, relativ hoch und <a href="https://www.dr-datenschutz.de/bem-verfahren-scheitert-aufgrund-fehlerhafter-datenschutzhinweise/">Verstöße können dem Mitarbeiter in einem anschließenden Kündigungsstreit positiv zu Gute kommen</a>.</p> <h2>Geheime Krankenakten sind jedenfalls nicht die Lösung</h2> <p>Dass das Ausforschen von Gründen der Krankmeldung durch Vorgesetzte keine gute Idee ist, zeigt ein Bußgeldverfahren gegen den schwedischen Modekonzern H&amp;M aus dem Jahr 2019.</p> <p>Unter anderem wurden in diesem Fall Mitarbeitende nach krankheitsbedingter Abwesenheit zu einem „Welcome Back Talk“ eingeladen. In diesem Gespräch wurden sodann weitere Informationen zu den Hintergründen der Krankmeldung erfragt und diese Daten in einer geheimen Datenbank für die Führungskräfte gespeichert. Letztlich kam dieses Vorgehen durch einen Konfigurationsfehler ans Licht, aufgrund dessen das Netzwerklaufwerk mit den betroffenen Informationen eine kurze Zeit für alle Mitarbeitenden sichtbar war. Das Ende vom Lied waren ein <a href="https://www.dr-datenschutz.de/hm-datenschutz-bussgeld-in-hoehe-von-353-millionen-euro/">immaterieller Schadensersatz von 2.500 € für alle Mitarbeiter und ein Bußgeld in Höhe von 35,3 Millionen Euro</a> durch die Hamburger Datenschutzaufsichtsbehörde.</p> <h2>Krankmeldung: Die Diagnose ist und bleibt Privatsache</h2> <p>Die Krankmeldung des Arbeitnehmers ist ein heikles Thema und aufgrund der Verarbeitung von Gesundheitsdaten datenschutzrechtlich an besondere Voraussetzungen geknüpft. Bei tatsächlichen Zweifeln sind dem Arbeitgeber grundsätzlich einige Möglichkeiten geboten, um die Richtigkeit der Bescheinigung zu überpüfen. Doch eins steht im Ergebnis fest: Die konkrete Diagnose ist und bleibt die Privatsache des Arbeitnehmers.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Datenschutz bei Krankmeldung: Muss ich Gründe angeben? - https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/&t=Datenschutz bei Krankmeldung: Muss ich Gründe angeben?" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Datenschutz bei Krankmeldung: Muss ich Gründe angeben?&body=https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/datenschutz-bei-krankmeldung-muss-ich-gruende-angeben/feed/</wfw:commentRss> <slash:comments>2</slash:comments> </item> <item> <title>BGH-Urteil: Schadensersatz für Daten-Kontrollverlust</title> <link>https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/</link> <comments>https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/#respond</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Tue, 19 Nov 2024 15:51:01 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Datensicherheit]]></category> <category><![CDATA[Facebook]]></category> <category><![CDATA[immaterieller Schaden]]></category> <category><![CDATA[Schadensersatz]]></category> <category><![CDATA[Soziale Netzwerke]]></category> <category><![CDATA[TOM]]></category> <category><![CDATA[Urteil]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69580</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/" title="BGH-Urteil: Schadensersatz für Daten-Kontrollverlust"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Der Bundesgerichtshof (BGH) hat entschieden, dass Facebook-Nutzer nach einem Datenleck allein aufgrund des Kontrollverlusts über ihre Daten einen Anspruch auf immateriellen Schadensersatz geltend machen können. Im Rahmen der Schadensersatzansprüche nach einem umfangreichen Datendiebstahl bei Facebook hat der BGH die Rechte der betroffenen Nutzer gestärkt. Die Karlsruher Richter entschieden, dass der bloße Verlust der Kontrolle über [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/" title="BGH-Urteil: Schadensersatz für Daten-Kontrollverlust"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/urteil-19-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Der Bundesgerichtshof (BGH) hat entschieden, dass Facebook-Nutzer nach einem Datenleck allein aufgrund des Kontrollverlusts über ihre Daten einen Anspruch auf immateriellen Schadensersatz geltend machen können. Im Rahmen der Schadensersatzansprüche nach einem umfangreichen Datendiebstahl bei Facebook hat der BGH die Rechte der betroffenen Nutzer gestärkt. Die Karlsruher Richter entschieden, dass der bloße Verlust der Kontrolle über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz ausreichend sein kann.<span id="more-69580"></span></p> <h2>Facebook-Datenleck 2021: Millionen Nutzer betroffen</h2> <p>Anfang April 2021 wurden Daten von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich zugänglich gemacht. <span data-teams="true">Unbekannte Dritte nutzten dabei aus, dass Facebook-Nutzern, abhängig von deren Suchbarkeits-Einstellungen ermöglicht, ihre Profile anhand ihrer Telefonnummern auffindbar zu machen</span>. Durch die großflächige Eingabe von Nummern ordneten die unbekannten Täter Telefonnummern den entsprechenden Nutzerkonten zu, verknüpften und veröffentlichten die Nutzerprofile (sog. Scraping).</p> <p>Mit diesem Urteil (<a href="https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2024/2024218.html" target="_blank" rel="noopener">Az. VI ZR 10/24</a> vom 18.10.2024) hat der BGH im ersten Leitentscheidungsverfahren nun eine maßgebliche Entscheidung für Tausende ähnlich gelagerte Fälle getroffen.</p> <p>Der sechste Zivilsenat stellte fest, dass die Einstellungen der Konzernmutter Meta innerhalb der Sucheinstellung des Netzwerks potenziell alle Nutzer finden zu können, wohl dem Grundsatz der Datenminimierung widersprechen dürfte. Der BGH entschied außerdem, dass auch der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen <a href="https://www.dr-datenschutz.de/ueberblick-ueber-das-schadensersatzrecht-der-dsgvo/">Schaden im Sinne des Art. 82 Abs. 1 DSGVO</a> darstellt. Es sei nicht notwendig, dass die Daten missbräuchlich verwendet wurden oder dass es zusätzliche spürbare negative Folgen, wie etwa Angst oder Sorge vor Kontrollverlust für die Betroffenen gebe. Für die Kläger reiche es aus, nachzuweisen, dass sie Opfer des Vorfalls waren, um Schadensersatz zu verlangen. Gleichzeitig betonte der Senat aber auch, dass der Schadensersatz beim bloßen Kontrollverlust nicht allzu hoch ausfallen könne. Als Größenordnung sei ein Betrag von 100 Euro jedenfalls als angemessener Ausgleich nicht zu beanstanden.</p> <h2>Angemessene TOMs – eine Beruhigungspille für Unternehmen</h2> <p>Die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen ist unerlässlich, um Risiken wie Verlust, unbefugten Zugriff oder Missbrauch der Daten zu minimieren. Eine gute Umsetzung der TOMs bildet das Fundament für den Schutz der Daten und der Aufrechterhaltung der Datenschutz-Compliance. Es sind nach <a href="https://dsgvo-gesetz.de/art-32-dsgvo/" target="_blank" rel="noopener">Art. 32 Abs. 1 lit. d) DSGVO</a> gegebenenfalls Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen zu implementieren. Auch der aktuelle Stand der Technik sollte wiederkehrend überprüft werden. Wer dann noch seine Sicherheitsmaßnahmen nachvollziehbar dokumentiert vorweisen kann, wird auch künftig bestenfalls Datenschutzvorfälle verhindern, bevor sie entstehen. Jedenfalls aber gute Chancen haben, sich einer Haftung entziehen zu können.</p> <h2>Gute Datenschutz-Compliance verhindert Schadensersatz</h2> <p>Unternehmen sollten stets geeignete Maßnahmen ergreifen, um Datenschutzverstöße zu vermeiden. Es ist zu befürchten, dass es künftig zu Massenverfahren kommen kann. Insbesondere datengetrieben Unternehmen mit vielen Nutzern könne sich solchen Verfahren künftig ausgesetzt sehen. Und wenn die Zahl der betroffenen Kläger in die tausende geht, dann können auch 100 € pro Kopf schmerzhaft werden.<br /> Eine solide Datenschutz-Compliance ist dabei essenziell, um solche Vorfälle im besten Fall gänzlich zu verhindern. Dabei können der Datenschutzbeauftragte und der Informationssicherheitsbeauftragte wertvolle Unterstützung leisten.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=BGH-Urteil: Schadensersatz für Daten-Kontrollverlust - https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/&t=BGH-Urteil: Schadensersatz für Daten-Kontrollverlust" target="_blank">FACEBOOK</a> <a href="mailto:?subject=BGH-Urteil: Schadensersatz für Daten-Kontrollverlust&body=https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/bgh-urteil-schadensersatz-fuer-daten-kontrollverlust/feed/</wfw:commentRss> <slash:comments>0</slash:comments> </item> <item> <title>Dürfen Beschäftigtendaten in die AWS-Cloud?</title> <link>https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/</link> <comments>https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/#comments</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Mon, 18 Nov 2024 16:34:48 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Amazon]]></category> <category><![CDATA[Amazon-cloud]]></category> <category><![CDATA[Arbeitgeber]]></category> <category><![CDATA[Beschäftigtendatenschutz]]></category> <category><![CDATA[Data Privacy Framework]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69537</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/" title="Dürfen Beschäftigtendaten in die AWS-Cloud?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Digitale Zeiterfassung und Personalakte, Online-Bewerbungsverfahren – Arbeitgeber sind zunehmend interessiert, Cloudangebote auch für die Daten von Bewerbern und Beschäftigten zu nutzen. Selbst wenn Arbeitgeber darauf achten, dass Clouddienstleister ihren Firmensitz in der EU haben, können sie dennoch auf AWS in der Subdienstleister-Liste stoßen. Ob dies datenschutzrechtlich zulässig ist und was die Unterscheidung non-HR Data und [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/" title="Dürfen Beschäftigtendaten in die AWS-Cloud?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/05/amazon-04-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Digitale Zeiterfassung und Personalakte, Online-Bewerbungsverfahren – Arbeitgeber sind zunehmend interessiert, Cloudangebote auch für die Daten von Bewerbern und Beschäftigten zu nutzen. Selbst wenn Arbeitgeber darauf achten, dass Clouddienstleister ihren Firmensitz in der EU haben, können sie dennoch auf AWS in der Subdienstleister-Liste stoßen. Ob dies datenschutzrechtlich zulässig ist und was die Unterscheidung non-HR Data und HR-Data-Zertifizierung bedeutet, erläutert dieser Artikel.<span id="more-69537"></span></p> <h2>Was ist die AWS-Cloud?</h2> <p>Clouddienstleister stellen zeitnah und mit wenig Aufwand geteilte Computerressourcen als Dienstleistung bereit, etwa in Form von Servern, Datenspeicher oder Applikationen, und rechnen diese nach Nutzung ab. Amazon Web Services (kurz AWS) ist einer der führenden Anbieter auf diesem Gebiet.</p> <p>Die Konzernmutter Amazon Web Services, Inc. hat ihren Sitz in den USA und wurde bereits 2006 von dem bekannten Onlineversandhändler Amazon.com gegründet. Mittlerweile gibt es unter anderem die Tochtergesellschaft Amazon Web Services EMEA SARL, welche ihren Sitz in Irland hat, und es finden sich Server in Frankfurt sowie anderen Regionen innerhalb der EU/EWR.</p> <h2>Ist die Datenübermittlung in die USA zulässig?</h2> <p>Auch wenn in der Subdienstleisterliste die europäische Tochtergesellschaft genannt wird, kann ein Datentransfer in die USA aufgrund der US-Konzernmutter nie in Gänze ausgeschlossen werden. Genaueres hierzu kann nochmal in einem unserer älteren Artikel zur <a href="https://www.dr-datenschutz.de/amazon-web-services-aws-datenschutzkonform-nutzen/" target="_blank" rel="noopener">datenschutzkonformen Nutzung von AWS</a> nachgelesen werden.</p> <p>Durch den Drittlandstransfer müssen die Artikel 44 ff. DSGVO beachtet werden. Für die USA besteht derzeit noch ein Angemessenheitsbeschluss im Sinne von Artikel 45 DSGVO. Der läuft unter den Namen EU-U.S. Data Privacy Framework (kurz: DPF). US-amerikanische Unternehmen müssen sich aber explizit danach zertifizieren. Welches Unternehmen unter das DPF fällt, kann auf der offiziellen Webseite der Zertifizierungsstelle nachgelesen werden. In dieser Liste kann auch entnommen werden, was das DPF „Covered“: Non-HR Data und ggf. zusätzlich noch HR Data. „HR“ steht insoweit als Kürzel für „Human Resources“, also Beschäftigte.</p> <h3>Data Privacy Framework: Non-HR Data vs. HR Data</h3> <p>Die Unterscheidung non-HR Data und HR Data ist sprachlich leider verwirrend. In der Stellungnahme der DSK zur Übermittlung personenbezogener Daten aus Europa an die USA, Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023 (Stand: 04.09.2023), heißt es auf Seite 12:</p> <blockquote><p>„Beschäftigtendaten sind nur erfasst, wenn der Eintrag des Datenimporteurs in der EU‐US‐DPF‐Liste (https://www.dataprivacyframework.gov/s/participant‐search) in der Rubrik ‚Covered Data‘ den Eintrag ‚HR Data‘ enthält“.</p></blockquote> <p>Dies klingt auch erstmal bei reiner Übersetzung der beiden Begriffe plausibel. Allerdings erwähnt die DSK in der Fußnote 36, dass die US-Seite durchaus ein anderes Verständnis von diesem Begriffspaar hat und das zusätzliche HR Data Zertifikat nur „personenbezogene Daten der Beschäftigten der zertifizierten Organisation [erfasse].“ Die Zertifizierungsstelle selbst äußert sich auf Ihrer Webseite wie folgt hierzu:</p> <blockquote><p>„If your organization&#8217;s self-certification will cover human resources data (i.e., personal information about your organization&#8217;s own employees, past or present, collected in the context of the employment relationship), then your organization must agree to cooperate with and comply with the advice of the appropriate European data protection authorities with regard to such data (&#8230;)“</p></blockquote> <p>Die HR-Data-Zertifizierung beweise an dieser Stelle also, dass sich das US-Unternehmen auch im Bezug auf die eigenen Beschäftigtendaten zur Zusammenarbeit mit den Datenschutzbehörden der EU verpflichtet habe. Ob die DSK dieses amerikanische Verständnis für vertretbar hält oder nicht, geht nicht hervor. Zumindest der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg scheint dies nicht abzulehnen (Dr. Jens Jacobi, Einführung in den Drittstaatentransfer, S. 19, Stand 21.03.2024):</p> <blockquote><p>„(…) nach Verständnis der US-Seite sind damit nur die Daten der Beschäftigten des jeweiligen Datenimporteurs in den USA gemeint. Folge: Exporteure in der EU können einen Transfer personenbezogener Daten ihrer Beschäftigten (oder Beschäftigter Dritter) gestützt auf den EU-US DPF auch an solche Stellen in die USA vornehmen, die nicht über eine Zusatzzertifizierung für Beschäftigtendaten verfügen.“</p></blockquote> <h3>Nachteile der DSK-Auslegung</h3> <p>Für die amerikanische Sichtweise spricht, dass die DSGVO bei der Datenübermittlung ins Drittland nicht danach unterscheidet, welche Betroffenengruppen tangiert sind. Die Voraussetzungen der Artikel 44 ff. DSGVO müssen unabhängig von Datenart und Betroffenengruppe erfüllt werden. Auch für Datenarten mit hohem Schutzbedarf im Sinne von Art. 9 Abs. 1 DSGVO werden keine strengeren Anforderungen an die Datenübermittlung gestellt. Insoweit gäbe es aus DSGVO-Sicht keinerlei Grund für ein solches Zusatz-Zertifikat.</p> <p>Die Ansicht der DSK würde dazu führen, dass sensible Gesundheitsdaten bereits nach dem häufiger vorkommenden Non-HR übermittelt werden dürfen, aber unkritische Beschäftigtendaten immer die zusätzliche HR-Data-Zertifizierung benötigen.</p> <p>Schließlich ist es befremdlich, dass die DSK vorschreibt, was die Zertifizierung bedeutet, obwohl sie selbst nicht die Zertifizierung vornimmt. Man sollte meinen, dass die Zertifizierungsstelle in den USA selbst besser weiß und versteht, wie die Unterscheidung in HR Data und non-HR Data zu verstehen ist.</p> <h3>Anwendung auf Beschäftigtendaten und AWS</h3> <p>Es sprechen also die besseren Argumente für das amerikanische Verständnis. Amazon Web Services, Inc. ist zwar nur für non-HR Data zertifiziert und weist nicht das zusätzliche Zertifikat für HR Data auf. Dennoch dürfen europäische Arbeitgeber ihre Beschäftigtendaten in die AWS-Cloud verarbeiten, ohne weitere Maßnahmen ergreifen zu müssen. Amazon Web Services, Inc. bräuchte die zusätzliche HR-Data-Zertifizierung nur, wenn es um die eigenen Beschäftigtendaten von Amazon Web Services, Inc. geht.</p> <h2>Was müssen Arbeitgeber tun, wenn der Angemessenheitsbeschluss oder das Zertifikat wegfallen?</h2> <p>Die Politik und vor allem Demokratie werden derzeit auf eine schwere Probe gestellt und wir Datenschützer wissen, dass der Angemessenheitsbeschluss für die USA mehr denn je auf wackeligen Beinen steht. Falls der Angemessenheitsbeschluss wie schon seine Vorgänger für ungültig erklärt wird oder AWS aus anderen Gründen die Zertifizierung verliert, dann müssen Arbeitgeber ein angemessenes Datenschutzniveau für die Beschäftigtendaten mit Hilfe anderer Garantien gemäß Artikel 46 ff. DSGVO gewährleisten. Es wird vor allem auf den Abschluss der sog. Standard Contractual Clauses hinauslaufen. Zu deren Abschluss war die Konzernmutter in der Vergangenheit bereits aufgeschlossen. Daneben muss aber auch ein Transfer Impact Assessment durchgeführt werden. Bei diesem werden unter anderem die Risiken für die Rechte und Freiheiten der betroffenen Beschäftigten erörtert und mit welchen zusätzlichen Maßnahmen der Arbeitgeber diese eindämmt.</p> <h2>Kein ausschließliches AWS-Thema</h2> <p>Die verschiedenen Auslegungen der beiden Zertifikate nach dem DPF betrifft nicht nur die Nutzung der AWS Cloud. Ob das DPF-Zertifikat für non-HR Data ausreicht, kann auch bei anderen Clouddiensten relevant sein, die zwar primär der Verarbeitung von Kundendaten dienen, aber durch Beschäftigte genutzt werden. Denn deren Nutzerdaten, wie IP-Adresse, Login-Daten, Logfiles etc., sind immer zeitgleich als Beschäftigtendaten zu betrachten. Also auch dann würde der US-Clouddienstanbieter das zusätzliche HR-Data-Zertifikat benötigen. Insoweit gäbe es kaum noch Anwendungsbereiche für das non-HR-Data-Zertifikat.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Dürfen Beschäftigtendaten in die AWS-Cloud? - https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/&t=Dürfen Beschäftigtendaten in die AWS-Cloud?" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Dürfen Beschäftigtendaten in die AWS-Cloud?&body=https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/duerfen-beschaeftigtendaten-in-die-aws-cloud/feed/</wfw:commentRss> <slash:comments>4</slash:comments> </item> <item> <title>Security Operation Center (SOC) &#8211; Vom Alarm zur Lösung</title> <link>https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/</link> <comments>https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/#comments</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Fri, 15 Nov 2024 15:51:25 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[IDS]]></category> <category><![CDATA[Incident Response]]></category> <category><![CDATA[IPS]]></category> <category><![CDATA[IT-Sicherheit]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69497</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/" title="Security Operation Center (SOC) - Vom Alarm zur Lösung"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>In Zeiten von erhöhter Cyberkriminalität wird Unternehmen mehr und mehr bewusst, dass sie immer wieder auf neue Herausforderungen in diesem Bereich reagieren müssen. Hacker entwickeln immer kompliziertere Angriffsmethoden, welche oft  an die jeweilige Unternehmensstruktur angepasst werden. In diesem Artikel werfen wir einen Blick darauf, warum Security Operation Centers (SOCs) heute so wichtig sind und welche [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/" title="Security Operation Center (SOC) - Vom Alarm zur Lösung"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/it-sicherheit-44-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>In Zeiten von erhöhter Cyberkriminalität wird Unternehmen mehr und mehr bewusst, dass sie immer wieder auf neue Herausforderungen in diesem Bereich reagieren müssen. Hacker entwickeln immer kompliziertere Angriffsmethoden, welche oft  an die jeweilige Unternehmensstruktur angepasst werden. In diesem Artikel werfen wir einen Blick darauf, warum Security Operation Centers (SOCs) heute so wichtig sind und welche Ziele sie verfolgen.<span id="more-69497"></span></p> <h2>Was ist ein SOC?</h2> <p>Mit einem Security Operation Center (SOC) ist ein Unternehmen ein Stück mehr darauf vorbereitet, auf IT-Sicherheitsvorfälle oder Auffälligkeiten reagieren zu können. Dies wird sichergestellt durch die ständige Überwachung, Erkennung und Analyse der IT-Infrastruktur. Ziel hierbei ist es, Bedrohungen und Sicherheitsvorfälle schnellstmöglich erkennen zu können und mit der Reaktion den Schutz der IT-Sicherheit und die Integrität von Daten und Systemen sicherzustellen. Es ist speziell auf die Sicherheitsüberwachung ausgerichtet und kann hierbei auf eine Vielzahl von Tools, wie etwa SIEM-Systemen (Security Information and Event Management) zurückgreifen, um die angesprochenen Bedrohungen zu erkennen, einzuordnen und entsprechende Maßnahmen einzuleiten. Ein SOC kann gewissermaßen also als Schritt in Richtung mehr Sicherheit betrachtet werden.</p> <h2>Ziele und Aufgaben eines Security Operation Centers</h2> <p>Durch die Implementierung von Tools wie einem SIEM, <a href="https://www.dr-datenschutz.de/ids-und-ips-ein-zusaetzlicher-schutz-gegen-cyberangriffe/">IDS und IPS</a> soll sichergestellt werden, dass das Netzwerk 24/7 überwachbar und schützbar ist. Dabei wird eine Anomalie-Erkennung durchgesetzt, mit der eine Identifikation ungewöhnlicher Aktivitäten möglich ist. So können Prozesse überwacht, aber auch eingeschätzt werden, um mögliche Aktivitäten, die im Hintergrund ausgeführt werden, zu identifizieren.</p> <p>Bei Angriffen durch Dritte, z. B. „Hackergruppen“, zählt oft jede Minute, deshalb ist es umso wichtiger, möglichst schnell auf eine Anomalie zu reagieren. Bei einem <a href="https://www.dr-datenschutz.de/incident-response-wenn-die-hacker-schon-da-waren/">Incident</a> könnte so im Ernstfall eine Verschlüsselung der Systeme verhindert werden. Und je schneller eine verdächtige Aktivität vom SOC entdeckt wird, desto schneller kann darauf reagiert werden.</p> <p>Auch der Schutz vor wiederkehrenden Bedrohungen ist nicht zu unterschätzen. Durch ein proaktives Bedrohungsmanagement können aktuelle Bedrohungen und Schwachstellen identifiziert und zukünftig nicht wieder „hereingelassen“ werden. Ein Beispiel hierfür wären automatisierte wiederkehrende Aufgaben, wie die Blockierung von auffälligen IPs oder auch die Isolation von kompromittierten Geräten, um die Effizienz zu erhöhen. Im Gesamten wird hierdurch die Systemintegrität und die Sicherheit der Daten – seien es Kunden- oder Unternehmensdaten – sichergestellt bzw. erhöht.</p> <h2>Technische Umsetzung eines SOCs</h2> <p>Für die Implementierung eines SOCs müssen vielerlei Dinge beachtet werden, um eine einwandfreie technische Funktionsweise zu gewährleisten. Bspw. sollte ein Plan der Netzwerkarchitektur bestehen. Das ist wichtig, damit keine Systeme vergessen werden. Einige Systeme wirken eventuell auf den ersten Blick unwichtig, sind für die ständige Überwachung aber durchaus von Bedeutung.</p> <p>Hauptsächlich werden Logdaten aus verschiedenen Systemen zusammengeführt und zentral auf einem isolierten System abgelegt. Auf dieses System kann das SOC zugreifen und die <a href="https://www.dr-datenschutz.de/eventlogs-die-im-it-notfall-besser-aktiviert-sind/">(Log)Daten</a> analysieren. Das Ganze wird durch ein <a href="https://www.dr-datenschutz.de/datenschutz-und-datensicherheit-mit-siem-loesungen/">SIEM-System</a> unterstützt, welches den technischen Part übernimmt und die Daten, die für die Auswertung notwendig sind, sammelt und an die dafür bestimmte Stelle bewegt.</p> <p>Die Nutzung von Playbooks unterstützt die sichere und vor allem schnelle Umsetzung von Maßnahmen, die im Ernstfall vom Personal durchgeführt werden müssen. Zusätzlich kann auf Automatisierungslösungen zurückgegriffen werden, um standardisierte Reaktionen auf häufige Bedrohungen zu gewährleisten.</p> <p>Jedoch zählt wie bei allem nicht nur die „Sicherheit“. Das SOC-Team sollte in jedem Fall in engem Kontakt mit der IT des Unternehmens stehen. Technische Komplikationen werden häufig von den Tools als Anomalien erkannt, obwohl die IT dafür eine einfache Erklärung hat. Dies liegt daran, dass viele IT-Infrastrukturen historisch gewachsen sind und eine neue, „richtige“ Konfiguration der Systeme ein hoher Zeitaufwand wäre.</p> <h3>Von SIEM bis Endpoint Protection</h3> <p>Um große Datenmengen erfassen und analysieren zu können, sind Tools in einem SOC unverzichtbar. Eine manuelle Überwachung wäre bei größeren Infrastrukturen nicht abbildbar. In jedem Fall dürfen folgende technische Komponenten in einem SOC nicht fehlen:</p> <ul> <li>Logs sind eine der besten Quellen, um sich relevante Informationen vom System zu beschaffen. Deshalb ist es essenziell, zu bestimmen, welche Logs gesammelt und ausgewertet werden. Ein zusätzliches Tool, welches die Logs verwaltet, kann den gesamten Prozess rund um die Analyse vereinfachen. In guten SIEM-Lösungen sind solche Tools normalerweise enthalten.</li> <li>Den Kern eines SOC bilden meist SIEM-Lösungen ab. Diese sammeln die o. g. Logs und werten sie aus, um mögliche Anomalien zu entdecken und potenzielle Angriffsmuster zu erkennen. Sie lösen anschließend einen Alarm aus, auf den das SOCTeam reagiert. Im Idealfall liefert eine SIEM-Lösung ein grafisches Dashboard, welches die gesammelten und ausgewerteten Informationen übersichtlich darstellt.</li> <li>Cyberkriminelle nutzen Schwachstellen immer wieder, um in die Infrastruktur eines Unternehmens einzudringen. Ein Schwachstellenmanagement-System ist daher ein Muss für jedes SOC. Es ermöglicht dem Team, bei neu entdeckten Schwachstellen sofort zu reagieren und diese zu schließen. Idealerweise, bevor Angreifer sie ausnutzen können.</li> <li>Endpoint Protection und Reaktion auf entdeckte Gefahren dürfen in einem SOC auch nicht fehlen. Diese können im besten Fall mit Cyber Threat Intelligence Tools kombiniert eine herausragende Abwehr gegen mögliche Szenarien sein, die von Standard-Angriffsmustern abweichen.</li> </ul> <h2>Was für Arten von Security Operation Centers gibt es?</h2> <p>SOC ist nicht gleich SOC. Unternehmen müssen mehr und mehr darauf achten, wie sie ihre Infrastruktur sicherer machen. Es kann jedoch schnell kostspielig oder umständlich werden, wenn es um die Wahl der richtigen Lösung geht. Die Implementierung eines SOCs ist also individuell – jedes Unternehmen hat andere Bedürfnisse und Anforderungen, weshalb es unterschiedliche Modelle gibt.</p> <h3>In-house SOC</h3> <p>Dieses wird vollständig vom Unternehmen selbst verwaltet und betrieben. Hierzu zählt neben der vorausgesetzten Technik auch das Personal sowie neue Prozesse, die mit dem Betreiben eines SOCs einhergehen. Das Unternehmen kann hier eine hohe Kontrolle der Systeme durchsetzen und hat alles im Blick. Zusätzlich können unternehmensspezifische Anpassungen in Hardware oder Software gesetzt werden. Wie bei allem gibt es jedoch auch Nachteile, welche durch den hohen bzw. zusätzlichen Personalaufwand und auch den Kostenaufwand für Aufbau, Betrieb und kontinuierliche Weiterentwicklung widergespiegelt werden.</p> <h3>Managed SOC</h3> <p>Mittlerweile gibt es eine große Anzahl an Anbietern, die SOCs für Unternehmen anbieten. Hierbei liegt aller Aufwand beim Drittanbieter. Personal, Hardware, Software, Ressourcen allgemein. Das Unternehmen zahlt für diese Dienstleistung zwar mehr Geld, ist jedoch entlastet, was das Überwachen von Sicherheitsvorfällen angeht. Oftmals sind Unternehmen froh, dass sie diese Aufgabe nicht selbst abbilden müssen.</p> <h3>Hybrid SOC</h3> <p>Eine Mischform aus beiden ist selbstverständlich auch möglich. Hierbei sind fast keine Grenzen gesetzt. Ein Unternehmen kann z. B. die reinen SOC-Funktionen übernehmen, aber die Ressourcen, wie die Hardware, die dafür notwendig ist, auslagern. Trotzdem handelt es sich dabei um ein SOC. Eine andere Möglichkeit kann sein, dass innerhalb der Geschäftszeiten die Verwaltung des SOCs durch das Unternehmen betrieben wird und außerhalb der Geschäftszeiten ein Drittanbieter übernimmt.</p> <h3>Virtuelles SOC</h3> <p>Selbstverständlich darf auch eine rein cloudbasierte Möglichkeit nicht fehlen. Hierbei benötigt es keine physische Infrastruktur im Unternehmen, da diese in der Cloud bei einem Drittanbieter liegt und dort betrieben wird. Die Sicherheitssysteme und -dienste werden hierbei ebenfalls über die Cloud verwaltet.</p> <p>Klare Vorteile einer solchen Lösung sind die Flexibilität und Skalierbarkeit. Kein System ist schneller skalierbar als eine Cloudlösung, da man meist von „jetzt auf gleich“ mehr Speicherplatz, Arbeitsspeicher oder ähnliche Komponenten dazu buchen kann. Das Personal muss bei dieser Lösung außerdem nicht vor Ort sein. Trotzdem muss das Unternehmen diesen Aufwand natürlich einkalkulieren, sprich bspw. zusätzliche Personalkosten bedenken. Das kann Vor- und Nachteil sein. Vorteil an einem internen SOC ist etwa, dass fachkundige Mitarbeitende zur Verfügung stehen, die die Infrastruktur meist besser kennen als externe Dienstleister. Eine essenzielle Vorrausetzung ist in diesem Fall eine stabile und meist auch schnelle Internetanbindung.</p> <h2>Alles in allem sind SOCs eine gute präventive Maßnahme</h2> <p>Eins steht fest: Die Implementierung eines SOCs ist ein klarer Gewinn. Richtig eingesetzt verringert ein SOC das Risiko eines erfolgreichen Angriffs erheblich. Sobald eine Schwachstelle im System auftaucht – was häufiger passiert, als gedacht – stellt das SOC durch die durchgehende Überwachung eine schnelle Reaktion sicher. So bleibt das Unternehmen besser gegen Bedrohungen geschützt und kann Sicherheitslücken schnellstmöglich schließen.</p> <p>Nachteilig zu bewerten ist neben den zusätzlichen Kosten, die eine Implementierung mit sich bringt, auch der Zeitaufwand, der besonders bei technischen Komplikationen auftritt.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Security Operation Center (SOC) &#8211; Vom Alarm zur Lösung - https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/&t=Security Operation Center (SOC) &#8211; Vom Alarm zur Lösung" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Security Operation Center (SOC) &#8211; Vom Alarm zur Lösung&body=https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/security-operation-center-soc-vom-alarm-zur-loesung/feed/</wfw:commentRss> <slash:comments>2</slash:comments> </item> <item> <title>Braucht mein Webshop einen Gastzugang?</title> <link>https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/</link> <comments>https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/#comments</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Thu, 14 Nov 2024 15:57:33 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Datenschutzkonferenz]]></category> <category><![CDATA[Kundendaten]]></category> <category><![CDATA[Kundenprofil]]></category> <category><![CDATA[Nutzerkonto]]></category> <category><![CDATA[Online-Shop]]></category> <category><![CDATA[Webshop]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69477</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/" title="Braucht mein Webshop einen Gastzugang?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>So ein Kundenkonto ist eine großartige Sache. Kunden müssen nicht bei jeder Bestellung ihre Daten neu eingeben, können ihre Bestellhistorie und Lieferstatus ihrer Bestellungen einsehen und sich sogar Wunschlisten mit favorisierten Artikeln erstellen. Für eine Online-Bestellung vorauszusetzen, dass Kunden ein Konto anlegen, kann daher wohl nicht schaden. Die Datenschutzkonferenz (DSK) steht diesem Thema allerdings mit [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/" title="Braucht mein Webshop einen Gastzugang?"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/shop-01-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>So ein Kundenkonto ist eine großartige Sache. Kunden müssen nicht bei jeder Bestellung ihre Daten neu eingeben, können ihre Bestellhistorie und Lieferstatus ihrer Bestellungen einsehen und sich sogar Wunschlisten mit favorisierten Artikeln erstellen. Für eine Online-Bestellung vorauszusetzen, dass Kunden ein Konto anlegen, kann daher wohl nicht schaden. Die Datenschutzkonferenz (DSK) steht diesem Thema allerdings mit weit weniger Wohlwollen gegenüber, als es wohl der Betreiber eines Webshops tut und verlangt sogar ausdrücklich einen Gastzugang zur Verfügung zu stellen. Warum das so ist, wollen wir in diesem Artikel einmal näher betrachten.<span id="more-69477"></span></p> <h2>Position der DSK zur Erforderlichkeit eines Gastzugangs</h2> <p>Das Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder vertritt in einem <a href="https://www.datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf" target="_blank" rel="noopener">Beschluss</a> die Auffassung, dass Betreiber von Webshops ihren Kunden grundsätzlich neben der Registrierung eines Kundenkontos einen Gastzugang zur Verfügung stellen müssen. Ich darf also meine Kunden nicht „zwingen“ für eine Bestellung ein Konto anzulegen.</p> <h3>Kundenkonto nur mit Einwilligung?</h3> <p>Begründet wird dies von der DSK damit, dass das Anlegen des Kundenkontos nicht notwendig sei für die Durchführung des Vertrages (Art. 6 Abs. 1 lit. b DSGVO). Der Verantwortliche könne bei einer erstmaligen Bestellung nicht davon ausgehen, dass Kunden eine dauerhafte Geschäftsbeziehung eingehen wollen. Darüber hinaus würden mit Benutzername/Passwort auch Daten verarbeitet, die ohnehin nicht erforderlich für die Durchführung des Vertrages sein sollen und damit gegen den Grundsatz der Datenminimierung verstoßen. Gem. Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten nämlich dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es sollen demnach nur die Daten erhoben werden, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.</p> <p>Ein Kundenkonto soll grundsätzlich einzig auf Grundlage einer Einwilligung erstellt werden können. Um hier nicht gegen die <a href="https://www.dr-datenschutz.de/einwilligung-im-datenschutz-das-ist-zu-beachten/">Voraussetzung „freiwillig“</a> und das <a href="https://www.dr-datenschutz.de/geld-oder-daten-wie-weit-geht-das-kopplungsverbot-der-dsgvo/" target="_blank" rel="noopener">Kopplungsverbot</a> zu verstoßen (Art. 4 Nr. 11, 7 Abs. 4 DSGVO; Kopplungsverbot = Abschluss eines Vertrages darf nicht vom Erteilen einer Einwilligung abhängen), müsse den Nutzern neben der Registrierung eines Kontos eine gleichwertige Bestellmöglichkeit zur Verfügung gestellt werden. „Gleichwertig“ soll es dabei sein, wenn</p> <blockquote><p>keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.</p></blockquote> <p>In bestimmten Fällen könne jedoch ausnahmsweise ein fortlaufendes Konto als für die Erfüllung eines Vertrages erforderlich angesehen werden. Die DSK nennt hier als Beispiel „Fachhändler bei bestimmten Berufsgruppe“ ohne dies näher auszuführen.</p> <p>Zuletzt weist die DSK auf die Erfordernisse von Datenschutzinformationen und das generelle Einwilligungserfordernis bei Werbemaßnahmen hin. Weitergehende Verarbeitungen, die nicht unmittelbar mit der Erfüllung eines Vertrags zusammenhängen (z.B. Analyse des Kaufverhaltens zu Werbezwecken, Speichern von Zahlungsmitteln) bedürfen einer Einwilligung.</p> <h3>Behördliche Prüfungen sind möglich</h3> <p>Dass dieses Thema bei den Aufsichtsbehörden auf dem Schirm ist, zeigt nicht zuletzt eine <a href="https://www.datenschutz.rlp.de/service/aktuelles/detail/informationskampagne-gastzugang" target="_blank" rel="noopener">Kampagne der rheinland-pfälzischen Aufsichtsbehörde</a>. Hierbei wurden stichprobenartig mehr als 100 Unternehmen auf das Vorhandensein von Gastzugängen in ihren Webshops überprüft. Wenig überraschend gehen auch die Rheinland-Pfälzer von einer Pflicht zum Angebot von Gastzugängen für Online-Bestellungen aus.</p> <h2>Urteil des LG Hamburg zum Gastzugang beim Online-Marktplatz</h2> <p>Wie eine Ausnahme zum Grundsatz der Pflicht einen Gastzugang zur Verfügung zu stellen aussehen könnte, hat zu Beginn des Jahres das LG Hamburg (<span class="etyp">Urteil</span> vom <span class="datum">22.2.2024</span> – <a href="https://www.juris.de/static/infodienst/autoren/D_NJRE001569990.htm" target="_blank" rel="noopener"><span class="az">327 O 250/22</span></a>) entschieden. Hier war eine Verbraucherschutzorganisation gegen den Anbieter eines Online-Markplatzes für Mode- und Lifestyleprodukte vorgegangen, um den Händler zu veranlassen, auch Bestellungen über einen Gastzugang anzunehmen.</p> <p>Im Rahmen des Prozesses wurde eine amtliche Auskunft bei der Hamburger Aufsichtsbehörde eingeholt, die in einer Stellungnahme feststellte, dass die Beklagte auf ihrer Webseite einen Platz mit einer Vielzahl angeschlossener Händler bereitstellt, über den eine hohe Zahl an Bestellungen getätigt werden kann. Für die nachgelagerte Kommunikation und Rechteausübung falle ein erheblicher Zeit- und Ressourcenaufwand an. Dieser könne mit Hilfe einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Darüber hinaus bestehe zwischen einer Bestellung mit und einer Bestellung ohne Konto kaum ein Unterschied, da sich in beiden Fällen die verarbeiteten Daten nahezu gleichen und identische, gesetzliche Rechte und Pflichten zur Aufbewahrung bestehen. Unterschied sei einzig die passwortgeschützte Zugangsmöglichkeit zu diesen Daten.</p> <p>Das Gericht folgt diesen Ausführungen und sieht damit den Ausnahmetatbestand und die Rechtsgrundlage „Vertragserfüllung“ als einschlägig an. Insgesamt ist das Urteil jedoch leider ein wenig unübersichtlich und es ist nicht ganz klar, an welcher Stelle der Grundsatz der Datenminimierung, das Gebot zu datenschutzfreundlichen Voreinstellungen oder die Rechtsgrundlage geprüft wird. Mitnehmen lässt sich allerdings, dass sich eine Registrierung eines Kundenkontos ohne Möglichkeit eines Gastzugangs rechtfertigen lässt, wenn damit eine effektive Kundenkommunikation sichergestellt und die Durchsetzung von Käuferrechten erleichtert werden kann.</p> <h2>Kritik an der &#8222;Pflicht zum Gastzugang&#8220;</h2> <p>Die Position der DSK muss man keineswegs kritiklos hinnehmen. Es lassen sich hier durchaus Schwachstellen finden. So vertritt sie hinsichtlich des Kopplungsverbots eine äußerst restriktive Auffassung, obgleich Reichweite und Umfang des Kopplungsverbots durchaus umstritten sind. Zudem äußert sich die DSK nicht zur Möglichkeit der Datenverarbeitung auf Grundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO. Hier könnten die Optimierung der Service-Leistungen, und insbesondere die Vereinfachung zukünftiger Kaufvorgänge jedoch ein berechtigtes Interesse darstellen. Es lässt sich hierbei außerdem feststellen, dass mit den fraglichen Verarbeitungsvorgängen auch keine weitergehende Erhebung von Daten erfolgt, sondern vielmehr nur Daten betroffen sind, die im Rahmen des Bestellvorgangs ohnehin schon bei dem Verantwortlichen vorhanden sind. Betroffene haben zudem die Möglichkeit, der Datenverarbeitung gem. Art. 21 DSGVO zu widersprechen. Weshalb die DSK trotzdem so vehement auf die Einwilligung pocht und das berechtigte Interesse nicht einmal erwähnt, ist somit nicht in Gänze nachvollziehbar.</p> <p>Die DSK erwähnt außerdem nicht, dass auch vorvertragliche Handlungen eine taugliche Rechtsgrundlage gem. Art. 6 Abs. 1 lit. b DSGVO darstellen können. Das Erstellen eines Nutzerkontos könnte als eine vorvertragliche Handlung angesehen werden. In der Praxis besteht außerdem die Möglichkeit einen &#8222;Plattformvertrag&#8220; anzubieten und somit ein etwaiges Einwilligungserfordernis zu umgehen.</p> <h2>Müssen Webshops nun Kunden einen Gastzugang anbieten?</h2> <p>Wer compliance-technisch auf Nummer Sicher gehen möchte, der sollte trotz nachvollziehbarer Kritik an der Auffassung der DSK, einen Gastzugang bereitstellen. Die Bestellmöglichkeit über den Gastzugang sollte dabei nicht unnötig erschwert oder versteckt werden. Das Urteil des LG Hamburg zeigt, dass in bestimmten Fällen Ausnahmen möglich sind. In diesen Fällen sollten allerdings die Gründe gut dokumentiert werden, um im Falle einer Prüfung etwas in der Hand zu haben.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Braucht mein Webshop einen Gastzugang? - https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/&t=Braucht mein Webshop einen Gastzugang?" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Braucht mein Webshop einen Gastzugang?&body=https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/braucht-mein-webshop-einen-gastzugang/feed/</wfw:commentRss> <slash:comments>1</slash:comments> </item> <item> <title>Kassenlose Supermärkte – Datenschutz beim Einkaufen</title> <link>https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/</link> <comments>https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/#comments</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Wed, 13 Nov 2024 13:03:37 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[biometrische Daten]]></category> <category><![CDATA[Datenminimierung]]></category> <category><![CDATA[Datenmissbrauch]]></category> <category><![CDATA[Gesichtserkennungssoftware]]></category> <category><![CDATA[Kamera]]></category> <category><![CDATA[KI]]></category> <category><![CDATA[Profilbildung]]></category> <category><![CDATA[Überwachung]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69444</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/" title="Kassenlose Supermärkte – Datenschutz beim Einkaufen"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>„Hin und weg!“ mit diesem Versprechen locken Supermärkte Kunden in ihre kassenlosen Filialen. Das Konzept: Den Supermarkt betreten, die Lebensmittel einpacken und ohne zur Kasse zu gehen, den Laden wieder verlassen. Das Bezahlen geschieht automatisch. Ob das digitalisierte Einkaufen jedoch auch aus Sicht des Datenschutzes verlockend ist, beleuchten wir in diesem Artikel. Kassenlose Pilotprojekte Während [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/" title="Kassenlose Supermärkte – Datenschutz beim Einkaufen"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-27-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>„Hin und weg!“ mit diesem Versprechen locken Supermärkte Kunden in ihre kassenlosen Filialen. Das Konzept: Den Supermarkt betreten, die Lebensmittel einpacken und ohne zur Kasse zu gehen, den Laden wieder verlassen. Das Bezahlen geschieht automatisch. Ob das digitalisierte Einkaufen jedoch auch aus Sicht des Datenschutzes verlockend ist, beleuchten wir in diesem Artikel.<span id="more-69444"></span></p> <h2>Kassenlose Pilotprojekte</h2> <p>Während es in vielen europäischen Ländern bereits seit einigen Jahren kassenlose Supermärkte gibt, hält die Digitalisierung nun auch in Deutschland Einzug. Etliche Supermarktketten bringen ihre Version vom digitalisierten Einkaufen auf den Markt. Mit unterschiedlichen Ansätzen.</p> <h3>Pick&amp;Go bei REWE</h3> <p>Die Supermarktkette REWE testet derzeit das Pick&amp;Go-Konzept. Laut eigener Aussage werden hierbei</p> <blockquote><p>„die Einkäufe mittels modernster Kamera- und Sensortechnologie […] erfasst und auf Wunsch nach Verlassen des Marktes ohne Kassenvorgang automatisch abgerechnet.“</p></blockquote> <p>Beim Betreten des Supermarktes fällt der Blick sofort auf die unter der Decke installierten Kameras. Im Abstand von wenigen Zentimetern gibt es hunderte Kameras, die jede Bewegung des Kunden filmen. REWE verwendet ein Kamera- und Sensorprogramm, bei dem jeder Artikel, den der Kunde aus den Regalen entnimmt, digital erfasst wird. Der Einkauf wird dann über die App bezahlt. REWE wirbt hier zwar damit, dass aus dem Bildmaterial der Kameras 3D-Formate generiert werden, um eine Pseudonymisierung zu gewährleisten, ob hierbei jedoch Profilbildung stattfindet, ist nicht klar.</p> <h3>Aldi nutzt KI</h3> <p>Aldi verfolgt ein ähnliches Konzept. Auch hier werden Einkäufe mithilfe von Kameras und Sensoren erfasst. Hier unterschiedet sich der Vorgang insofern, dass sich die Kunden bei Betreten der Filiale bereits in der Aldi-App einloggen müssen, um den Einkauf digital zu tätigen. Überdies nutzt der Discounter – anders als REWE – eine Künstliche Intelligenz, um die Bewegungen und damit auch den Einkauf des Kunden abzubilden. Was das genau für ein KI-System ist und wie die Kundendaten dort geschützt werden, lässt sich jedoch leider keiner Datenschutzerklärung entnehmen.</p> <h3>tegut benötigt eine Kreditkarte</h3> <p>Die Supermarktkette tegut hat mit seinem Konzept „tegut… teo“ bereits 2020 in Fulda Deutschlands ersten kassenlosen Supermarkt eröffnet. Kunden gelangen per QR-Code aus der tegut-App oder durch Einlesen einer EC- oder Kreditkarte in den Store. Bezahlt wird bargeldlos, entweder über die App oder Self-Check-out-Kassen. Nach dem Einkauf ermöglicht ein QR-Code das Verlassen des Ladens. Zusätzlich zu den Bewegungsdaten beim Einkauf kann hier eine EC- oder Kreditkarte als „Eintrittspfand&#8220; hinterlegt werden. Wie lange (<a href="https://www.tegut.com/datenschutz-teo.html" target="_blank" rel="noopener">„einige Tage“</a>) die EC- und Kreditkartendaten gespeichert werden, bleibt unklar.</p> <h2>Vielfalt an Bezahlmöglichkeiten</h2> <p>Nicht nur das Lebensmittelsortiment im Supermarkt ist vielfältig. Kunden können künftig im Supermarkt selbst aus einer Mehrzahl an Möglichkeiten wählen, wie sie ihren Einkauf bezahlen wollen. Kassenlose Supermärkte bieten ihren Kunden neue digitale Wege des Bezahlens. Die Qual der Wahl?</p> <h3>Kassenloses Bezahlen</h3> <p>Eine Vielzahl dieser kassenlosen Supermärkte bieten das „kassenlose Bezahlen“ an. Hierbei wird der Einkauf bereits im Laden durch Kameras erfasst. An der Bezahlstation wird dann lediglich der gescannte Einkauf auf dem Bildschirm abgebildet und kann schließlich an einem EC-Kartenterminal bezahlt werden. Hier ist kein menschliches Zutun bis auf das Vorhalten oder Einstecken der Karte erforderlich.</p> <h3>Bezahlen in der App und einfaches Verlassen der Filiale</h3> <p>Der schnellste Weg, um seinen Einkauf zu erledigen ist die „Computer Vision“-Methode. Hierbei verfolgen die Kameras, welche Produkte der Kunde in den Korb oder in seine mitgebrachte Tasche packt. Sobald der Kunde den Laden verlässt, wird der Warenkorb in der App abgerechnet. Bezahlt wird hierbei mit der in der App angegeben Bezahlmethode des Kunden.</p> <h2>Datenschutzrechtliche Kritik an den Supermärkten</h2> <p>So weit, so gut. Doch was kann aus datenschutzrechtlicher Sicht problematisch sein? Die kassenlosen Supermärkte verarbeiten viele personenbezogene Daten. Oft auch Daten, bei denen sich der Kunde der Datenverarbeitung gar nicht bewusst ist. Es ist daher Vorsicht geboten.</p> <h3>Biometrischen Daten und Gesichtserkennung in den Filialen</h3> <p>Biometrische Daten zählen zu den besonders schützenswerten Informationen und dürfen nur mit ausdrücklicher Einwilligung verarbeitet werden. Es gilt das Prinzip der Datensparsamkeit, sodass nur die unbedingt erforderlichen Daten erhoben werden dürfen. Einige Supermärkte behaupten, dass sie keinerlei Gesichtserkennung verwenden. Bilddaten werden zunächst trotzdem angefertigt, auch wenn diese nicht aktiv verwendet werden, speichert z. B. REWE die erhobenen Daten unüblich lange (<a href="https://www.tegut.com/datenschutz-teo.html" target="_blank" rel="noopener">„</a><a href="https://www.rewe.de/service/datenschutz/bilddaten-kassenloser-einkauf/" target="_blank" rel="noopener">bis zu 10 Tage</a>“).</p> <h3>Profilbildung und Manipulation</h3> <p>Die erhobenen Daten zu Bewegungsmustern oder Einkaufsvorlieben könnten dazu verwendet werden, detaillierte Kundenprofile zu erstellen. Diese Profile enthalten Informationen über beispielsweise Lebensmittelpräferenzen oder Einkaufsgewohnheiten. Auf dieser Basis könnten personalisierte Preise oder gezielte Werbeanzeigen erstellt werden. Dieser Umstand öffnet die Tür für Manipulation und könnte überdies die Entscheidungsfreiheit der Verbraucher einschränken.</p> <h3>Und was ist die Rechtsgrundlage?</h3> <p>Die Supermärkte stützen die personenbezogenen Daten auf unterschiedlichen Rechtsgrundlagen. Während REWE die Datenverarbeitungen auf die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO stützt, gibt tegut an, die Daten aufgrund eines Vertrags bzw. aufgrund seines berechtigten Interesses zu verarbeiten (Art. 6 Abs. 1 lit. b, f DSGVO).</p> <p>Zu der Einwilligung ist allerdings anzumerken, dass zumeist zwar hinreichende Datenschutzhinweise vorhanden sind. Eine „konkludente&#8220; Einwilligung durch das Betreten des Supermarktes ist jedoch nicht zulässig. Eine alternative Einwilligungseinholung ist im Übrigen nicht ersichtlich. Außerdem stellt sich in diesem Zusammenhang die Frage, inwiefern die Nutzung des Supermarktes freiwillig ist. Ist ein Nutzer nicht mit dem Kamera- und Sensorsystem einverstanden, ist seine einzige Möglichkeit, diese zu vermeiden, das Fernbleiben. Auch dies kann in Gebieten, wo z. B. die Supermarktdichte nicht hoch ist, durchaus einschränkend sein.</p> <p>Überdies ist das Abstellen auf ein berechtigtes Interesse in diesem Zusammenhang fraglich, da die Datenverarbeitung über das Mindestmaß, was für eine Kaufabwicklung erforderlich ist, deutlich hinausgeht. Zudem ist zweifelhaft, ob der Supermarktkette als berechtigtes Interesse ein „möglichst gutes Kauferlebnis&#8220; als Rechtfertigung für die Erhebung von Finanz- und biometrischen Daten genügt.</p> <h3>Hinreichende TOMs der Supermärkte?!</h3> <p>Die Sammlung großer Mengen an Daten erhöht die Gefahr von Datenmissbrauch. Sei es durch interne Fehler, unzureichende Sicherheitsmaßnahmen oder gezielte Cyberangriffe. Besonders problematisch wäre dies bei biometrischen Daten, da diese nicht „zurückgesetzt“ oder geändert werden können wie ein Passwort. Und nicht umsonst sind Ernährung und der tägliche Bedarf Teil des höchstpersönlichen Lebensraums.</p> <p>Man muss den Supermarktketten zugutehalten, dass sie entsprechende TOMs zum Schutz der personenbezogenen Daten installiert haben. Diese werden mal umfassender, mal weniger umfassend im Sinne der Datenminimierung umgesetzt. Ob man eine Kreditkarte, mit der man womöglich am Ende gar nicht bezahlen möchte, als Eintrittspfand hinterlegen sollte, ist zu bezweifeln. Auch was die Künstliche Intelligenz mit den Bewegungsdaten und Einkaufsgewohnheiten macht, ist ungeklärt. Es gibt zwar Verbesserungsbedarf. Ein grundsätzliches Bewusstsein für den Datenschutz besteht jedoch.</p> <h2>Sollten wir nun alle digital einkaufen?</h2> <p>Ist das Einkaufen in kassenlosen Supermärkten nun ein erhebliches Risiko für die personenbezogenen Daten? Nicht zwangsläufig. Wichtig ist, dass möglichst viele datenschutzfreundliche Voreinstellungen von Unternehmen installiert werden. Außerdem sollte es weiterhin jederzeit die Möglichkeit zum analogen Einkaufen geben. Letztlich ist es jedem selbst überlassen, ob er diese Technologien nutzen möchte.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Kassenlose Supermärkte – Datenschutz beim Einkaufen - https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/&t=Kassenlose Supermärkte – Datenschutz beim Einkaufen" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Kassenlose Supermärkte – Datenschutz beim Einkaufen&body=https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/kassenlose-supermaerkte-datenschutz-beim-einkaufen/feed/</wfw:commentRss> <slash:comments>1</slash:comments> </item> <item> <title>Mobiles Arbeiten im Ausland: Das ist zu beachten</title> <link>https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/</link> <comments>https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/#respond</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Tue, 12 Nov 2024 16:30:26 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[Datentransfer]]></category> <category><![CDATA[Datenübermittlung]]></category> <category><![CDATA[Homeoffice]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69406</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/" title="Mobiles Arbeiten im Ausland: Das ist zu beachten"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Latte Macchiato, Liegestuhl, Laptop – diese Kombination bieten immer mehr Arbeitgeber ihren Mitarbeitern, durch die Option auch im Ausland zu arbeiten, an. Der Beitrag gibt eine Einführung, was bei der Umsetzung rechtlich relevant sein kann. Ist mobiles Arbeiten im Ausland aus dem Homeoffice erlaubt? Es gibt weder ein gesetzliches Verbot noch ein Recht auf Arbeit [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/" title="Mobiles Arbeiten im Ausland: Das ist zu beachten"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/international-02-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Latte Macchiato, Liegestuhl, Laptop <span id="Homeoffice-mobiles-Arbeiten-im-Ausland-ein-Interessenkonflikt">– </span>diese Kombination bieten immer mehr Arbeitgeber ihren Mitarbeitern, durch die Option auch im Ausland zu arbeiten, an. Der Beitrag gibt eine Einführung, was bei der Umsetzung rechtlich relevant sein kann.<span id="more-69406"></span></p> <h2>Ist mobiles Arbeiten im Ausland aus dem Homeoffice erlaubt?</h2> <p>Es gibt weder ein gesetzliches Verbot noch ein Recht auf Arbeit im Ausland. Mangels gesetzlicher Regelungen treffen Arbeitgeber häufig eigene Regelungen über die Zulässigkeit von Auslandstätigkeiten:</p> <ul> <li class="align--justify">Verpflichtung zu Verschwiegenheit und Datenschutz,</li> <li class="align--justify">Pflicht des Arbeitnehmenden zur Dokumentation der Arbeitszeit,</li> <li class="align--justify">Informationspflichten über den Aufenthalt des Arbeitnehmers,</li> <li>welche Arbeitsmittel der Arbeitgeber zur Verfügung stellt und welche nicht,</li> <li>welche zeitliche Befristung für die Arbeit im Ausland bestehen und</li> <li>inwieweit eine Rückkehrpflicht besteht.</li> </ul> <p>Diese und weitere Regelungen zur Auslandstätigkeit können im Arbeitsvertrag oder in einer internen Richtlinie enthalten sein. Ist dies nicht der Fall, müssen die Einzelheiten individuell vereinbart werden.</p> <h3>Kann der Arbeitgeber mobiles Arbeiten im Ausland auch verbieten?</h3> <p>Da der Arbeitnehmer keinen Rechtsanspruch auf eine Auslandstätigkeit hat, kann der Arbeitgeber diese auch untersagen. Versuche von Arbeitnehmern, aus der Pflicht des Arbeitgebers zur Rücksichtnahme auf die Interessen des Arbeitnehmers (§ 241 Abs. 2 BGB) einen Anspruch auf Erteilung der Zustimmung zur Auslandstätigkeit herzuleiten, waren bisher nicht erfolgreich. So sah es das <a href="https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-27679?hl=true" target="_blank" rel="noopener">ArbG München</a> nicht als ermessensfehlerhaft an, wenn der Arbeitgeber von vornherein keine Zustimmung zur Auslandstätigkeit erteilt. Dies gelte selbst dann, wenn der Lebenspartner des Arbeitnehmers im Ausland lebe und dadurch die familiäre Nähe erschwert sei. Ähnlich entschied das <a href="https://openjur.de/u/2485126.html" target="_blank" rel="noopener">LAG Köln</a>, dass Arbeitnehmer auch dann keinen Anspruch auf eine Auslandstätigkeit hätten, wenn der Arbeitgeber in einer Betriebsvereinbarung über das mobile Arberiten  die Möglichkeit vorsah, diese individuell zu erlauben.</p> <h2>Wichtige Rechtsvorschriften beim mobilen Arbeiten im Ausland</h2> <p>Darüber hinaus hängen viele rechtliche Rahmenbedingungen davon ab, in welchem Land der Arbeitnehmer arbeiten möchte. Von primärer Bedeutung für die Rahmenbedingungen der Arbeit in der EU sind oft aber folgende Rechtsakte</p> <ul> <li>Die VO (EG) Nr. 883/2004 zur Koordinierung der Systeme der sozialen Sicherheit für Fragen der Sozialversicherung,</li> <li>Für Fragen der Aufenthalts- und Arbeitserlaubnis; Art. 45 / Art. 21 AEUV i.V.m. mit den jeweiligen Umsetzungsakten,</li> <li>Für die Besteuerung der Arbeitseinkünfte das EStG bzw. speziellere Doppelbesteuerungsabkommen (DBA&#8217;s),</li> <li>und die Verordnung (EG) Nr. 593/2008 zum anwendbaren Arbeitsrecht.</li> </ul> <p>Weniger arbeitsrechtlich geprägt, aber ebenso wichtig ist das Datenschutzrecht, um das es im nächsten Abschnitt geht.</p> <h2>Datenschutz beim Homeoffice im EU-Ausland</h2> <p>Die DSGVO gilt in allen EU-Ländern und EWR-Ländern (Norwegen, Island und Liechtenstein), so dass ein Aufenthalt von Mitarbeitern im EU-Ausland wenig problematisch ist. Dasselbe gilt für Länder mit Angemessenheitsbeschluss, weil dort ein vergleichbares Datenschutzniveau bestehen soll. Im Übrigen ist das jeweilige nationale Datenschutzrecht zu beachten.</p> <h2>Datenschutz beim mobilen Arbeiten in unsicheren Drittländern</h2> <p>Komplizierter wird es, wenn sich die Mitarbeiter nicht im EU-Ausland befinden. Dann müssen „für jede“ Übermittlung auch die Garantien  nach Art. 44 ff. DSGVO bestehen. Eine Übermittlung liegt vor, wenn Daten aus dem Drittland zugänglich gemacht oder abgerufen werden können. Der EDSA geht bei Erfüllung folgender Kriterien von einer solchen aus:</p> <ol> <li>Der Datenexporteur unterliegt der DSGVO,</li> <li>der Exporteur legt personenbezogene Daten gegenüber einem Datenimporteur offen und</li> <li>der Importeur befindet sich in einem Drittland.</li> </ol> <p>Bei einem Fernzugriff durch im EU-Ausland tätige Mitarbeiter wäre es denkbar, diesen als eine den Art. 44 ff. DSGVO unterliegende Übermittlung zu konstruieren. Der <a href="https://www.edpb.europa.eu/system/files/2023-09/edpb_guidelines_05-2021_interplay_between_the_application_de.pdf" target="_blank" rel="noopener">EDSA</a> ist jedoch einen anderen Weg gegangen und geht von einer rein internen Verarbeitung durch den Arbeitgeber aus. Gibt der Arbeitnehmer die Daten an Dritte weiter, liegt wiederum eine Übermittlung vor. D.h. es bleibt ein Restrisiko für Arbeitgeber, ihre Arbeitnehmer im EU-Ausland arbeiten zu lassen.</p> <h2>Dem Risiko im Ausland angemessene IT-Sicherheitsmaßnahmen</h2> <p>Lässt sich ein Drittlandaufenthalt von Mitarbeitern in EU-Drittstaaten ohne vergleichbares Datenschutzniveau nicht vermeiden, sollten daher <a href="https://www.dr-datenschutz.de/was-sind-technisch-und-organisatorische-massnahmen-tom/" target="_blank" rel="noopener">TOM</a> zur <a href="https://www.dr-datenschutz.de/der-risikobegriff-in-der-datenschutz-grundverordnung/" target="_blank" rel="noopener">Risikominimierung</a> ergriffen werden. Beispielhaft können diese sein:</p> <ul> <li> IT-Geräte sollten verschlüsselt werden. Das gilt auch für die vom Arbeitgeber herausgegebenen USB-Sticks,</li> <li>der Zugriff auf das Betriebssystem sollte mit einem Kennwort versehen sein,</li> <li>die IT-Systeme sollten durch eine Zwei-Faktor-Authentifizierung gesichert sein,</li> <li>Mitarbeiter sollten darauf zu verpflichten werden stets den Bildschirm bei Verlassen des Arbeitsgeräts zu sperren,</li> <li>IT-Geräte des Arbeitgebers sind stets entweder bei sich oder in einem zugangsgesperrten Raum zu verwahren,</li> <li>Daten sollten zentral im Inland gespeichert sein und nur bei Bedarf heruntergeladen werden,</li> <li>die Datenübermittlung (z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein,</li> <li>Zugriffe auf die Firmen-IT-Infrastruktur sollten nur über auf ausreichende Belastbarkeit getesteten VPNs möglich sein,</li> <li>die Netzwerkeinstellungen der IT-Geräte sollten einen Zugriff auf das Internet nur über die Firmen-VPN zulassen,</li> <li>es sollte Sichtschutzfolie beim mobilen Arbeiten verwendet werden.</li> </ul> <p>Es ist wichtig, den Mitarbeitern die relevanten Regelungen im Unternehmen und ggf. im Ausland zu vermitteln. Denn: Niemandem ist geholfen, wenn er hinterher sagt: &#8222;Das habe ich nicht gewusst oder das hat man mir nicht gesagt&#8220;.</p> <h2>Mobiles Arbeiten im Ausland – ein Interessenkonflikt<strong><br /> </strong></h2> <p>In Zeiten des zunehmenden Fachkräftemangels werden Homeoffice &amp; mobiles Arbeiten im Ausland immer mehr zu einem etablierten Benefit, um Mitarbeiter zu gewinnen. Aber auch der (EU-) Gesetzgeber verschärft in vielen Bereichen die Anforderungen an die IT-Sicherheit – beispielsweise durch den <a href="https://www.dr-datenschutz.de/dora-der-digital-operational-resilience-act-kurz-erklaert/">Digital Operational Resilience Act</a> und <a href="https://www.dr-datenschutz.de/nis-2-anforderungen-an-die-informationssicherheit/">NIS 2</a>. Dies kann Arbeitgeber in einen Interessenskonflikt zwischen rechtssicherer Compliance und flexiblen Arbeitsbedingungen bringen.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=Mobiles Arbeiten im Ausland: Das ist zu beachten - https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/&t=Mobiles Arbeiten im Ausland: Das ist zu beachten" target="_blank">FACEBOOK</a> <a href="mailto:?subject=Mobiles Arbeiten im Ausland: Das ist zu beachten&body=https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/mobiles-arbeiten-im-ausland-das-ist-zu-beachten/feed/</wfw:commentRss> <slash:comments>0</slash:comments> </item> <item> <title>KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt</title> <link>https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/</link> <comments>https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/#respond</comments> <dc:creator><![CDATA[]]></dc:creator> <pubDate>Mon, 11 Nov 2024 15:11:58 +0000</pubDate> <category><![CDATA[Allgemein]]></category> <category><![CDATA[AI Act]]></category> <category><![CDATA[Compliance]]></category> <category><![CDATA[KI-Verordnung]]></category> <category><![CDATA[Künstliche Intelligenz]]></category> <guid isPermaLink="false">https://www.dr-datenschutz.de/?p=69416</guid> <description><![CDATA[<div><a href="https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/" title="KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div>Viele wollen sie, wenige haben sie: KI-Kompetenz. Wenn Unternehmen KI-Systeme einsetzen, müssen sie sich darauf einstellen, ihr Personal hierfür zu schulen. Die KI-Verordnung steckt dafür den Rahmen, aber enthält keine konkreten Anweisungen. Der Artikel stellt heraus, woran Unternehmen sich orientieren können und gibt erste Empfehlungen. Warum überhaupt KI-Kompetenz? Dass Unternehmen die KI-Kompetenz ihres Personals sicherstellen [&#8230;]]]></description> <content:encoded><![CDATA[<div><a href="https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/" title="KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt"><img width="660" height="390" src="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" loading="lazy" srcset="https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04.jpg 660w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-280x165.jpg 280w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-600x355.jpg 600w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-66x39.jpg 66w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-174x103.jpg 174w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-187x111.jpg 187w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-207x122.jpg 207w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-246x145.jpg 246w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-364x215.jpg 364w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-511x302.jpg 511w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-130x77.jpg 130w, https://www.dr-datenschutz.de/wp-content/uploads/2014/04/daten-04-100x60.jpg 100w" sizes="(max-width: 660px) 100vw, 660px" /></a></div><p>Viele wollen sie, wenige haben sie: KI-Kompetenz. Wenn Unternehmen KI-Systeme einsetzen, müssen sie sich darauf einstellen, ihr Personal hierfür zu schulen. Die KI-Verordnung steckt dafür den Rahmen, aber enthält keine konkreten Anweisungen. Der Artikel stellt heraus, woran Unternehmen sich orientieren können und gibt erste Empfehlungen.<span id="more-69416"></span></p> <h2>Warum überhaupt KI-Kompetenz?</h2> <p>Dass Unternehmen die KI-Kompetenz ihres Personals sicherstellen müssen, ergibt sich aus <a href="https://ai-act-law.eu/de/artikel/4/" target="_blank" rel="noopener">Artikel 4 der KI-Verordnung</a>. Dieser sagt:</p> <blockquote><p>„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen (…)“</p></blockquote> <p>Auch wenn sie keine Anbieter von KI-Systemen sind, sollten Unternehmen hier hellhörig werden. Denn: Zum Betreiber wird man schnell. Wenn eine natürliche oder juristische Person im Rahmen einer beruflichen Tätigkeit ein KI-System in eigener Verantwortung verwendet, ist sie Betreiber gemäß Art. 3 Nr. 4 KI-VO und unterfällt somit Artikel 4 KI-VO.</p> <h2>Was ist KI-Kompetenz?</h2> <p>Unternehmen sollten diese neue Kompetenz also auf der Agenda haben. Nur: Was ist überhaupt KI-Kompetenz? Artikel 3 Nr. 56 KI-VO liefert eine Begriffsdefinition. Hiernach bezeichnet KI-Kompetenz:</p> <blockquote><p>„(…) die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“</p></blockquote> <h2>Wann hat man KI-Kompetenz?</h2> <p>Unternehmen können den vorgenannten Normen keine Checkliste dafür entnehmen, ab wann ihr Personal (hierauf soll sich dieser Beitrag beschränken) KI-Kompetenz hat. Fest steht, dass der sachkundige Einsatz von KI-Systemen ermöglicht werden und dass diese KI-Kompetenz in „ausreichendem Maß“ vorhanden sein soll. Dabei geht Art. 4 KI-VO zwar näher darauf ein, welche Umstände zu berücksichtigen sind. Was er aber nicht sagt: „ausreichend“ wofür? Für den sachkundigen Einsatz?</p> <p>Ein Blick in <a href="https://ai-act-law.eu/de/erwg/20/" target="_blank" rel="noopener">Erwägungsgrund 20</a> der Verordnung hilft noch ein bisschen weiter. Dieser spricht u.a. davon, dass KI-Kompetenz existiert, um die angemessene Einhaltung und ordnungsgemäße Durchsetzung der Verordnung sicherzustellen und damit „fundierte Entscheidungen“ (EN: „informed decisions“) über KI-Systeme getroffen werden können. Was aber immer noch nicht klar wird ist: Was muss man dafür konkret tun?</p> <h2>Kompetenzinstrumente und Verhaltenskodizes</h2> <p>Derselbe Erwägungsgrund legt offen, wie die Kommission KI-Kompetenz voranbringen möchte. Und zwar wie folgt:</p> <blockquote><p>„Ein Europäisches Gremium für Künstliche Intelligenz (im Folgenden „KI-Gremium“) sollte die Kommission dabei unterstützen, KI-Kompetenzinstrumente (…) zu fördern. In Zusammenarbeit mit den einschlägigen Interessenträgern sollten die Kommission und die Mitgliedstaaten die Ausarbeitung freiwilliger Verhaltenskodizes erleichtern, um die KI-Kompetenz von Personen, die mit der Entwicklung, dem Betrieb und der Verwendung von KI befasst sind, zu fördern.“</p></blockquote> <p>Unternehmen können sich also darauf einstellen, dass es Hilfsmittel von Seiten der EU für die Umsetzung ihrer Pflichten aus Art. 4 KI-VO geben wird. An den Sitzungen des „KI-Gremiums“ nimmt u.a. das <a href="https://www.dr-datenschutz.de/die-ki-verordnung-und-das-buero-fuer-kuenstliche-intelligenz/">Büro für Künstliche Intelligenz</a> teil. Im Idealfall werden diese Hilfsmittel ganz konkrete Anforderungen und Maßnahmen enthalten, die Compliance ermöglichen und erleichtern.</p> <h2>Unternehmen sollten jetzt schon handeln</h2> <p>Geduldiges Warten auf die oben beschriebenen Hilfsmittel empfiehlt sich nicht. Ein Blick in den Verordnungstext zeigt nämlich, dass Artikel 4 bereits ab dem 2. Februar 2025 gilt (das folgt aus Art. 113 Abs. 2 KI-VO). Das bedeutet nicht, dass das betreffende Personal zu diesem Zeitpunkt seine KI-Kompetenz schon erworben haben muss. Wohl aber, dass Unternehmen dann ihren Pflichten nachkommen und Maßnahmen gemäß Artikel 4 KI-VO ergreifen müssen. Unternehmen sollten vorausschauend planen und jetzt schon überlegen, welche Prozesse sie aufsetzen können.</p> <h2>Eine Übersicht sinnvoller Maßnahmen</h2> <p>In Ermangelung eines konkreten Maßnahmenkataloges müssen sich Unternehmen an den Kriterien orientieren, die ihnen die Verordnung bietet. Hierbei ist eine Kernforderung: der „sachkundige“ Einsatz von KI-Systemen im Bewusstsein ihrer Chancen, Risiken und Folgen (verursachte Schäden). Dieser wird ermöglicht durch KI-Kompetenz – das folgt aus der Begriffsdefinition in Art. 3 Nr. 56 KI-VO. Sinnvollerweise sollten Unternehmen hierfür u.a.:</p> <ul> <li>Eine Strategie zur Einführung und Nutzung von KI-Systemen haben (klären, um welche KI-Systeme es überhaupt geht).</li> <li>Eine Richtlinie für die unternehmensinterne Nutzung von KI-Systemen vorhalten.</li> <li>Schulungskonzepte entwickeln, die den Mitarbeitenden ein solides Verständnis der Funktionsweise, der ordnungsgemäßen Handhabung und der Nutzungsmöglichkeiten der entsprechenden KI-Systeme vermitteln.</li> <li>Dabei den jeweiligen Ausbildungs- und Kenntnisstand der Mitarbeitenden berücksichtigen.</li> <li>Die rasante Entwicklung der Technik im Auge behalten und Maßnahmen regelmäßig überprüfen.</li> </ul> <h2>KI-Kompetenz bedeutet auch Datenschutzkompetenz</h2> <p>Bei der Vermittlung von Kenntnissen und Fähigkeiten im Bereich KI gilt es, unterschiedliche Disziplinen zusammenzuführen. Fest steht dabei: Zu KI-Kompetenz gehört auch Datenschutzkompetenz. So gehört zum Grundlagenverständnis, den Zusammenhang zwischen Daten und KI-Systemen zu begreifen. Die Verarbeitung personenbezogener Daten durch KI-Systeme stellt die Praxis vor eine Vielzahl rechtlicher Probleme. Hierfür sollten Mitarbeitende sensibilisiert sein. Die KI-Verordnung nimmt auch an mehreren Stellen Bezug auf die DSGVO, vgl. u.a. Art. 10 Abs. 5 und Art. 27 Abs. 4 KI-VO. Damit ist Datenschutz auf dem Weg zu der so viel beschworenen KI-Kompetenz ein wichtiger Schritt.</p> <p></p> <hr /> <strong>Gefällt Ihnen der Beitrag?</strong><br /> Dann unterstützen Sie uns doch mit einer Empfehlung per:<br /> <a href="http://twitter.com/home?status=KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt - https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/" target="_blank">TWITTER</a> <a href="http://www.facebook.com/share.php?u=https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/&t=KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt" target="_blank">FACEBOOK</a> <a href="mailto:?subject=KI-Kompetenz: was die KI-Verordnung von Unternehmen verlangt&body=https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/" target="_blank">E-MAIL</a> <a href="http://www.xing.com/app/user?op=share;url=https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/" target="_blank">XING</a><br /> Oder schreiben Sie uns Ihre Meinung zum Beitrag:<br /> <a href="https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/#respond" target="_blank">HIER KOMMENTIEREN</a> <hr /> © <a href="https://www.intersoft-consulting.de" title="Externer Datenschutzbeauftragter">www.intersoft-consulting.de</a><br />]]></content:encoded> <wfw:commentRss>https://www.dr-datenschutz.de/ki-kompetenz-was-die-ki-verordnung-von-unternehmen-verlangt/feed/</wfw:commentRss> <slash:comments>0</slash:comments> </item> </channel> </rss>