Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Posted on 23. Januar 2026 by Christian Klos

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Cloud-Speicher sind aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Die dezentrale Speicherung erlaubt eine einfache und robuste Datensicherung sowie eine simple Verfügbarmachung von Daten innerhalb der Belegschaft.

Das Thema Datenschutz wird dabei jedoch häufig vernachlässigt. Dabei müssen sich Unternehmen neben technischen auch rechtlichen Herausforderungen stellen, insbesondere im Hinblick auf die Einhaltung der Datenschutzgrundverordnung (DSGVO).

Verstöße gegen diese können zu hohen Bußgeldern sowie zum Vertrauensverlust bei Kunden und Partnern führen.

Dieser Artikel erläutert, welche Anforderungen an eine DSGVO-konforme Cloud-Nutzung gestellt werden, welche Risiken bestehen und wie Unternehmen mit der richtigen Anbieterwahl, vertraglichen Absicherung und Sicherheitsmaßnahmen ihre Cloud-Daten effektiv schützen können.

Das Wichtigste in Kürze

Wählen Sie Cloud-Anbieter mit Sitz in Deutschland oder der EU, um Drittlandübermittlungen zu minimieren und datenschutzrechtliche Risiken zu reduzieren.
Schließen Sie mit Ihrem Cloud-Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) ab.
Setzen Sie wichtige technische und organisatorische Maßnahmen (TOM) wie die Nutzung von Ende-zu-Ende-Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung und das Management von Benutzerrollen und Zugriffsrechten um.
Bei US-Anbietern wie Microsoft oder Google prüfen Sie, ob das EU-US Data Privacy Framework greift oder zusätzliche Maßnahmen und Standardvertragsklauseln erforderlich sind.
Geschäftsführer können bei Datenschutzverstößen persönlich haften, insbesondere bei Organisationsverschulden oder mangelhafter Aufsicht. Auch IT-Verantwortliche können in Einzelfällen haftbar gemacht werden, wenn ihnen ein persönliches Fehlverhalten nachgewiesen wird.

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Cloud Computing bezeichnet die Bereitstellung von Speicher, Rechenleistung und Anwendungen über das Internet. Statt eigene Server zu betreiben, greifen Unternehmen auf die IT-Infrastruktur großer Anbieter wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform oder die Telekom Open Telekom Cloud zu. Die Vorteile liegen auf der Hand: Skalierbarkeit, Kostentransparenz und Zugriff von überall.

Dabei werden Daten nicht mehr im eigenen Rechenzentrum gespeichert, sondern dezentral in verteilten Rechenzentren. Für Nutzer ist dabei oft nicht unmittelbar erkennbar, wo ihre Dateien physisch liegen.

Personenbezogene Daten, die in der Cloud gespeichert werden, unterliegen dabei den strengen Auflagen der DSGVO unabhängig davon, welchen Dienst Sie nutzen.

Beispiele von personenbezogenen Daten in der Cloud:

Kundendaten aus CRM-Systemen
Mitarbeiterdaten für Lohnabrechnung und HR
E-Mail-Kommunikation und Support-Tickets
Logdaten mit IP-Adressen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Die Cloud-Nutzung lässt sich in drei klassische Service-Modelle unterteilen:

Infrastructure as a Service (IaaS): Sie mieten virtuelle Server, Speicherplatz und Netzwerkressourcen. Beispiele sind AWS EC2, Hetzner Cloud oder IONOS Cloud. Sie verwalten Betriebssystem, Patches und Anwendungen selbst.

Platform as a Service (PaaS): Der Anbieter stellt eine Entwicklungsplattform bereit. Beispiele sind Heroku oder Google App Engine. Sie kümmern sich nur noch um Ihre Anwendung, nicht um die darunterliegende Infrastruktur.

Software as a Service (SaaS): Fertige Anwendungen werden über den Browser genutzt. Beispiele sind Microsoft 365, Salesforce, Dropbox oder Online-Office-Lösungen wie Google Workspace.

Wichtig: Die technische Verantwortung verteilt sich je nach Modell unterschiedlich zwischen Anbieter und Kunde. Die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO bleibt jedoch immer beim Unternehmen.

Diese Unterschiede werden bei der Auswahl und den technischen und organisatorischen Maßnahmen (TOM) relevant.

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Beide Regelwerke bilden den rechtlichen Rahmen für den Datenschutz bei Cloud Computing.

Relevante DSGVO-Artikel für Cloud Datenschutz:

Art. 5: Grundsätze der Verarbeitung – Zweckbindung, Datenminimierung, Integrität
Art. 6: Rechtsgrundlagen – Legitimation jeder Datenverarbeitung
Art. 28: Auftragsverarbeitung – AVV-Pflicht mit Cloud-Anbieter
Art. 32: Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen
Art. 44 ff.: Drittlandsübermittlung – Regeln für Datentransfer außerhalb EU

Cloud-Anbieter sind regelmäßig Auftragsverarbeiter (Processor). Das Unternehmen, das den Dienst nutzt, bleibt Verantwortlicher (Controller) mit allen Pflichten und Haftungsrisiken.

Personenbezogene und besondere Kategorien von Daten

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

Name
E-Mail-Adresse
Telefonnummer
IP-Adressen und Standortdaten
Kundennummern und Nutzer-IDs
Fotos und biometrische Daten

Besondere Kategorien nach Art. 9 DSGVO unterliegen einem erhöhten Schutzniveau:

Gesundheitsdaten (z. B. Patientenakten in Praxissoftware)
Religionszugehörigkeit
Gewerkschaftszugehörigkeit
Genetische und biometrische Daten
Daten zur sexuellen Orientierung

Unterschied Anonymisierung vs. Pseudonymisierung: Anonymisierte Daten fallen nicht mehr unter die DSGVO, da kein Personenbezug herstellbar ist, sofern eine Re-Identifizierung auch mit zusätzlichen Informationen praktisch ausgeschlossen ist. Pseudonymisierte Daten (z. B. mit verschlüsselter ID statt Name) bleiben personenbezogen und unterliegen weiterhin dem Datenschutz. Achtung: Die Abgrenzung kann im Einzelfall komplex sein.

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Wer Cloud-Dienste nutzt, muss die Grundprinzipien der DSGVO einhalten. Diese Anforderungen gelten unabhängig davon, ob Sie Microsoft 365, AWS oder einen kleinen spezialisierten Anbieter nutzen.

Die DSGVO-Grundprinzipien (Art. 5):

Rechtmäßigkeit, Fairness, Transparenz: Verarbeitung nur auf legaler Basis, offen kommuniziert
Zweckbindung: Daten nur für festgelegte, legitime Zwecke nutzen
Datenminimierung: Nur erforderliche Daten erheben
Richtigkeit: Daten aktuell und korrekt halten
Speicherbegrenzung: Löschung, wenn nicht mehr benötigt
Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff
Rechenschaftspflicht: Nachweisbarkeit der Einhaltung

Die Informationspflichten nach Art. 13/14 DSGVO verlangen zudem unter Umständen, dass Betroffene über die Cloud-Nutzung informiert werden.

Auftragsverarbeitung und AV-Vertrag

Bei der Nutzung von Cloud-Dienstleistern liegt in den meisten Fällen eine Auftragsverarbeitung vor. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Mindestinhalte eines AVV:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen (Kunden, Mitarbeitende)
Pflichten des Auftragsverarbeiters
Regelungen zu Löschung und Rückgabe
Unterstützung bei Betroffenenrechten
Technisch-organisatorische Maßnahmen (TOM)
Liste der Unterauftragsverarbeiter

Große Anbieter wie Microsoft, Google oder Amazon stellen vorformulierte AV-Verträge bereit. Diese müssen aktiv abgeschlossen oder in den Kontoeinstellungen bestätigt werden, ein bloßes Nutzen des Dienstes reicht nicht.

Ohne AVV ist der Einsatz rechtswidrig. Aufsichtsbehörden haben bereits Bußgelder für die unzulässige Nutzung von Cloud- und Tracking-Diensten verhängt.

Datenübermittlung in Drittländer (USA, UK, etc.)

Der Transfer von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, ist nur dann erlaubt, wenn die strengen Anforderungen der Artikel 44 ff. der DSGVO eingehalten werden.

Dabei gibt es verschiedene rechtliche Grundlagen, die eine solche Übermittlung legitimieren können.

Ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission bescheinigt, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet, sodass personenbezogene Daten aus der EU dorthin übermittelt werden dürfen. Beispiele für Länder, für die aktuell ein Angemessenheitsbeschluss gilt, sind unter anderem:

Schweiz
Kanada (für kommerzielle Organisationen)
Japan
Neuseeland
Israel
Argentinien
Südkorea
Großbritannien (nach dem Brexit)
Uruguay

Diese Liste kann sich ändern, daher ist es wichtig, regelmäßig die offiziellen Informationen der EU-Kommission zu prüfen.

Seit Juli 2023 können Unternehmen zudem auf das EU-US Data Privacy Framework (DPF) zurückgreifen, das eine rechtssichere Übermittlung von personenbezogenen Daten in die USA ermöglicht. Voraussetzung ist, dass der jeweilige US-Anbieter aktiv nach dem EU-US Data Privacy Framework zertifiziert ist.

Dies vereinfacht insbesondere die Nutzung von großen amerikanischen Anbietern wie Google, Dropbox oder Amazon (AWS) erheblich. Allerdings besteht die Möglichkeit, dass der Angemessenheitsbeschluss für das DPF mittelfristig wieder entzogen werden könnte.

Liegt kein Angemessenheitsbeschluss vor, können Standardvertragsklauseln (SCC) genutzt werden, die einen DSGVO-konformen Datenschutz zusichern. Problematisch für Unternehmen ist jedoch, dass sie in der Verantwortung sind, sicherzustellen, dass dieses tatsächlich eingehalten wird. In der Praxis ist die Umsetzung der zusätzlichen Schutzmaßnahmen häufig komplex und mit erheblichem Prüfaufwand verbunden. Ein Restrisiko bleibt bestehen, insbesondere bei Zugriffsmöglichkeiten ausländischer Behörden.

Der beste Weg, um dieses Risiko zu reduzieren, ist die Nutzung von EU-, oder besser: in Deutschland basierten Anbietern wie IONOS, der Telekom oder Hetzner.

Neben diesen häufig genutzten rechtlichen Grundlagen gibt es noch einen Sonderfall für die konzerninterne Datenübermittlungen über die EU-Grenzen hinweg, wenn sogenannte Binding Corporate Rules (BCR) genutzt werden.

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Unternehmen und Cloud-Anbieter, ein „angemessenes Schutzniveau” sicherzustellen. Was angemessen ist, hängt ab von:

Risiko für die Rechte der Betroffenen
Stand der Technik
Implementierungskosten
Art und Umfang der Daten

Im Folgenden fassen wir die wichtigsten technischen und organisatorischen Maßnahmen für die DSGVO-konforme Nutzung von Cloud-Anbietern in Kürze zusammen.

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Verschlüsselung:

Data at Rest: Verschlüsselung gespeicherter Daten in Rechenzentren (serverseitige Verschlüsselung)
Data in Transit: TLS 1.2/1.3 für alle HTTPS-Verbindungen
Ende-zu-Ende-Verschlüsselung: Bei besonders sensiblen Dokumenten Tools wie Boxcryptor, Tresorit oder Nextcloud E2E-Optionen nutzen

Zugriffskontrolle:

Starke Passwörter mit Passwortmanager
Multi-Faktor-Authentifizierung (MFA) für alle Konten bei Microsoft, Google, AWS
Authenticator-Apps oder FIDO2-Sicherheitsschlüssel statt SMS

Protokollierung und Monitoring:

Regelmäßige Prüfung von Zugriffen, Logins und Freigaben
Security Center in Microsoft 365 nutzen
AWS CloudTrail für Audit-Logs aktivieren
Auffällige Aktivitäten automatisch melden lassen

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Rollen und Berechtigungskonzepte:

Prinzip der minimalen Rechte (Least Privilege)
Getrennte Rollen für Admin, HR, Vertrieb, IT
Keine geteilten Konten, jeder Nutzer hat eigenen Zugang

Richtlinien für sichere Cloud-Nutzung:

Verbot privater Dropbox-Accounts für Kundendaten
Pflicht zur Nutzung des Unternehmens-OneDrive
Klare Regeln für mobiles Arbeiten und Remote Access

Schulungen (mindestens jährlich):

Phishing-Erkennung
Sichere Passwörter und Passwortmanager
Umgang mit vertraulichen Dokumenten
Meldewege bei Verdacht auf Sicherheitsvorfälle

Incident-Response-Prozesse:

Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33 DSGVO)
Interner Meldeprozess mit klaren Zuständigkeiten
Dokumentation aller Vorfälle

Auswahl eines DSGVO-konformen Cloud-Anbieters

Die Anbieterauswahl ist ein zentraler Schritt zur DSGVO-Compliance. Entscheidend sind vor allem Standort, Sicherheitsniveau und Vertragsgestaltung.

Seit dem EuGH-Urteil Schrems II (Juli 2020) und der Einführung des EU-US Data Privacy Framework mussten viele Unternehmen ihre Cloud-Verträge überprüfen. Die Auswahl eines DSGVO-konformen Anbieters spart langfristig Zeit und vermeidet rechtliche Risiken.

Standort von Anbieter und Rechenzentren

Relevant sind sowohl der Unternehmenssitz als auch der physische Speicherort der Daten. Ein deutscher Anbieter mit Hosting in US-Rechenzentren bietet weniger Schutz als ein EU-Hosting.

Auswahlkriterien:

Serverstandort in der EU/EWR
Kein Durchgriff von Drittstaaten-Behörden
Transparenz über Subunternehmer und deren Standorte
Vertraglich garantierte Datenlokalisierung

Labels und Initiativen:

Trusted Cloud des BMWK als Orientierungshilfe
GAIA-X als europäisches Cloud-Projekt
Made in Germany als Qualitätsmerkmal

Zertifikate und Sicherheitsnachweise

Zertifikate signalisieren IT-Sicherheit und erleichtern die Anbieterprüfung:

Zertifikate und ihre Aussagekraft:

ISO/IEC 27001: Etabliert ein Informationssicherheits-Managementsystem.
ISO/IEC 27018: Schützt personenbezogene Daten in der Cloud.
BSI C5: Erfüllt cloud-spezifische Sicherheitsanforderungen des BSI.
SOC 2: US-Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.
Trusted Cloud Datenschutz Profil (TCDP): Deutscher Datenschutz-Standard für Clouds.
Cloud Computing Zertifikat: Nachweis spezifischer Cloud-Kompetenzen.

Wichtig: ISO 27001 ist ein starkes Signal für IT-Sicherheit, aber kein automatischer Nachweis für vollständige DSGVO-Konformität. Ergänzend sollten TOM-Beschreibungen und Datenschutzbestimmungen geprüft werden.

Achten Sie darauf, dass Zertifikate regelmäßig erneuert werden.

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

AGB und Datenschutzrichtlinien regeln, welche Daten zu welchen Zwecken verarbeitet werden. Prüfen Sie kritisch:

Prüffragen für AGB und Datenschutzbestimmungen:

Werden Daten für eigene Zwecke des Anbieters genutzt (Analyse, Marketing)?
Welche Löschfristen gelten?
Wer sind die Unterauftragsverarbeiter?
Welche Rechte hat der Anbieter an den Inhalten?
Sind die Datenschutzstandards mit den eigenen Bestimmungen vereinbar?

Empfehlungen:

AVV muss integraler Vertragsbestandteil sein
Widersprüchliche AGB-Klauseln vermeiden
Vor Vertragsabschluss Rechtsanwalt oder Datenschutzbeauftragte einbeziehen
Bei großen SaaS-Projekten (CRM, ERP, HR) besondere Sorgfalt walten lassen

Beispiele für EU-basierte Cloud-Anbieter

Die folgenden Anbieter haben ihren Unternehmensstandort sowie ihre Serverstandorte in der EU und können daher bei der Wahl eines geeigneten Dienstes gesondert berücksichtigt werden. Die reine Anbieterwahl ist dabei jedoch keine Garantie für eine DSGVO-konforme Nutzung, wenn nicht auch die anderen Aspekte wie technische und organisatorische Maßnahmen (TOM) beachtet werden.

Beispiele für europäische Anbieter:

IONOS Cloud
Telekom MagentaCLOUD
Nextcloud-Hosting in deutschen Rechenzentren
Hetzner Cloud

Haftung und Betroffenenrechte bei Datenschutzverstößen

Trotz Auslagern in die Cloud bleibt das Unternehmen Verantwortlicher und haftet bei Datenschutzverstößen. Ein offener S3-Bucket oder falsch konfigurierte Freigaben können bereits zu Strafen durch Aufsichtsbehörden führen.

Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO geregelt. Vertragliche Haftungsbeschränkungen gegenüber Betroffenen wirken nur eingeschränkt.

Neben Bußgeldern drohen:

Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)
Reputationsschäden
Abmahnungen und Unterlassungsklagen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Eine meldepflichtige Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO liegt vor bei:

Unbefugtem Zugriff auf personenbezogene Daten
Verlust oder Diebstahl von Daten
Unbeabsichtigte Offenlegung (z. B. durch Fehlkonfiguration)
Gehackte Cloud-Konten

Die 72-Stunden-Frist: Ab Kenntnis der Verletzung müssen Sie die zuständige Aufsichtsbehörde informieren.

Vereinbarungen mit dem Cloud-Anbieter:

Klare Regelung zur Meldung von Sicherheitsvorfällen im AVV
Security Incident Notification
Zugang zu Statusseiten und Ticket-Systemen

Checkliste bei Cloud-Datenpanne:

Vorfall eingrenzen und dokumentieren
Betroffene Zugänge sperren
Protokolle und Logs prüfen
Risiko für Betroffene bewerten
Meldung an Aufsichtsbehörde vorbereiten
Ggf. Betroffene informieren

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Kernaussagen zur Haftung:

Unternehmen haften gegenüber Kunden und Mitarbeitenden bei Verstößen
Schadensersatz umfasst auch immateriellen Schaden
Haftungsbeschränkungen wirken regelmäßig nur im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter, nicht jedoch gegenüber betroffenen Personen oder Aufsichtsbehörden
Gegenüber Betroffenen und Behörden bleiben Sie voll verantwortlich
Vorstände und Geschäftsführer können persönlich haften

Risikominimierung:

Technische Maßnahmen konsequent umsetzen
Gründliche Anbieterprüfung dokumentieren
Cyber-Versicherung prüfen
Regelmäßige Audits durchführen

Fazit: So gelingt Cloud Datenschutz in der Praxis

DSGVO-konforme Cloud-Nutzung ist möglich und für viele Unternehmen durch Remote Work und Homeoffice unverzichtbar geworden. Durch eine sorgfältige Anbieterauswahl, sichere Verträge, die richtige Konfiguration, technische und organisatorische Maßnahmen (TOM) und eine laufende Überprüfung der bestehenden Prozesse können Unternehmen ihre Risiken managen und die Vorteile von Cloud-Computing bestmöglich nutzen.

Kommt es hingegen zu Datenschutzverstößen, liegt die Verantwortung beim Unternehmen. Es drohen Bußgelder und Haftungsansprüche von Betroffenen. Nehmen Sie daher das Thema Datenschutz in der Cloud unbedingt ernst.

Lassen Sie sich im Zweifel professionell beraten. Wir unterstützen Sie dabei, Cloud-Anbieter und andere Dienstleister DSGVO-konform in Ihre Unternehmensprozesse einzubinden, potenzielle Schwächen und Haftungsrisiken zu minimieren und den Datenschutz in Ihrem Unternehmen insgesamt auf ein solides Fundament zu stellen.

FAQ zu Cloud Datenschutz (häufige Fragen)

Ja, die Nutzung ist grundsätzlich möglich, wenn bestimmte Voraussetzungen erfüllt werden. Unternehmen müssen einen DSGVO-konformen AV-Vertrag abschließen, die Datenübermittlung in die USA nach Art. 44 ff. DSGVO absichern (derzeit über das EU-US Data Privacy Framework) und technische sowie organisatorische Schutzmaßnahmen implementieren. Zudem sollten die Aufsichtsbehörden-Empfehlungen beachtet und dokumentiert werden.

Ja, sofern in der Cloud personenbezogene Daten verarbeitet werden, muss die jeweilige Verarbeitungstätigkeit nach Art. 30 DSGVO dokumentiert werden. In der Praxis wird häufig pro Geschäftsprozess (z. B. „E-Mail-Kommunikation mit Microsoft 365”, „Kundenverwaltung im CRM X”) ein Eintrag angelegt, in dem die Nutzung des jeweiligen Cloud-Dienstes einschließlich Anbieter, Speicherort und Rechtsgrundlage beschrieben ist.

Nein, ein bloßes Werbeversprechen genügt nicht. Unternehmen müssen selbst prüfen und dokumentieren, ob der Anbieter tatsächlich die Anforderungen erfüllt – etwa durch Einsicht in AV-Vertrag, TOM-Beschreibungen, Zertifikate (ISO 27001, BSI C5 etc.), Angaben zum Datenstandort sowie zum Umgang mit Unterauftragsverarbeitern. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO liegt beim Unternehmen.

Die rein persönliche oder familiäre Nutzung (Haushaltsausnahme nach Erwägungsgrund 18 DSGVO) fällt in der Regel nicht unter die DSGVO. Sobald jedoch personenbezogene Daten außerhalb des rein privaten Bereichs verarbeitet werden, etwa Kundendaten eines Kleinunternehmens in einem privaten Cloud-Konto, greift die DSGVO vollständig und es gelten die gleichen Anforderungen wie für größere Unternehmen.

Ja, nach Art. 13 und 14 DSGVO müssen Betroffene informiert werden, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, welche Empfänger und Auftragsverarbeiter eingebunden sind und ob eine Übermittlung in Drittländer stattfindet. In der Praxis wird dies über eine Datenschutzerklärung (z. B. auf der Website) und ergänzende Hinweise in Verträgen oder Formularen umgesetzt, in denen der Einsatz bestimmter Cloud-Dienste (z. B. Newsletter-Tool, Terminbuchungsplattform, CRM) transparent gemacht wird.

NIS2 und DSGVO im Team für mehr Cybersicherheit

Posted on 8. Dezember 2025 by Ina Rothe

Warum NIS2 für Deutschland ein Thema ist

In Deutschland war die Umsetzung der europäischen NIS2-Richtlinie (EU 2022/2555) lange verzögert, doch Anfang Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet. Es hebt die Anforderungen an die Cybersicherheit auf eine neue Ebene. Damit sind ab sofort und ohne Übergangsfrist viele bisher von NIS1 unbetroffene Unternehmen plötzlich adressiert.

NIS2 hat zum Ziel, die Cybersicherheit und Resilienz kritischer und wichtiger Dienstleister in der EU deutlich zu erhöhen. Betroffen sind ca. 29.000 Einrichtungen in Deutschland allein. NIS2 betrifft dabei nicht nur Netzwerke, Server und Systeme, sondern tangiert in vielen Fällen auch personenbezogene Daten. Damit kreuzen sich die Ziele der NIS2 mit denen der Datenschutz-Grundverordnung (DSGVO). Das macht NIS2 relevant für Datenschutz und Compliance auch dort, wo bislang vielleicht keine klassischen IT-Sicherheitsfragen betrachtet wurden.

Wo NIS2 und DSGVO sich überschneiden

Obwohl NIS2 (ein Regelwerk für Cybersicherheit) und DSGVO (ein Datenschutzrecht) unterschiedliche Schutzzwecke verfolgen, gibt es in der praktischen Umsetzung zahlreiche Schnittmengen, wie die nachfolgende Übersicht zeigt:

Bereich	DSGVO	NIS2	Überschneidung / Synergien
Technische & organisatorische Maßnahmen (TOM)	Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, Integrität, Verfügbarkeit)	NIS2 (u.a. Art. 21) fordert Risikomanagement, System-Sicherheit, Zugriffskontrollen, Schwachstellen-Management, Schutz der Lieferkette, Business Continuity	Ein gemeinsames Informationssicherheitsmanagement (z. B. ISMS nach ISO 27001) kann viele Anforderungen beider Regelwerke gleichzeitig erfüllen.
Meldepflichten bei Vorfällen	Art. 33/34 DSGVO: Datenschutzverletzungen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden	NIS2 verlangt Meldung gravierender Sicherheitsvorfälle (IT-Sicherheitsvorfälle) innerhalb i.d.R. 24 Stunden an die zuständige Cyber-Sicherheitsbehörde	Ein Sicherheitsvorfall kann gleichzeitig eine Datenschutzverletzung sein. Unternehmen brauchen integrierte Prozesse, die beide Meldepflichten bedienen.
Risikoanalyse & Governance	DSGVO verlangt risikobasierte Absicherung der Verarbeitung und Rechenschaftspflicht (Accountability, Dokumentation)	NIS2 verlangt Risikomanagement, Verantwortlichkeit der Leitung, Dokumentation und Compliance-Nachweise	Die Geschäftsleitung erhält eine klare Gesamtverantwortung, Transparenz und Nachweispflicht für Schutz der Daten und Systeme.

Damit wird klar: NIS2 ist kein „nice-to-have“ für IT-Security-Profis. Es verlangt eine ganzheitliche Sicherheits- und Datenschutzstrategie. Wo NIS2 greift, kann DSGVO nicht ignoriert werden. Und umgekehrt: Wo personenbezogene Daten verarbeitet werden, sollte Sicherheits- und Resilienzdenken verpflichtend sein.

Wo sich NIS2 und DSGVO unterscheiden

Trotz der Überschneidungen bleiben wesentliche Unterschiede bei Schutzgegenstand, Sanktionen und Aufsichtsbehörden:

Bereich	DSGVO	NIS2
Schutzzweck	Die DSGVO betrifft personenbezogene Daten und schützt die Grundrechte natürlicher Personen.	NIS2 betrifft Informationssysteme (Systeme, Netzwerke, Dienste), wobei personenbezogene wie auch nicht-personenbezogene Daten von NIS2-Maßnahmen betroffen sein können, mit dem Ziel, Versorgung und Funktionalität von kritischen Infrastrukturen und wichtigen Diensten sicherzustellen.
Meldepflichten bei Vorfällen	innerhalb von 72 Stunden an die zuständige Datenschutzaufsicht	innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Sanktionen	DSGVO-Verstöße werden von den Datenschutzaufsichten der Länder und des Bundes geahndet	NIS2-Verstöße ahndet das BSI.

Was zu tun ist

Unternehmen sollten proaktiv handeln und jetzt bestehende Prozesse auf den Prüfstand stellen:

Existieren strukturierte Prozesse für Risikoanalyse, Vorfallsmanagement und -meldung sowie Incident Response?
Gibt es eine klare Rollenverteilung und Verantwortlichkeit auf Leitungsebene?
Werden bestehende technische und organisatorische Maßnahmen der DSGVO (z. B. Verschlüsselung, Zugriffskontrollen, Wiederherstellbarkeit) konsequent umgesetzt und dokumentiert?
Sind Dienstleister und Lieferketten ausreichend abgesichert? (auch relevant, wenn externe IT-Dienstleister eingebunden sind)

Gerade wegen der Schnittstellen zwischen NIS2 und DSGVO sollten die betrieblichen Datenschutzbeauftragten (DSB) nicht am Rand stehen, sondern zentral in die Compliance- und Security-Governance eingebunden sein. Dabei sind aus unserer Sicht folgende Zeitpunkte und Aufgaben besonders relevant:

Frühzeitig bei der Risikoanalyse und Planung: Schon bei der Risikoanalyse und Definition von Sicherheits- bzw. Schutzmaßnahmen sollte der DSB mitwirken, um zu prüfen, ob und wie personenbezogene Daten betroffen sind und welche Datenschutzanforderungen (z. B. Zweckbindung, Datenminimierung, Dokumentation) zu beachten sind.
Bei der Auswahl und Steuerung externer Dienstleister / Lieferketten: Wenn Dritte in die Informationssysteme eingebunden sind (z. B. Hosting, Cloud-Dienste, IT-Infrastruktur), muss der DSB, gemeinsam mit dem IT-Sicherheitsbeauftragten, sicherstellen, dass Auftragsverarbeitungsverträge und technische/organisatorische Schutzmaßnahmen mit DSGVO und NIS2 kompatibel sind.
Bei Vorfall-Management & Incident Response: Im Falle eines Sicherheitsvorfalls, der gleichzeitig eine Datenschutzverletzung sein könnte, braucht es koordinierte Meldungs- und Reaktionsprozesse: Der DSB sollte hier mit an Bord, um eine etwaige DSGVO-Meldung korrekt durchzuführen.
Bei Governance & Dokumentation: Die Verantwortung der Geschäftsleitung für Sicherheit und Compliance gemäß NIS2 muss durch Governance-Strukturen getragen werden. Der DSB kann, zusammen mit einem IT-Sicherheitsbeauftragten, sicherstellen, dass Datenschutz und Sicherheitsanforderungen nicht getrennt, sondern integriert gemanagt werden.
Bei Schulungen und Sensibilisierung: Sowohl DSGVO als auch NIS2 verlangen Awareness auf Management- und Mitarbeiterebene. Der DSB sollte maßgeblich daran mitwirken, dass Datenschutz- und Sicherheitsbewusstsein gleichermaßen verbreitet werden.

Kurz gesagt: Der Datenschutzbeauftragte sollte nicht nur „Datenschutz“ im engeren Sinne betreuen, im Kontext von NIS2 ist er Teil eines integrierten Compliance- und Sicherheitsrahmens.

Fazit

Gute NIS2-Compliance kann Cybersicherheit und Datenschutz stärken. Unternehmen, die NIS2 und DSGVO gemeinsam betrachten, gewinnen einen klaren Vorteil: weniger Doppelarbeit, bessere Sicherheitslage, geringeres Risiko für Datenschutzverletzungen und Betriebsunterbrechungen.

Der neue gesetzliche Rahmen macht klar: Cybersicherheit ist Leitungsangelegenheit. Und Datenschutz sollte integraler Bestandteil einer soliden Sicherheitsstrategie sein.

Für alle Verantwortlichen (Geschäftsführungen, ISB, DSB) heißt das: Jetzt handeln! Und einen wichtigen Hebel für nachhaltige Sicherheit und Compliance im digitalen Zeitalter nutzen.

Falls Sie Interesse haben, können wir gern darüber sprechen, wie Sie Ihre NIS2- und DSGVO-Prozesse gestalten oder harmonisieren können.

Slack DSGVO-konform nutzen: Kann das gelingen?

Posted on 5. August 20255. August 2025 by Christian Klos

Slack ist ein Kommunikations-Tool der Slack Technologies LLC, die zum Salesforce-Konzern gehört. Slack wird von vielen Unternehmen vor allem für die interne Kommunikation zwischen Mitarbeitern oder mit Projektpartnern verwendet. Eine DSGVO-konforme Nutzung von Slack ist nach unserer Einschätzung theoretisch möglich, allerdings ist dies sehr umstritten. Es ist immer mit einem Risiko verbunden, weshalb Sie auch Alternativen prüfen sollten. Folgendes sollten Sie in jedem Fall berücksichtigen:

Nutzen Sie Slack, sollten Sie in jedem Fall unbedingt einen Auftragsverarbeitungsvertrag (AVV) mit dem Unternehmen abschließen und bei der Verarbeitung von personenbezogenen Daten Dritter eine datenschutzkonforme Rechtsgrundlage schaffen, etwa durch eine explizite Einwilligung der Betroffenen oder den Bezug auf ein berechtigtes Interesse.

Darüber hinaus kommt es vor allem auf die Art der verarbeiteten personenbezogenen Daten an, um abschließend zu bewerten, welche weiteren Maßnahmen Sie treffen müssen, um Slack DSGVO-konform zu nutzen. Wir klären Sie darüber auf, worauf Sie achten sollten.

Elementar wichtig: Rechtsgrundlage und AVV

Slack hat als Dienstleister einen zumindest eingeschränkten Zugang zu Nutzerprofilen und Chat-Inhalten. Allein durch das Anlegen von Nutzerprofilen, bspw. für Mitarbeiter, werden bereits personenbezogene Daten verarbeitet.

Sie müssen daher einerseits die Zwecke und den Umfang der Nutzung von Slack umfangreich dokumentieren sowie gleichzeitig eine Rechtsgrundlage identifizieren, um personenbezogene Daten von Betroffenen, also z. B. Beschäftigten oder Projektpartnern, datenschutzkonform zu verarbeiten.

Die sicherste Rechtsgrundlage bildet dabei die explizite Einwilligung von Betroffenen, was insbesondere im Gebrauch mit externen Ressourcen wie Agenturen gewählt werden sollte. Im Falle von Mitarbeitern können Sie ebenfalls bei der Einstellung über die geplante Verarbeitung informieren und um eine Einwilligung bitten.

Eine Einwilligung allerdings nur dann wirksam, wenn sie freiwillig erteilt wird. Aufgrund des Machtgefälles im Beschäftigungskontext wird dies oft in Frage gestellt. In der Praxis sollte daher primär auf das berechtigte Interesse oder ggf. vertragliche Notwendigkeit zurückgegriffen werden. In diesem Rahmen müssen Sie u. a. berücksichtigen, ob nicht Tools eingesetzt werden können, die bessere Rahmenbedingungen für den Datenschutz bieten. Eine solche Interessenabwägung ist nicht unkompliziert.

Am sichersten fahren Sie daher damit, möglichst wenige personenbezogene Daten über Slack zu verarbeiten und für solche andere, speziell dafür gemachte und EU-basierte Kanäle zu nutzen.

Außerdem müssen Sie mit Slack in jedem Fall eine Auftragsverarbeitungsvereinbarung (AVV) abschließen, bei der die Rechte und Pflichten beider Seiten genau geklärt sind. Die Möglichkeit dazu bietet Slack standardmäßig an.

Höhere Sicherheit und Datenschutz durch Enterprise-Features

Slack selbst gibt an, die Vorgaben der DSGVO bereits in der kostenlosen Version umzusetzen. Das sehen wir jedoch sehr kritisch. Hier kommt es sehr stark auf den Einzelfall an, ob die sehr begrenzten Einstellmöglichkeiten von Slack tatsächlich ausreichend sind.

Von herausragender Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (TOM) – wie Zugriffskontrollen, Protokollierung oder Zwei-Faktor-Authentifizierung – die das Tool Ihnen bietet, um ein angemessenes Sicherheitsniveau sicherzustellen. Diese sind in der kostenlosen Version stark eingeschränkt.

Verarbeiten Sie regelmäßig personenbezogene Daten über Slack, kann es sein, dass dies erst mit Funktionen aus dem Enterprise-Paket datenschutzkonform überhaupt möglich ist.

Hervorzuheben ist etwa die Unterstützung der HIPAA-Compliance, die die Voraussetzungen für die Verarbeitung besonders geschützter Gesundheitsdaten ermöglichen soll. Allerdings entspricht dieser US-amerikanische Standard nicht den Vorgaben der DSGVO, weswegen wir von einer Verarbeitung solcher Daten bei Slack generell abraten. Jedenfalls wird dafür eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO notwendig sein kann.

Ein weiteres wichtiges Feature der Enterprise-Version ist die Möglichkeit zur Nutzung von eigens erstellten Schlüsseln für die Verschlüsselung von Nachrichten.

Slack verschlüsselt Nachrichten grundsätzlich immer, allerdings liegen die Schlüssel auf den US-Servern und können damit beispielsweise im Rahmen von Ermittlungen von US-Behörden herangezogen werden, um verschlüsselte Daten von europäischen Kunden zu entschlüsseln (mehr zu den besonderen Problemen durch die Übertragung von Daten in die USA können Sie im nächsten Abschnitt lesen).

Mithilfe von EKM (Enterprise Key Management) können Sie hingegen Ihre Schlüssel selbst verwalten. Slack nutzt den ebenfalls US-basierten Dienst AWS Key Management Service, der, nach eigener Angabe, die Nutzung von externen Schlüsselmanagern erlaubt. Ist ein solcher Schlüsselmanager in der EU angesiedelt, kann das Risiko eines Zugriffs durch US-Behörden deutlich reduziert werden.

Darüber hinaus bietet die Enterprise-Version auch weitere Features wie etwa die Errichtung von Informationsbarrieren. Ob in Ihrem speziellen Fall die Nutzung dieses oder eines kleineren Pakets die komplexen Vorgaben der DSGVO erfüllt, lässt sich nur im Einzelfall sicher klären.

Achtung bei allen US-Dienstleistern

Die Nutzung von US-Dienstleistern wie Slack oder dem von uns zuvor betrachteten Dropbox bei der Verarbeitung personenbezogener Daten ist immer mit einem Risiko behaftet. Aufgrund des derzeitig gültigen EU-US Data Privacy Frameworks (DPF) können Stand heute immer noch personenbezogene Daten mit teilnehmenden Unternehmen in den USA ausgetauscht werden. Slack ist über die Muttergesellschaft Salesforce Teilnehmer des Abkommens.

Es gibt jedoch das realistische Risiko, dass der Angemessenheitsbeschluss für das DPF widerrufen wird und dieses damit unwirksam wird – wie bereits seine beiden Vorgängerabkommen. In einem solchen Fall würden die USA nicht mehr als sicheres Drittland im Sinne der DSGVO gelten und Sie müssten mit US-Dienstleistern wie Slack Standardvertragsklauseln zur Einhaltung des Datenschutzes schließen, was Slack immerhin bereits standardmäßig in seinen AVV anbietet.

Doch selbst damit wäre eine Wahrung der Datenschutz-Compliance nicht automatisch gegeben, denn Sie wären als Unternehmen im Zweifel verantwortlich dafür, selbst zu überprüfen, ob Slack sich tatsächlich an die geltenden Vorgaben hält, was realistisch kaum umsetzbar wäre.

Durch die Nutzung des bereits erwähnten EKM können Sie z. B. eine zusätzliche Sicherheitsbarriere einrichten, die Ihr Datenschutzniveau deutlich erhöht. Eine maximale Reduzierung der Verarbeitung von personenbezogenen Daten über Slack kann ebenfalls einen Beitrag zur Einhaltung der Compliance leisten.

Die Nutzung von EU-basierten alternativen Anbietern hätte demgegenüber jedoch weiterhin ein geringeres Risiko.

Wichtig hierbei ist zu beachten, dass Slack zwar die Speicherung der Daten innerhalb der EU (Datenresidenz) ab dem Business+-Paket anbietet, nach allen vorliegenden Informationen aber weiterhin eine Datenübertragung in die USA stattfindet. Die Datenresidenz allein löst die Problematik daher nicht.

Lassen Sie sich beim Datenschutz professionell unterstützen

Viele Unternehmen treffen bei Maßnahmen zum Erhalt der Compliance regelmäßig auf Herausforderungen, die nur durch detaillierte Einzelfallanalysen rechtlich sicher geklärt werden können. Auch im Falle von Slack gibt es selbst bei einem bestehenden AVV und einer gültigen Rechtsgrundlage hohe Risiken, weshalb oft eine genaue Prüfung im Hinblick auf die Art der Nutzung und die gewählten Einstellungen nötig ist. Größere Sicherheit versprechen aus Europa stammende Kommunikations-Tools, die speziell auf die Anforderungen der DSGVO zugeschnitten sind.

Für Unternehmen ist es zudem häufig am einfachsten und günstigsten, externe Expertise an Bord zu holen, um den Datenschutz rechtssicher zu garantieren. Kontaktieren Sie uns gerne, wenn Sie Ihr Datenschutzkonzept professionell überprüfen und überarbeiten lassen möchten.

Zum Kontaktformular

Zur Newsletter-Anmeldung

WhatsApp Business und die DSGVO: Das müssen Sie beachten

Posted on 2. August 2025 by Christian Klos

WhatsApp ist eine der am meisten genutzten Kommunikationsplattformen in Europa, daher ist das Interesse bei Unternehmen groß, diesen auch für die Kommunikation mit potenziellen Kunden zu verwenden.

Die speziell für Unternehmen entwickelte Lösung WhatsApp Business und die Schnittstelle WhatsApp Business Platform können dabei unter gewissen Voraussetzungen mit minimierten Datenschutzrisiken genutzt werden. Entscheidend dafür ist, dass:

Sie einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen.
WhatsApp Business ausschließlich auf Endgeräten ohne gespeicherte Kontakte betreiben, auf die WhatsApp zugreifen kann.
Das automatische Backup von Daten deaktivieren.
Sie für das Anschreiben von Kontakten eine Rechtsgrundlage schaffen.
Sie über die Datenschutzbedingungen informieren und eine Möglichkeit zum Opt-Out geben.

Vollständige Rechtssicherheit ist hier allerdings nicht zu gewährleisten. Und auch für die interne Kommunikation im Unternehmen ist WhatsApp nach aktuellem Stand datenschutzrechtlich ungeeignet.

Was ist bei WhatsApp und der DSGVO grundsätzlich zu beachten?

Positiv hervorzuheben ist bei WhatsApp die Ende-zu-Ende-Verschlüsselung von Nachrichten, die somit vom Zugriff durch das Unternehmen selbst oder Ermittlungsbehörden in den USA nach derzeitigem Stand sicher geschützt sind.

Aus datenschutzrechtlicher Sicht gibt es dennoch einige Faktoren, die den Umgang mit WhatsApp nach den Vorgaben der DSGVO erschweren. Dazu gehören insbesondere die folgenden 3 Faktoren:

WhatsApp lädt Adressbuchdaten unverschlüsselt an Server in die USA

Eine der größten potenziellen Herausforderungen beim DSGVO-konformen Umgang mit WhatsApp ist der automatische Abgleich von Adressbuch- bzw. Kontaktdaten. Hierzu werden Daten zu im Adressbuch gespeicherten Kontakten automatisch an WhatsApp-Server in die USA gesendet.

Dies ist aus technischer Sicht insofern nachvollziehbar, als dass WhatsApp wissen muss, mit welchen anderen Nutzern der Nutzer eines Mobiltelefons über WhatsApp kommunizieren kann.

Allerdings findet diese Datenübertragung unverschlüsselt statt, weshalb WhatsApp und theoretisch auch Ermittlungsbehörden in den USA auf diese Daten zugreifen können. Zumindest in der Grundversion von WhatsApp ist das auch deshalb ein Problem, weil WhatsApp diese Daten für eigene Zwecke innerhalb des Meta-Konzerns nutzt und dafür keine Rechtsgrundlage besteht.

Dieser datenschutzrechtliche Mangel lässt sich für Unternehmen etwa dadurch umgehen, dass WhatsApp ausschließlich auf dafür vorgesehenen Firmenhandys betrieben wird, die nur Kontaktdaten zu Nutzern enthalten, für die eine Rechtsgrundlage für die Übertragung der Daten besteht. Dies sicherzustellen, wird in der Praxis allerdings eine große Herausforderung darstellen.

Sie können zusätzlich auch den Abgleich der Daten unterbinden, indem Sie WhatsApp die Rechte zum Zugriff auf Ihre Kontaktdaten in den App-Einstellungen entziehen. Dies geht allerdings mit einem eingeschränkten Funktionsumfang einher und WhatsApp wird weiterhin auf rechtlich fragwürdiger Grundlage Metadaten der Kommunikation für eigene Zwecke verarbeiten. Etwas besser ist die Nutzung der WhatsApp Business Platform, da hier auf eine automatische Adressbuchsynchronisation vollständig verzichtet wird.

Weitere Metadaten werden automatisiert an WhatsApp übertragen

Neben den Kontakten aus dem Adressbuch des Telefons werden bei der Nutzung des Messengers noch weitere Metadaten ohne Ende-zu-Ende-Verschlüsselung an Server in den USA übertragen. Dazu gehören etwa der Standort, die IP-Adresse und Informationen zum verwendeten Gerät.

Damit dies einigermaßen DSGVO-konform geschehen kann, müssen Sie als Unternehmen einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp schließen, in dem die Rechte und Pflichten des Unternehmens im Bezug auf die Verarbeitung mit personenbezogenen Daten klar geregelt sind. Dies ist nur bei WhatsApp Business und der WhatsApp Business Platform möglich. An dieser Stelle sei darauf hingewiesen, dass rechtliche Risiken damit nicht vollständig eliminiert werden. Die verwendete AVV wurde vielfach, unter anderem von Aufsichtsbehörden, kritisiert.

Automatische Backups über Cloud-Dienste

WhatsApp bietet standardmäßig automatische Backups über Cloud-Dienste Google Drive oder Apple iCloud an, um im Falle des Verlusts eines Mobiltelefons Kontakte und Nachrichtenverläufe wiederherstellen zu können.

Hier gibt es gleich mehrere Probleme mit der DSGVO-Konformität. Es müssen etwa mit den Cloud-Anbietern weitere AVV-Verträge geschlossen werden, was sich je nach Anbieter als schwierig bis unmöglich gestalten kann.

Zudem können verschlüsselte Nachrichten zwar mittlerweile ebenfalls verschlüsselt gespeichert werden, doch die Funktion muss manuell aktiviert werden und es ist unklar, ob dies DSGVO-Anforderungen vollumfänglich genügt, da die Schlüsselverwaltung weiterhin unklar ist.

Der einzig sichere Weg ist daher, die automatische Backup-Funktion komplett zu deaktivieren.

Worin unterscheiden sich WhatsApp, WhatsApp Business und die WhatsApp Business Platform?

WhatsApp Business unterscheidet sich von der Anwendung für Privatnutzer vor allem in folgender Hinsicht:

Es erlaubt, einen AVV mit dem Anbieter abzuschließen, was für eine DSGVO-konforme Nutzung in Unternehmen unverzichtbar ist.
Es kann ein Unternehmensprofil angelegt werden, das seinerseits mit 5 bis 10 Geräten (je nach Tarif) verknüpft werden kann.
Es können automatisierte Nachrichten bzw. automatische Antworten eingerichtet werden.

Aufgrund des Zuschnitts der Funktionen und der starken Einschränkung der verknüpfbaren Geräte ist WhatsApp Business auf den Kontakt mit potenziellen Kunden optimiert. Für die interne Nutzung ist es denkbar ungeeignet, hier würden sich außerdem weitere Datenschutzprobleme ergeben.

Die WhatsApp Business Platform ist keine eine eigene Anwendung, sondern eine Schnittstelle, über die Unternehmen WhatsApp Business über eine Drittanbieter-Plattform nutzen können. Diese Anbieter sind als sogenannte Business Solution Provider (BSP) allesamt bei WhatsApp zertifiziert.

Wird ein solcher Drittanbieter genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Server-Standort in Europa.

Kann ich WhatsApp Business DSGVO-konform nutzen?

WhatsApp Business ist nur auf den Einsatz im Kontakt zwischen Unternehmen und (potenziellen) Kunden zugeschnitten und sollte nicht für die unternehmensinterne Kommunikation genutzt werden. Hierfür gibt es Alternativen wie bspw. Slack, über das wir ebenfalls einen Artikel geschrieben haben.

Abschluss eines AVV

Die erste Voraussetzung für die möglichst rechtskonforme Nutzung von WhatsApp Business ist der Abschluss eines AVV mit dem Anbieter, was standardmäßig möglich ist.

Sollte das derzeit gültige EU-US Data Privacy Framework (DPF) scheitern, wofür zumindest einige Anzeichen sprechen, müssen weitere Maßnahmen ergriffen werden, um den Datentransfer in die USA abzusichern, also z. B. die Standardvertragsklauseln der EU abgeschlossen werden. Dieses Problem betrifft jedoch alle Dienste mit Anbietern in den USA. Ein Restrisiko bleibt daher immer.

Wird ein Drittanbieter als Schnittstellenanbindung an die WhatsApp Business Platform genutzt, muss auch mit diesem ein AVV abgeschlossen werden. Zudem sollte sichergestellt sein, dass dieser sich selbst an die Vorgaben der DSGVO hält. Ratsam sind daher Anbieter mit Standort in Europa.

Technische und organisatorische Maßnahmen

Die nächste Voraussetzung für die möglichst DSGVO-konforme Nutzung von WhatsApp Business ist die Umsetzung von technischen und organisatorischen Maßnahmen, um den Datenschutz bestmöglich zu wahren.

Konkret geht es hier vor allem um die Einstellungen auf den Geräten, auf denen WhatsApp Business installiert ist, sowie um die Einstellungen in WhatsApp selbst. Stellen Sie dabei folgende Dinge sicher:

Deaktivieren Sie die automatische Kontaktsynchronisation, um sicherzustellen, dass keine personenbezogenen Daten von Nutzern übertragen werden, die den Nutzungsbedingungen von WhatsApp nicht zugestimmt haben. Alternativ können Sie auch sicherstellen, dass lediglich WhatsApp-Nutzer als Kontakte angelegt werden.
Deaktivieren Sie die automatische Backup-Funktion.
Legen Sie in Ihrem Unternehmensprofil ein Impressum an.
Nehmen Sie WhatsApp Business in Ihre Datenschutzerklärung auf.
Deaktivieren Sie die automatische Speicherung von Anhängen.
Übertragen Sie keine besonders geschützten personenbezogenen Daten wie etwa Gesundheitsdaten über den Messenger.
Bereiten Sie Mechanismen vor, um Nutzer zu entfernen, die der Datenverarbeitung per WhatsApp nachträglich widersprechen.

Schaffung einer Rechtsgrundlage

Damit Sie (potentielle) Kunden über WhatsApp kontaktieren dürfen, muss dafür zunächst eine passende Rechtsgrundlage identifiziert werden.

Wenn Endnutzer Sie als erstes über WhatsApp kontaktieren, ist dies meist unproblematisch. Hier können Sie sich auf das berechtigte Interesse an der Verarbeitung der Anfrage berufen.

Nutzen Sie umgekehrt WhatsApp Business, um Endnutzer anzuschreiben, müssen diese in den meisten Fällen zuvor eingewilligt haben. Das bloße Hinterlegen der Telefonnummer ist dafür nicht ausreichend, wenn nicht gleichzeitig explizit darauf hingewiesen wurde, dass diese für den Kontakt per WhatsApp genutzt wird. Regelmäßig ist die Bestätigung der Einwilligung per “Double Opt-in“ erforderlich.

In Ausnahmefällen, etwa bei Werbung gegenüber Bestandskunden, kann auch ein berechtigtes Interesse in Betracht kommen. Dies muss aber individuell geprüft werden.

Beachten Sie, dass Nutzer jederzeit die Möglichkeit haben müssen, ihre Einwilligung zu widerrufen, etwa indem sie im Chat das Wort „Stopp“ schreiben.

Lassen Sie sich im Zweifel professionell beraten

Die DSGVO-konforme Nutzung von Messenger-Diensten im Kontakt mit Endkunden kann gerade im Angesicht komplexer rechtlicher Umstände, wie etwa bei der Nutzung von US-basierten Anbietern, viel Unsicherheit schüren. Beachten Sie hierzu auch die Hinweise der Datenschutzkonferenz (DSK) und Empfehlungen Ihrer zuständigen Aufsichtsbehörde.

Tatsächlich gibt es zwischen den eingesetzten Diensten teilweise große Unterschiede, was die Umsetzung bestimmter technischer und organisatorischer Maßnahmen betrifft, um Compliance zu erreichen. Neben den datenschutzrechtlichen Herausforderungen werden weitere Themen zu lösen sein, wie z. B. ein effektives Berechtigungsmanagement oder Archivierungskonzept. Unserer Auffassung nach bieten andere Anbieter ähnlich gute Lösungen mit weniger rechtlichem Risiko.

Wenden Sie sich daher im Zweifel an einen professionellen Dienstleister. Als Experten für Datenschutz beraten wir Sie gerne bei der datenschutzkonformen Einbindung und Nutzung von Kommunikationsmitteln in Ihrem Unternehmen.

Zum Kontaktformular

Zur Newsletter-Anmeldung

ChatGPT und Datenschutz: Vorsicht bei der Eingabe personenbezogener Daten

Posted on 20. Juni 202524. Juni 2025 by Christian Klos

Die Nutzung von ChatGPT kann einen Datenschutzverstoß darstellen, wenn personenbezogene Daten ohne Rechtsgrundlage in das Eingabefeld eingegeben und somit verarbeitet werden. Dies hat insbesondere für Unternehmen Auswirkungen, die ChatGPT oder ähnliche KI-Anwendungen automatisiert in ihre Prozesse integrieren.

Bei Datenschutzverstößen im Zusammenhang mit ChatGPT drohen Unternehmen empfindliche Bußgelder. Stellen Sie daher unbedingt sicher, dass Ihre Prozesse Datenschutz-compliant sind.

Vorsicht bei personenbezogenen Daten im ChatGPT-Eingabefeld

Bei jeglicher Verarbeitung personenbezogener Daten sind Sie verpflichtet, alle gültigen Datenschutzgesetze einzuhalten. Dafür benötigen Sie immer eine einschlägige Rechtsgrundlage. Personenbezogene Daten, die Sie in ChatGPT eingeben oder per API direkt übermitteln, werden für die Generierung einer Antwort herangezogen und können – abhängig von der genutzten Lizenz und Konfiguration – zusätzlich für Trainingszwecke gespeichert werden.

Verarbeiten Sie personenbezogene Daten ohne Rechtsgrundlage mit ChatGPT oder anderen KI-Anwendungen, liegt daher ein Datenschutzverstoß vor, der mit hohen Bußgeldern geahndet werden kann.

Das ist vor allem dann relevant, wenn Sie die KI in automatisierten Prozessen nutzen, bei denen Eingaben nicht einzeln von Mitarbeitern geprüft werden.

In der Praxis ist es zwar äußerst unwahrscheinlich, dass Aufsichtsbehörden oder Betroffene von möglichen Datenschutzverstößen direkt erfahren. Allerdings werden die Logs Ihrer Interaktionen mit ChatGPT gespeichert. Wird Ihr Unternehmen etwa zu einem späteren Zeitpunkt durch eine Aufsichtsbehörde überprüft, kann Ihnen auch dann noch ein Datenschutzverstoß nachgewiesen werden.

Lassen sich personenbezogene Daten mit ChatGPT überhaupt rechtssicher verarbeiten?

Die Verarbeitung personenbezogener Daten wird durch die DSGVO streng reguliert. Zum einen muss eine Rechtsgrundlage geschaffen werden, also z. B. eine explizite Einwilligung zur Verarbeitung von den Betroffenen eingeholt werden.

Zum anderen müssen dafür bereits im Vorhinein alle involvierten Prozesse und Programme transparent aufgeführt und entsprechend datenschutzkonform werden, wobei sichergestellt werden muss, dass bei jedem Schritt die Rechte der betroffenen Person und ihre Interessen am Schutz der eigenen Daten gewahrt bleiben.

Beim Einsatz von externen Dienstleistern bzw. Anwendungen für die Verarbeitung personenbezogener Daten muss mit diesen außerdem ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.

Möchten Sie ChatGPT bei der Verarbeitung von personenbezogenen Daten nutzen, ist es daher in jedem Fall notwendig, dass Sie die explizite Einwilligung dafür bei Betroffenen einholen, oder eine andere Rechtsgrundlage prüfen, und einen Auftragsverarbeitungsvertrag (AVV) mit dem Unternehmen OpenAI schließen.

Dies ist mit bestimmten Lizenzen wie etwa der Enterprise- oder der API-Lizenz tatsächlich möglich. Mit der Gratis- oder Pro-Version ist dies nach aktuellem Stand jedoch nicht möglich. Mit diesen können personenbezogene Daten daher in der Regel nicht rechtskonform verarbeitet werden.

Die Lizenzen mit AVV-Möglichkeit haben einen weiteren wichtigen Vorteil: Sie können hier die Datenverarbeitung zu Trainingszwecken deaktivieren. Dies ist eine notwendige Voraussetzung, da die Verarbeitung zu Trainingszwecken so undurchsichtig ist, dass eine datenschutzkonforme Nutzung hier praktisch ausgeschlossen werden kann. Sie müssen diese Option also in jedem Fall aktivieren, um Ihre Chancen auf eine datenschutzkonforme Nutzung zu erhalten.

Selbst unter Beachtung dieser Punkte bleiben jedoch Risiken. Beispielsweise ist kaum nachvollziehbar und obendrein unwahrscheinlich, dass fundamentale Datenschutzkonzepte wie etwa der Schutz von Daten Minderjähriger zur Anwendung kommen, die jedoch für Compliance zwingende Voraussetzung sind. Hier muss also unbedingt eine Bereinigung der Daten vor der Übermittlung an OpenAI stattfinden.

Im besten Fall stellen Sie ohnehin nur Daten für die KI bereit, die von sensiblen Daten wie Klarnamen bereinigt sind. Sie können stattdessen beispielsweise Codenamen verwenden und auf die Weitergabe von Daten, die für den verfolgten Zweck nicht notwendig sind, komplett verzichten.

Zuletzt gibt es noch das Risiko, dass das bislang gültige Datenschutzabkommen DPF zwischen der EU und den USA scheitert und die USA nicht weiter als sicheres Drittland gelten. Unternehmen müssten dann auf EU-Standardvertragsklauseln ausweichen und zusätzliche Schutzmaßnahmen implementieren.

Fazit: Die rechtskonforme Nutzung von ChatGPT zur Verarbeitung personenbezogener Daten ist nur unter bestimmten Voraussetzungen denkbar und unterliegt auch im besten Fall gewissen Risiken. In jedem Fall benötigen Sie eine Lizenz, mit der Sie einen gültigen AVV schließen und die Nutzung von Eingaben zu Trainingszwecken ausschließen können.

Sicherer fahren Sie damit, so wenig personenbezogene Daten wie möglich zu übertragen und diese nach Möglichkeit zu codieren. Aus Sicht der Datenschutz-Compliance ist es jedoch am sichersten, ganz auf die Verarbeitung personenbezogener Daten über ChatGPT zu verzichten.

ChatGPT & Compliance – grundsätzlich ein schwieriges Thema

Das Thema ChatGPT & Datenschutz ist schon seit vielen Jahren von Konflikten und Problemen geprägt, wobei hier zumeist die undurchsichtigen Praktiken von OpenAI zum Bezug von Trainingsdaten in Verdacht gerieten. Noch heute steht OpenAI aufgrund möglicher Datenschutzverstöße im Fokus europäischer Datenschutzbehörden.

Unternehmen, die ChatGPT nutzen, müssen indes noch weitere Herausforderungen bei der Herstellung von Compliance meistern. Vor allem urheberrechtliche Bedenken und die Einordnung in eine Risikoklasse nach KI-VO sind in diesem Zusammenhang besonders erwähnenswert.Mehr Infos zum rechtskonformen Einsatz von ChatGPT in Unternehmen erhalten Sie in unserem Beitrag: Meine Firma setzt ChatGPT ein, darf sie das?

Zum Kontaktformular

Zur Newsletter-Anmeldung

Ist Dropbox DSGVO-konform? Das müssen Sie beachten

Posted on 20. Juni 202520. Juni 2025 by Christian Klos

Dropbox ist ein US-amerikanischer Cloud-Dienstleister. Bei Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist eine DSGVO-konforme Nutzung bei der Übertragung personenbezogener Daten nach aktuellem Stand (Juni 2025) grundsätzlich möglich.

Dazu können Unternehmen durch weitere Maßnahmen wie externe Verschlüsselung das Datenschutzniveau weiter erhöhen.

Vorsicht ist geboten im Hinblick auf ein mögliches Scheitern des EU-US Data Privacy Frameworks (DPF). Unternehmen sollten dann schnellstmöglich den Rückgriff auf EU-Standardvertragsklauseln prüfen oder, besser, bereits jetzt den Umstieg auf eine EU-basierte Alternative erwägen.

Was ist bei der Nutzung von Cloud-Diensten wie Dropbox beim Datenschutz zu beachten?

Cloud-Speicherdienste stellen für Unternehmen einen einfachen und günstigen Weg dar, ihre Speicherkapazität zu erhöhen und mit geringem Aufwand dafür zu sorgen, dass ihre Mitarbeiter Zugriff auf Dokumente und Daten unabhängig vom Standort erhalten können.

Gerade für kleinere Unternehmen mit eingeschränkten Möglichkeiten zum Aufbau einer komplexen IT-Infrastruktur ist dies eine potenziell gute Lösung, zumal große Dienstleister wie Dropbox, Google oder Amazon (AWS) umfangreiche Möglichkeiten für das Management und die Organisation von gespeicherten Dateien erlauben.

Aus datenschutzrechtlicher Sicht sollten Sie dabei jedoch beachten, dass der Cloud-Dienstleister immer einen eingeschränkten Zugang zu Ihren Daten haben muss, um diese ordnungsgemäß verwalten zu können.

Am sichersten fahren Sie daher damit, auf die Übertragung personenbezogener Daten in die Cloud so weit wie möglich zu verzichten.

Übertragen Sie personenbezogene Daten in die Cloud, müssen Sie mit dem Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) schließen, in dem die Rechte und Pflichten beider Seiten exakt bestimmt werden.

Stellen Sie außerdem sicher, dass Ihr Cloud-Dienstleister wichtige Zertifizierungen zur Datensicherheit und zum Datenschutz erfüllt. Hervorzuheben sind das C5 (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie sowie die Zertifizierungen nach ISO 27017 und ISO 27018.

Im Falle von Dropbox gibt das Unternehmen an, die genannten Standards zu erfüllen, wobei das TCDP nicht genannt wird. Aus technischer Sicht ist davon auszugehen, dass Dropbox die Standards für eine datenschutzkonforme Speicherung erfüllt, wenngleich dies allein keine hinreichende Bedingung für DSGVO-Konformität darstellt.

Zusätzliche Sicherheit durch Verschlüsselung

Dropbox bietet Ihnen im Rahmen des Advanced-Pakets die Möglichkeit zu zusätzlichen Sicherheitsmaßnahmen, die laut Angaben des Anbieters unter anderem eine von Dropbox nicht entschlüsselbare Ende-zu-Ende-Verschlüsselung übertragener Daten beinhaltet.

Zur Einhaltung einer höchstmöglichen Compliance sollte diese Variante gewählt werden. Hintergrund ist, dass US-Anbieter wie Dropbox US-Ermittlungsbehörden Zugriffe auf ihre gespeicherten Daten gewähren müssen. Dies ist im Hinblick auf die hohen Datenschutzstandards in der EU sehr kritisch zu bewerten.

Sie können den Datenschutz noch weiter erhöhen, indem Sie externe Dienstleister zur Verschlüsselung von personenbezogenen Daten, die zur Übertragung in die Cloud vorgesehen sind, nutzen. Diese sollten jedoch selbstverständlich ebenfalls datenschutzkonform sein.

Weiterhin können Sie personenbezogene Daten auf eigene Weise encodieren, indem Sie etwa Klarnamen durch Codenamen ersetzen und zusätzlich die Menge der übertragenen personenbezogenen Daten auf ein Minimum reduzieren.

Was ist bei US-basierten Diensten zusätzlich zu beachten?

Eine Besonderheit von Dropbox und anderen großen Mitbewerbern wie Google oder Amazon (AWS) ist die Tatsache, dass sich ein Großteil der Datenzentren in den USA und damit in einem Drittland außerhalb der EU befinden.

Dank des EU-US Data Privacy Frameworks (DPF) ist eine datenschutzkonforme Übertragung von Daten in die USA dennoch möglich, sofern das dort ansässige Unternehmen mittels einer Zertifizierung an das Framework angeschlossen ist. Hier ist Dropbox explizit gelistet. Es ergeben sich damit Stand jetzt in den meisten Fällen keine zusätzliche Handlungspflichten für Unternehmen, die Dropbox nutzen, sofern bereits ein gültiger AVV geschlossen wurde.

Dies kann sich jedoch ändern, wenn der Angemessenheitsbeschluss für das DPF zurückgezogen wird. In einem unlängst von uns veröffentlichten Artikel diskutieren wir die durchaus realistische Chance dafür genauer.

Sollte dieser Fall tatsächlich eintreten, wären Unternehmen gezwungen, mit jedem US-basierten Dienst, der personenbezogene Daten von EU-Bürgern verarbeitet, zusätzlich die EU-Standardvertragsklauseln (SCC) in den AVV einzubinden.

Selbst in diesem Fall wäre eine Datenschutz-Compliance jedoch nicht garantiert, da je nach Umstand für Unternehmen weiterhin die Pflicht bestehen kann, die Einhaltung von Datenschutz-Maßnahmen von Unternehmen in Drittländern zu überprüfen.

Die sicherere Alternative für Unternehmen in der EU ist daher die Nutzung eines EU-basierten Cloud-Dienstleisters wie TeamDrive oder die Open Telekom Cloud.

Lassen Sie sich im Zweifel beraten

Die Einhaltung der Compliance im Bereich Datenschutz und Datensicherheit, insbesondere bei der Nutzung von US-Dienstleistern, stellt Unternehmen regelmäßig vor Herausforderungen. Zusätzliche Unsicherheit, wie sie derzeit im politischen Verhältnis zwischen der EU und den USA existiert, vergrößert die Sorgen zusätzlich.

Wenden Sie sich daher im Zweifelsfall an uns, damit wir Ihnen bei der Einhaltung von Compliance im Bereich Datenschutz und Datensicherheit bestmöglich weiterhelfen können.

Zum Kontaktformular

Zur Newsletter-Anmeldung

Cybersicherheit für Unternehmen – So sorgen Sie vor

Posted on 14. Mai 2025 by Christian Klos

Cybersicherheit für Unternehmen umfasst alle Maßnahmen, um die Sicherheit von Daten und IT-Systemen in einem Unternehmen gegen unbefugten Zugriff, Diebstahl oder Manipulation zu schützen. Ein unzureichender Schutz kann gravierende Folgen für Unternehmen haben, daher sollten Sie der Cybersicherheit eine hohe Priorität einräumen.

Im Folgenden möchten wir Ihnen skizzieren, welche Aspekte zur Cybersicherheit für Unternehmen zählen, welche Folgen eine ungenügende Sicherheit haben kann und wie Sie die Cybersicherheit in Ihrem Unternehmen wirksam erhöhen können.

Grundlagen der Cybersicherheit im Unternehmen

Der Begriff Cybersicherheit ist ein Oberbegriff, der unterschiedliche Technologien und Praktiken zusammenfasst. Zu den Hauptzielen gehören dabei:

Schutz von Daten, insbesondere sensiblen Daten wie Produktdaten, Finanzdaten oder personenbezogene Daten, vor unbefugtem Zugriff und Diebstahl.
Sicherstellung der Datenintegrität, sodass diese nicht manipuliert werden können.
Sicherstellung der Verfügbarkeit Ihrer IT-Systeme, damit Ihre Dienste für Kunden und Mitarbeiter ständig verfügbar bleiben.

Um dies zu erreichen, stehen Unternehmen verschiedene Kategorien von Sicherheitskontrollen zur Verfügung, wobei ein höchstmöglicher Schutz durch eine Verzahnung aller Möglichkeiten erreicht wird:

Technische Sicherheitsmaßnahmen

Hierzu zählen unter anderem Systeme, die den Zugriff auf kritische Daten nur bei einer erfolgten Authentifizierung und Autorisierung zulassen. Die Authentifizierung sollte bestenfalls mehrstufig erfolgen, etwa mit einem Passwort und einem Einmal-Code, der an ein verifiziertes Endgerät des Nutzers geschickt wird. Jedem Nutzer sollte eine vordefinierte Rolle mit genau definierten Zugriffs- und Änderungsbefugnissen zugeteilt werden.

Die technische Sicherung Ihrer IT-Systeme soll zusätzlich sicherstellen, dass Angreifer außerhalb Ihres Unternehmensnetzwerks kaum Angriffsfläche erhalten. Erreicht werden kann dies beispielsweise über Firewalls.

Organisatorische Maßnahmen

Zur operationalen Sicherung gehört die Aus- und Weiterbildung von Mitarbeitern, um diese für Cybersicherheit zu sensibilisieren, sowie die Einführung und Überwachung von betriebsweiten Best Practices. Ein einfaches Beispiel ist das Sperren des Arbeitsgeräts, sobald man den Arbeitsplatz verlässt.

Physische Sicherung

Auch im elektronischen Zeitalter sollten Sie der physischen Sicherung Ihrer Assets Beachtung schenken. Im Kontext der Cybersicherheit schließt dies etwa die Sicherung von Servern und Speichermedien hinter verschlossenen Türen mit ein.

Gegen welche Bedrohungen sollten sich Unternehmen wappnen?

Bei der Betrachtung der Gefahr durch Cyberangriffe sollten Unternehmen zwischen den dahinter liegenden Motiven und der konkreten (technischen) Ausführung differenzieren.

Typische Angriffsziele und -motive

Die Motivation für einen Angriff kann im Einzelfall individuell sein, ist jedoch oftmals eine Kombination der folgenden Faktoren:

Spionage
Weiterverkauf
Erpressung
Philosophisch, politisch oder ethisch bedingte Motivation
Rache (etwa durch ehemalige Mitarbeiter)

In den meisten Fällen liegt dabei eine finanzielle Motivation zumindest teilweise zugrunde. Dabei kann es etwa darum gehen, Geschäftsgeheimnisse an Konkurrenten zu veräußern oder Ihren Betrieb zur Zahlung eines Lösegelds zu zwingen.

Häufige Angriffsvektoren

Die tatsächliche technische Ausführung des Cyberangriffs ist maßgeblich von den Zielen der Angreifer abhängig. Folgende Angriffsvektoren werden dabei besonders häufig genutzt:

Malware und Ransomware

Mit Malware wird Schadsoftware bezeichnet, die auf im Firmennetzwerk verbundenen Endgeräten installiert wird und dort meist im Hintergrund ausgeführt wird, um Informationen zu gespeicherten oder übertragenen Daten unbemerkt zu sammeln und an die Angreifer zu übertragen.

Malware kann auch genutzt werden, um die Arbeit im Betrieb zu erschweren oder zu verhindern. Werden infizierte Geräte etwa durch die Malware komplett unbrauchbar gemacht und erst nach Zahlung eines Lösegelds wieder freigegeben, spricht man auch von Ransomware.

Phishing

Mit Phishing wird die Praktik bezeichnet, bei der Nutzer über das Suggerieren einer falschen Identität zur Übermittlung sensibler Informationen wie Benutzernamen und Passwörter an die Angreifer gebracht werden. Ein Beispiel dafür ist eine täuschend echt aussehende Login-Seite eines im Unternehmen genutzten Dienstes.

Die Verlinkungen zu diesen Seiten erfolgt häufig per Mail oder Textnachrichten, bei denen über verschiedene Mittel echte Anbieter als Absender vorgegaukelt werden.

Denial of Service (DoS)

Bei Denial of Service Attacken werden das Firmennetzwerk und/oder die Website des Unternehmens lahmgelegt, um betriebliche Abläufe zu stören und die Nutzung von Diensten durch Kunden zu unterbinden. Gerade für Unternehmen mit elektronischen Geschäftsmodellen wie beispielsweise E-Commerce-Shops kann eine DoS-Attacke verheerende wirtschaftliche Konsequenzen bedeuten.

Wird die Attacke konzertiert von mehreren Systeme ausgeführt, spricht man auch von einem Distributed Denial of Service (DDos).

Angriff über Hard- und/oder Software-Schwachstellen

Moderne IT-Systeme werden im Hinblick auf eine höchstmögliche Sicherheit gegen Cyberangriffe entwickelt. Dennoch kommt es immer wieder vor, dass Schwachstellen übersehen werden, die sich Angreifer zunutze machen können. Auf diese Weise können Angreifer beispielsweise Sicherheitsmechanismen aushebeln und Zugriff auf sensible Daten erhalten.

Die Gefahr ist dabei besonders hoch, wenn Sicherheits-Updates nicht oder verspätet installiert werden. Ein häufig anzutreffender Fall in der Praxis ist der Angriff auf sogenannte Legacy-Systeme, bei denen es sich um veraltete Systeme handelt, die jedoch für die Aufrechterhaltung des Betriebs von entscheidender Bedeutung sind und nicht ohne Weiteres ausgetauscht werden können. Um dennoch einen adäquaten Schutz vor Angreifern gewährleisten zu können, sollten zusätzliche Schutzmechanismen zur Kompensation in Betracht gezogen werden.

Angriffe durch Insider

Cyberangriffe durch Insider sind für viele Unternehmen besonders verheerend, da sie gegen diese oft besonders schlecht geschützt sind. Veraltete Sicherheitsarchitekturen basieren oft auf dem Grundsatz, dass Anfragen aus dem Inneren des Firmennetzwerks von vornherein als vertrauenswürdig eingestuft werden. Das macht es für Insider besonders einfach, sich unbefugten Zugriff auf sensible Dateien zu verschaffen.

Moderne Sicherheitsarchitekturen setzen dagegen das Zero Trust Prinzip um, das hilft, den Schaden durch Angreifer aus dem Inneren so gering wie möglich zu halten.

Welche Folgen kann eine ungenügende Cybersicherheit haben?

Die potenziellen Folgen von mangelnder Cybersicherheit für Unternehmen können die Zukunft des gesamten Betriebs gefährden. Die Folgen lassen sich in drei Hauptkategorien einteilen:

Direkte und indirekte finanzielle Verluste
Vertrauensverlust
Rechtliche Konsequenzen

Zu den direkten finanziellen Folgen gehören etwaige Bußgelder, die durch Aufsichtsbehörden bei einem Bruch von Datenschutzauflagen verhängt werden können, sowie Zahlungen an Angreifer, um beispielsweise einen Ransomware-Angriff zu beenden. Die Zahlungen können dabei einen signifikanten Anteil des Jahresumsatzes des gesamten Unternehmens ausmachen.

Auch die indirekten Kosten sind nicht zu vernachlässigen. Kann der Betrieb etwa über die Dauer des Angriffs nicht aufrechterhalten werden, geht teure Arbeitszeit verloren. Werden wichtige Geschäftsgeheimnisse wie Produktdaten entwendet, kann dies außerdem einen wesentlichen Wettbewerbsnachteil darstellen, der die Unternehmensaussichten langfristig eintrübt.

Auch das veränderte Kaufverhalten von Kunden, das durch einen Vertrauensverlust ausgelöst wird, kann indirekte Kosten für das Unternehmen verursachen. Datenschutzverstöße müssen öffentlich gemacht werden, was die Wahrnehmung des Unternehmens deutlich negativ beeinflussen kann. Die Erfahrung zeigt, dass es häufig eine lange Zeit und intensive Bemühungen erfordert, einen solchen Vertrauensverlust wieder wettzumachen.

Werden personenbezogene Daten kompromittiert, müssen Unternehmen zusätzlich zu Bußgeldern auch mit rechtlichen Konsequenzen rechnen. Beispielsweise können Betroffene, auf deren Daten die Angreifer Zugriff hatten, Klage einreichen. Im Angesicht der meist ohnehin schon signifikanten Schäden für das Unternehmen stellt die zusätzliche Belastung durch teure und langwierige Verfahren ein weiteres schwerwiegendes Risiko dar.

7 Maßnahmen zur Verbesserung der IT-Sicherheit in Unternehmen

Der erste und wichtigste Schritt, den Unternehmen auf dem Weg zu mehr Cybersicherheit gehen können, ist, ihre Wichtigkeit auf der Ebene der Betriebsführung anzuerkennen und ihr die nötige Priorität einzuräumen. Die Erfahrung aus der Praxis zeigt, dass das Thema auf höchster Ebene ernst genommen und als konkretes Ziel auf Unternehmensebene vorgegeben werden sollte, damit sich tatsächliche Erfolge einstellen können.

Die folgenden Schritte können Unternehmen als Anhaltspunkte bei der Verbesserung ihrer Cybersicherheit dienen:

Ausführen einer Gap-Analyse, um Diskrepanzen des IST-Zustands und des SOLL-Zustands aufzudecken und darauf basierende Handlungsempfehlungen zu entwickeln. Danach sollten in regelmäßigen Zeitabständen Folgeanalysen erstellt werden, um die Entwicklung zu tracken.
Ausrichtung der Sicherheitsarchitektur auf Zero Trust unter Einbeziehung des Least Privilege Prinzips. Diese Prinzipien machen die gesamte Informationssicherheit im Unternehmen robuster und verringern zugleich den potenziellen Schaden durch Insider-Angriffe.
Technische und physische Sicherung von sensiblen Daten mit Mitteln der Mehrfaktor-Authentifizierung (MFA).
Einrichtung eines Rollensystems, bei dem jedem Nutzer eine Rolle mit fest definierten Rechten zugeordnet wird. Nur einer kleinen Gruppe aus privilegierten Nutzern wie System-Administratoren sollten dabei Super-User- bzw. Administrator-Rechte gewährt werden.
Sensibilisierung und Weiterbildung von Mitarbeitern. Hierbei ist es wichtig, diese von der Notwendigkeit der Maßnahmen zu überzeugen. Für die Mitarbeiter bedeuten zusätzliche Cybersicherheit-Maßnahmen oft einen erhöhten Aufwand bei der Verrichtung ihrer alltäglichen Aufgaben, was in einen Gegendruck mündet. Sie sollten dabei einen Kompromiss finden, der auf die Bedürfnisse der Belegschaft eingeht, ohne die Sicherheit zu weit zu kompromittieren.
Regelmäßige Updates von verwendeten Software-Systemen, damit diese stets die neuesten Sicherheits-Updates erhalten. Werden veraltete Legacy-Systeme genutzt werden, sollten unter Einbeziehung von Cybersecurity-Experten kompensatorische Sicherheitslösungen implementiert werden.
Nutzung moderner Cybersecurity-Tools und -Hardware wie beispielsweise Firewalls, die Angriffe von außen detektieren und abwehren können.

Die Umsetzung dieser Maßnahmen kann dabei je nach Unternehmenssituation aus unterschiedlichen Gründen fordernd sein. Kleinere Unternehmen mangelt es oft an personellen Ressourcen und Wissen, die für diese komplexe Aufgabe benötigt werden

In größeren Unternehmen kann der Umbau der Sicherheitsarchitektur zusätzlich zu einem großen Investment eine Neustrukturierung von verschiedenen Prozessen erfordern, welches im Rahmen eines Change-Managements mit allen beteiligten Stakeholdern gemeinsam besprochen und umgesetzt werden sollte.

Ob Sicherheitsmaßnahmen und vorgegebene Sicherheitsziele wirklich eingehalten werden, liegt jedoch am Ende immer bei den Beschäftigten. Höhere Sicherheit führt in der Regel zu mehr Unannehmlichkeiten für die Nutzer, weswegen eine Motivation entsteht, die Sicherheitsmaßnahmen aufzuweichen.

Unternehmen sind daher sowohl von technischer Seite als auch im Zuge eines personellen Change-Managements gefordert, Änderungen wirksam umzusetzen und Mitarbeiter auf ihre Seite zu ziehen.Um festzustellen, auf welchem Stand sich die Cybersicherheit in Ihrem Unternehmen befindet, ist die regelmäßige Durchführung einer Analyse der Bedrohungen und Maßnahmen unerlässlich. Für kleinere und mittlere Unternehmen ist die Durchführung des CyberRisikoCheck ein guter Startpunkt. Kontaktieren Sie uns für eine unverbindliche Erstberatung.

Zum Kontaktformular

Zur Newsletter-Anmeldung

Übergangfristen – Warum die KI-VO für viele Ihrer bestehenden KI-Systeme nie anwendbar sein wird

Posted on 10. Oktober 202410. Oktober 2024 by Eilert Stamm

Die KI-VO ist am 2. August dieses Jahres in Kraft getreten und ist prinzipiell ab 2. August 2026 anwendbar, wenn auch mit einigen Abweichungen. Diese Abweichungen sind in erster Linie an der Risikoeinstufung der KI-Systeme festgemacht. Aber welche Übergangsfristen bestehen für KI-Systeme, die bereits im Einsatz sind?

Die KI-VO ist im Wesentlichen ein Produktsicherheitsgesetz, welches einen risikobasierten Ansatz verfolgt und Aspekte des Grundrechteschutzes integriert. Die Vorgaben greifen in erster Linie zu dem Zeitpunkt, zu dem ein KI-Produkt in Verkehr gebracht oder in Betrieb genommen werden soll.

Für KI-Systeme, die bereits in den Unternehmen eingesetzt werden, sind diese Regelungen daher zunächst nicht anwendbar. Allerdings hat der Gesetzgeber Fristen festgelegt, bis wann Anbieter und Betreiber bei bestimmten KI-Systemen sicherstellen müssen, dass diese in Übereinstimmung mit den Vorgaben der KI-VO vertrieben und verwendet werden. Für die meisten Legacy-KI-Systeme gilt jedoch, dass die KI-VO nie anwendbar sein wird und der Betrieb dieser Systeme somit nicht in Einklang mit KI-VO gebracht werden muss.

Schauen wir uns nun im Detail an, für welche KI-Systeme welche Fristen gelten und für welche KI-Systeme die KI-VO nicht anwendbar sein wird.

^{Abb.: Entscheidungsbaum Übergangsfristen Anwendbarkeit der KI-VO}

Übergangsfrist bei inakzeptablem Risiko

Die Vorgaben für inakzeptable Risiken greifen gem. Art. 113 UAbs. 3 Buchst. A KI-VO bereits ab 2. Februar 2025. Denn Art. 5 KI-VO verbietet nicht nur das Inverkehrbringen und die Inbetriebnahme von KI-Systemen mit inakzeptablem Risiko, sondern auch deren Verwendung. An dieser Stelle weicht die KI-VO von der Logik eines reinen Produktsicherheitsgesetzes ab und stellt den Schutz der Grundrechte der Betroffenen in den Vordergrund. So erklärt sich diese Ausnahme und die ausgesprochen kurze Übergangsfrist.

Übergangsfrist für GPAI-Systeme

Die KI-Systeme mit allgemeinem Verwendungszweck (General Purpose AI – GPAI) werden von der EU außerhalb des Risikostufenmodells behandelt. Daher gelten hier auch eigene Fristen. KI-Systeme mit allgemeinem Verwendungszweck, die bereits in Betrieb sind oder vor dem 2. August 2025 in Verkehr gebracht werden, müssen gem. Art. 111 Abs. 3 KI-VO bis zum 2. August 2027 die Vorgaben der KI-VO erfüllen.

Übergangsfrist für IT-Großsysteme

Eine weitere Ausnahme von den üblichen Risikostufen sieht der Gesetzgeber für Komponenten von IT-Großsystemen vor, die gemäß den in Anhang X aufgeführten Rechtsakten errichtet und vor dem 2. August 2027 in Verkehr gebracht oder in Betrieb genommen wurden oder werden. Hierbei handelt es sich um EU-eigene Großprojekte wie das Visa-Informationssystem oder das „Europäische Strafregisterinformationssystem über Drittstaatsangehörige und Staatenlose“. Die hier geltende Frist bis zum 31.12.2030 ist daher für die meisten Unternehmen nicht relevant.

Anwendbarkeit bei KI-Systemen mit hohem Risiko

Viele Unternehmen betreiben jedoch bereits Hochrisiko-KI-Systeme oder bringen solche in Verkehr. Für Hochrisiko-KI-Systeme hat der Gesetzgeber differenzierte Fristen festgelegt.

Veränderungen von bereits verwendeten Hochrisiko-KI-Systemen

Nach Art. 111 Abs. 2 S. 1 KI-VO müssen Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, die Anforderungen der KI-VO erfüllen, wenn diese Systeme nach dem 2. August 2026 „erheblich verändert“ werden. Doch was versteht der Gesetzgeber unter einer „erheblichen Veränderung“? Hier hilft ein Blick in die Erwägungsgründe der KI-VO. Erwägungsgrund 128, S. 1 KI-VO erläutert, dass Änderungen, die an einem Hochrisiko-KI-System vorgenommen werden und die dessen Konformität mit den Anforderungen der Verordnung beeinträchtigen könnten, wie z. B. Änderungen des Betriebssystems oder der Softwarearchitektur, als wesentliche Änderungen gelten, wobei der Gesetzgeber „erhebliche“ und „wesentliche“ Änderung synonym versteht.

Für Behörden bestimmte Systeme

Darüber hinaus differenziert der Gesetzgeber innerhalb der Hochrisiko-KI-Systeme nach den typischen Verwendern. Daher müssen Hochrisiko-KI-Systeme, welche „bestimmungsgemäß von Behörden verwendet werden sollen“ (Art. 111 Abs. 2 S. 2 KI-VO) bis zum 2. August 2030 mit den Bestimmungen der KI-VO in Einklang gebracht werden. Für private Betreiber kennt die KI-VO keine vergleichbare Verpflichtung.

Hochrisiko-Systeme ohne Fristen

Das heißt, dass für ein Hochrisiko-KI-System, welches

bereits in Betrieb ist,
keinen allgemeinen Verwendungszweck hat,
nicht bestimmungsgemäß von Behörden verwendet wird,
nicht Komponenten eine IT-Großsystems nach Anhang X KI-VO ist
und nach dem 2. August 2026 keine erheblichen Änderungen erfährt

die KI-VO nie anwendbar wird!

Zwar „ermutigt“ ErwG 178 KI-VO die Anbieter von Hochrisiko-KI-Systemen, „auf freiwilliger Basis bereits während der Übergangsphase mit der Einhaltung der einschlägigen Pflichten aus dieser Verordnung zu beginnen“, definiert aber in Übereinstimmung mit den Erwägungen in ErwG 177 gar keine Übergangsfristen für viele KI-Systeme.

Anwendbarkeit für KI-Systeme ohne hohes Risiko

So wie Hochrisiko-KI-Systeme unter den soeben erläuterten Bedingungen keiner Pflicht zur Anpassung an die KI-VO unterliegen, gilt gleiches auch für die KI-Systeme ohne hohes Risiko, sofern sie keinen allgemeinen Verwendungszweck aufweisen oder Komponente eines der IT-Großsysteme sind. Wie in unserem früheren Blogbeitrag geschildert, unterscheidet die KI-VO nur mittelbar zwischen begrenztem und minimalem Risiko. Der Begriff KI-Systeme ohne hohes Risiko umfasst daher beide Kategorien.

Bewertung und Einordnung

Die KI-VO macht also tatsächlich keine zeitlichen Vorgaben, bis wann bestimmte KI-Systeme mit der KI-VO in Einklang gebracht werden müssen, sofern die genannten Bedingungen zutreffen. Diese Tatsache mag für viele überraschend sein.

Dies bedeutet natürlich nicht, dass die EU die Grundrechte und die Produktsicherheit für diese Systeme im rechtsfreien Raum stehen lässt. Vielmehr unterliegen die Systeme weiteren (Produktsicherheits-)Gesetzen, die der Gesetzgeber auch ausdrücklich für ausreichend hält. ErwG 166 besagt sinngemäß, dass KI-Systeme ohne hohes Risiko eigentlich sicher sein müssten, da sie die Vorgaben der „Verordnung (EU) 2023/988 vom 10. Mai 2023 über die allgemeine Produktsicherheit“ beachten müssen. Hier ist also aus Sicht des Gesetzgebers ein Sicherheitsnetz gespannt. Dieses Sicherheitsnetz gilt dann aber auch für Hochrisiko-KI-Systeme, die bereits verwendet werden, unverändert bleiben und nicht für Behörden bestimmt sind, sofern diese auf dem Markt bereitgestellt werden (Art. 2 Nr. 1 Verordnung (EU) 2023/988).

Für einige Unternehmen sind dies sicherlich erstmal gute Neuigkeiten. Aber der Teufel steckt natürlich im Detail. Setzen wir eigentlich ein KI-System mit allgemeinem Verwendungszweck ein? Ab wann handelt es sich um Einzelfall um eine erhebliche Veränderung? Wie ordne ich ein KI-System der richtigen Risikostufe zu? Und wie behalte ich den Überblick?

Unternehmen werden also nicht darum herumkommen, zumindest eine Bestandsaufnahme verwendeter KI-Systeme durchzuführen und diese in die Kategorien der KI-VO einzuordnen. Erst dann kann sicher festgestellt und dokumentiert werden, ob etwas und was zu tun ist.

Wir beraten Sie gern. Sprechen Sie uns an. Ihnen gefallen unsere Entscheidungsbäume und Sie wollen keine relevanten Entwicklungen im Bereich der KI-Regulierung verpassen? Abonnieren Sie unseren Newsletter, um in Sachen KI und Datenschutz stets auf dem aktuellen Stand zu bleiben.

Meine Firma setzt ChatGPT ein. Darf sie das?

Posted on 15. August 202411. September 2024 by Eilert Stamm

Dieser Beitrag erläutert am Beispiel eines sehr häufigen Szenarios, wie sich die KI-VO auf den Einsatz einer weit verbreiteten KI-Lösung auswirkt.

In dem hier zugrunde liegenden Szenario möchte ein Unternehmen den Chatbot ChatGPT ohne weitere Anpassungen unter einem firmeneigenen Namen, z. B. „Firma-Bot“, seinen Mitarbeitern zur internen Verwendung mit eingeschränkten Anwendungsmöglichkeiten anbieten. Die Mitarbeiter sollen eingeladen werden, den Chatbot für das Verbessern eigener Texte einzusetzen, um neue Texte wie z. B. Anleitungen zu generieren, um aus einem Input von unternehmenseigenen Dokumenten Zusammenfassungen zu erstellen oder bestehende Sharepoints mit der Chatbot zu verbinden, um eine fortgeschrittene Suche in diesen Datenablageorten zu ermöglichen.

Kann das Unternehmen ChatGPT so rechtskonform einsetzen? Dies wollen wir uns im Folgenden anhand der zu erwägenden Punkte anschauen:

Was ist ChatGPT aus Sicht der KI-VO?

ChatGPT ist ein KI-gestützter Chatbot. Er wurde von dem US-amerikanischen Softwareunternehmen OpenAI, Inc. entwickelt, um menschenähnliche Konversationen zu führen. Aus Sicht der KI-VO ist der Chatbot ein KI-System, dessen Output auf dem KI-Modell GPT-4 basiert, welches ebenfalls von OpenAI, Inc. entwickelt wurde. Ein KI-Modell ist ein System von Algorithmen, welches trainiert wird, um bestimmte Lösungsfähigkeiten zu erwerben. Bei GPT-4 handelt es sich um ein Large Language Modell, welches auf das Erkennen und Verarbeiten von Sprache trainiert wurde. Das Modell stellt also die Grundlage der Leistungsfähigkeit des Chatbots dar, das Modell kann aber auch zu anderen Zwecken verwendet. Eine Firma, die den Chatbot ChatGPT einsetzt, setzt hingegen nur das KI-System ein. Auch wenn die Fähigkeiten des Modells zum Einsatz kommen, übernimmt der Verwender des Produkts ChatGPT zunächst keine Verantwortung für das zugrunde liegende KI-Modell.

Was sollte mein Unternehmen beachten?

Welche Pflichten die KI-VO einem Unternehmen beim Einsatz eines KI-Systems auferlegt, hängt insbesondere von zwei Faktoren ab: 1. Welche Risikoeinstufung liegt vor? Und 2. Welche Rolle nimmt das Unternehmen ein?

Liegt ein inakzeptables oder hohes Risiko vor?

Wie in unserem vorherigen Beitrag geschildert, hängt die Risikoeinstufung auch vom konkreten Verwendungszweck ab. In unserem Szenario ist der Verwendungszweck durch die unternehmensinterne Richtlinie eingeschränkt. Die Kriterien für inakzeptable Risiken aus Art. 5 Abs. 1 KI-VO treffen bei den vorgenannten Anwendungsmöglichkeiten offensichtlich nicht zu. Ebenso fällt der für dieses Szenario skizzierte Verwendungszweck in keinen der in Anhang III KI-VO genannten Bereiche mit grundsätzlich hohem Risiko. Der Chatbot als Produkt fällt auch nicht unter die Liste der Harmonisierungsrechtsvorschriften in Anhang I KI-VO. Somit handelt es sich nicht um ein Hochrisiko-System und die entsprechenden Pflichten können vermieden werden.

Welche Rolle beim Einsatz von ChatGPT?

Wie ebenfalls in einem unserer früheren Beiträge dargestellt, unterscheidet die KI-VO zwischen verschiedenen Rollen, wie zum Beispiel Anbieter und Betreiber. Dabei sind einem Anbieter mehr Pflichten auferlegt als einem Betreiber. Wer ein KI-System nicht selbst entwickelt, aber in eigener Verantwortung verwendet, gilt als Betreiber. Dies trifft also auch auf das Unternehmen in unserem Szenario zu. Handelt es sich jedoch um ein Hochrisikosystem, würde das Unternehmen durch die Inbetriebnahme unter eigenem Namen allerdings zu einem Anbieter. Dies gilt jedoch nicht für Systeme von begrenztem oder minimalem Risiko, also auch hier nicht. Allerdings bleibt ein Unternehmen, welches eine KI-System einsetzt, nur dann ein Betreiber, wenn das KI-System auch gemäß der Zweckbestimmung verwendet wird, welche wiederum der Anbieter festgelegt. Auch diese Bedingung sollte in unserem Szenario erfüllt sein.

Welche Pflichten ergeben sich?

Somit handelt es sich in dem Szenario um die Inbetriebnahme eines KI-Systems zum Eigengebrauch durch einen Betreiber entsprechend der Zweckbestimmung, wobei das KI-System kein hohes Risiko aufweist.

Den Betreiber treffen daher zunächst die allgemeinen Pflichten aus der KI-VO, die so oder so ähnlich für alle Betreiber von KI-Systemen gelten. Nach Art. 4 KI-VO muss das Unternehmen sicherstellen, dass die Betroffenen das notwendige Wissen und Verständnis für KI-Systeme, die sogenannte KI-Kompetenz, aufweisen. Dies kann durch einen Bildungsabschluss oder Berufserfahrung gegeben sein oder muss durch Schulungen und Informationsmaterial vom Unternehmen nachgezogen werden.

Beim Einsatz eines Chatbots wirken insbesondere die Transparenzpflichten nach Art. 50 Abs. 1 KI-VO. So muss das Unternehmen die eigenen Mitarbeiter darüber informieren, dass sie mit einem KI-System interagieren. Da dies beim Einsatz von ChatGPT für die meisten Mitarbeiter offensichtlich ist, kann diese Pflicht ohne großen Aufwand erfüllt werden. Darüber hinaus sind weitere Compliance-Pflichten zu berücksichtigen. Beim Einsatz von ChatGPT sind insbesondere daten-, geheimnis- und urheberschutzrechtliche Aspekte zu beachten. So muss zum einen der Umgang mit den von den Mitarbeitern eingegebenen Input geregelt werden und umgekehrt diese auch über die spezifischen rechtlichen Herausforderungen eines Chatbots informiert werden, z. B. wenn diese in Prompts oder verwendetem Material dem Chatbot personenbezogenen Daten zur Verfügung stellen wollen.

Aber Vorsicht! Der Einsatz von ChatGPT unter anderen Bedingungen und mit anderen Verwendungszwecken kann eine andere Risikoeinstufung und andere Pflichten nach sich ziehen.

Was sollte mein Unternehmen tun?

Sofern der eingesetzte Chatbot nicht das einzige im Unternehmen eingesetzte KI-System ist, sollte der Einsatz in eine übergeordnete KI-Compliance-Strategie eingebettet sein. Dazu gehört beispielsweise eine systematische Dokumentation der eingesetzten KI-Systeme, eine allgemeine KI-Richtlinie etc. Hierzu werden wir in Kürze einen eigenen Blogbeitrag zur Verfügung stellen.

Für den Einsatz von Chatbots im Speziellen empfiehlt es sich, klare Regeln für die Beschäftigten aufzustellen:

Dies beginnt mit Vorgaben, wie, von wem und wofür der Chatbot überhaupt genutzt werden darf. Und wofür nicht, wie bspw. private Zwecke.
Darüber hinaus sollten Vorgaben zum zulässigen Input definiert sein, also zum Inhalt der Prompts oder der eingestellten Texte und Dokumente bzw. auch zur Bereinigung dieser vor Eingabe. Denn dieser Input kann sensible personenbezogene Daten enthalten oder Rückschlüsse zulassen, aber auch Geschäftsgeheimnisse oder andere Informationen dem Anbieter des Bots übermitteln. Hilfreich ist es hierfür, Muster für oft verwendete Prompts und übliche zu bereinigende Informationen vorzudefinieren. Zum anderen sollten nachvollziehbare Bestimmungen erlassen werden, in welcher Form der vom Chatbot generierte Output genutzt werden kann.
Gänzlich untersagt werden sollte einerseits die Verarbeitung von personenbezogenen Daten, sofern Datenflüsse vom eingesetzten Chatbot zu OpenAI, Inc. möglich sind. Andererseits die Verwendung der im Unternehmen eingegebenen und generierten Daten für das weitere Training des Modells durch OpenAI, Inc.
Darüber hinaus sollte in regelmäßigen Abständen eine Evaluation der Nutzung durchgeführt werden. Hierbei sollte überprüft werden, ob der Chatbot bestimmungsgemäß verwendet wird (z. B. durch automatisiertes Screening nach bestimmten Inhalten) und ob er entsprechend der Vorgaben arbeitet (z. B. keine personenbezogenen Daten im Output ausgibt). Achtung, bei einer solchen Auswertung können neue datenschutzrechtliche Herausforderungen auftreten, die es zu berücksichtigen gilt.

Ansonsten kann man sich auch der hilfreichen Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für den Einsatz von KI-basierten Chatbots orientieren.

Gibt es Ausnahmen für Start-ups und KMU?

Entsprechend des Verordnungsziel der Innovationsförderung und dem besonderen Augenmerk auf kleine und mittlere Unternehmen/KMU (Art. 1 Abs. 2 lit. g KI-VO) sind durchaus Erleichterungen und Ausnahmen für KMU und Kleinstunternehmen in der KI-VO vorgesehen. So sind die Anforderungen an das Risikomanagement bei Hochrisikosystemen für Kleinstunternehmen bspw. abgesenkt. Für das hier betrachtete Szenario sind diese Ausnahmen jedoch nicht relevant.

Fazit

Wie am Beispiel gezeigt, können Unternehmen bestimmte KI-Systeme nutzen (lassen), z. B. ChatGPT rechtskonform einsetzen, ohne umfangreiche Pflichten und Verwaltungsaufwände erfüllen zu müssen. Auch kleine oder mittlere Unternehmen, die möglicherweise über keine eigene Rechts- oder Compliance-Abteilung verfügen, können so von KI-Systemen profitieren. Im Zweifel sollte natürlich Rat eingeholt werden, um mögliche Eingriffe in die Rechte Dritter und Bußgelder bei versehentlichen Pflichtverstößen zu vermeiden. Gerade im Personalbereich ist Vorsicht geboten. Die Nutzung von KI-Systemen ist nicht in jedem Falle zulässig, nur weil diese auf dem Markt erhältlich sind oder praktisch erscheinen.

Sprechen Sie uns gerne an, wenn Sie Unterstützung bei der Einführung oder Bewertung eines KI-Systems benötigen. Sie wollen beim Thema KI-Compliance auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter.

Hinweisgeberschutzgesetz: Mehr Melden für Deutschland

Posted on 26. Januar 202416. Februar 2024 by Ina Rothe

Wie inzwischen allseits bekannt: Im Juli 2023 trat das Hinweisgeberschutzgesetz (HinSchG) als verspätete Umsetzung der bereits seit 2019 bestehenden EU-Whistleblowing-Richtlinie in deutsches Recht in Kraft. Das Gesetz enthält bestimmten allgemeine Schutzvorkehrungen, z. B. das bußgeldbewährten Verbot hinweisgebende Personen zu benachteiligen. Und für Unternehmen mit mehr als 49 Beschäftigten auch spezielle Vorgaben zur Einrichtung von internen Meldestellen. Entsprechend war derjenige Teil der deutschen Wirtschaft, der nicht ohnehin schon ein Hinweisgeberschutzsystem aus anderen Gründen, z. B. zur Aufdeckung von Wirtschaftskriminalität, eingerichtet hatte, den Sommer über beschäftigt, Meldestellen aller Couleur einzuführen. Natürlich interessiert das Ergebnis dieser vielfältigen Bemühungen.

Whistleblowing im Sonderfall Deutschland

Und so titelte die Wirtschaftswoche am 19.01.2024 „Viel zu wenig Meldungen für die Unternehmen“. Die WiWO bezog sich dabei auf Auswertungen von Meldezahlen aus Jahresberichten deutscher DAX-Unternehmen. Fraglich ist, ob die Zahlen bereits die neue Gesetzeslage widerspiegeln oder nicht vielmehr das Davor. Und ob daraus ein Versagen (wenig Meldungen gleich schlechte Meldesysteme) oder gar eine Überperformance (wenig Meldungen gleich wenig Unrecht) der Unternehmen abgeleitet werden kann.

Grundsätzlich ist die Datenlage zu Meldungen in / aus Unternehmen in Deutschland recht dünn. Sie suggeriert jedoch eine überwiegend positive Wirkung. In den vergangenen Jahren sind zudem diverse kluge Dissertationen zum Thema Hinweisgeben entstanden. Diese weisen unterschiedliche Schwerpunkte und empirische Erkenntnisse auf, die hier nur in Ansätzen dargestellt werden können. Sie alle zeigen die psychologische und gesellschaftspolitische Komplexität der Thematik auf:

Charakter, Geschichte oder Politik – das ist hier die Frage

So stellte Sebastian Oelrich in seiner Dissertation “Whistleblowing as a means to detect and prevent fraud: Four essays from different behavioral and economic perspectives” fest, dass es im Grunde weniger auf die externen Faktoren, wie etwa Meldemöglichkeiten oder gesetzlichen Schutz ankäme. Vielmehr sei Whistleblowing eine individuelle Verhaltensfrage. Moritz Valentin Fischers Thesen, die er anschaulich in „Personality and Whistleblowing“ darlegt, haben eine ähnliche Stoßrichtung. Er stellt im Rahmen seiner Untersuchung fest, dass „situative und personenbezogene Einflüsse auf Whistleblowing-Entscheidungen nicht getrennt voneinander betrachtet werden können“ [Hervorh. d. Autorin]. Er vermutet, dass es daher auch zu kulturellen Unterschieden kommen könnte. Es könnte also die Frage erlaubt sein, aus welchem Grund gerade in Südamerika so eifrig gemeldet wird, wie die Wirtschaftswoche im o. g. Artikel Transparency International zitierte.

Robert Brockhaus stellt das Hinweisgeben in seiner ebenso fesselnden Dissertation „Geheimnisschutz und Transparenz“ zusätzlich in einen geschichtlichen und rechtlichen Kontext mit all seinen deutschen Besonderheiten. Insbesondere spielen die einzigartige deutsche Geschichte und ein gewisses politisches Phlegma eine Rolle. So sei in Deutschland das Thema Geheimhaltung durch alle Zeiten besonders ausgeprägt gewesen und – wie oft diskutiert – die gedankliche Nähe vom Begriff des Whistleblowings, als Instrument des Aufdeckens struktureller Missstände in Organisationen, und der Denunziation, also Verrat oder Nestbeschmutzung, fest und nachvollziehbar historisch verankert. Allen fallen hierzu sofort die Stichworte Nazi-Regime und Stasi-Überwachung ein. Dazu kommt eine Politik, die trotz erhöhter gesamtgesellschaftlicher Transparenzansprüche unentschlossen und zögerlich agiert und erst mit Bußgeldern in Millionenhöhe seitens der EU zur Einführung von einfachen Hinweisgeberschutzregeln gebracht werden musste.

Eventuell helfen diese wissenschaftlichen Arbeiten zu verstehen, weshalb Deutschland in Sachen Whistleblowing offenbar nachholen muss. Alle Erklärungsansätze für die spezielle Situation in Deutschland seien jedoch dahingestellt, eines ist sicher: Deutschland benötigt mehr gesunde Meldekultur in Wirtschaft, Behörden und dem Non-profit-Sektor.

Mehr Melden weniger Ärger

Nicht nur die Erfahrung aus der Ermittlungstätigkeit der Autorin zeigt: Organisationen profitieren in der Regel von frühzeitiger Entdeckung und Aufklärung von Missständen und Verdachtsmomenten sowie vor allem von entsprechender Maßnahmenergreifung. (Ausgenommen sind natürlich Unternehmen mit Geschäftsmodellen, die auf unrechtmäßigen Prozessen und Geschäftsgebahren beruhen und somit auf deren Fortführung angewiesen sind.). Eine offene, vertrauensvolle Unternehmenskultur, in welcher sichtbar Missstände abgestellt und vor allem auch disinzentiviert werden, verbessert einerseits das Betriebsklima, ein nicht zu vernachlässigender Faktor in Zeiten des Fachkräftemangels. Andererseits kann man, wie in allen Beiträgen zum Hinweisgeberschutz zu lesen, größeren Schaden, Ermittlungen, Bußgelder, Stress und sogar graue Haare mit einem wirksamen Schutz vor Schlimmem und Schlimmerem, u. a. eben durch Meldungen, verhindern. Was kann also ein Unternehmen auf diesem komplexen Spielfeld leisten?

Handlungsempfehlungen für Unternehmen

Personalauswahl und Sensibilisierung

Den zuvor zitierten Dissertationen zufolge könnte von Organisationen bei der Personalauswahl, also unter Umständen per Eignungstest, die Persönlichkeitsstruktur und Meldebereitschaft von Bewerbern (mit-)berücksichtigt werden. Mit ethisch geneigtem Personal zu einer ethisch orientierten Organisation, so der Gedanke. Auch spezielle, die Ethik trainierende Schulungen könnten hierzu beitragen. Eine Belegschaft wird allerdings schon aus statistischen Gründen des Bevölkerungsschnittes aus gemischten Persönlichkeiten zusammengesetzt sein, so dass diese Maßnahmen auch Grenzen haben.

Einrichtung eines Hinweisgebersystems

So kann ein Unternehmen am besten auf der situativen Ebene der Prävention oder Schadensminderung handeln und ein effektives Hinweisgebersystem einrichten.

Auch ein deutscher Whistleblower gibt eher Hinweise, wenn er oder sie eine verlässliche und einfache Möglichkeit dafür vorfindet und sich diese nicht erst mühselig erarbeiten muss (z. B. per Suche nach einem vertrauenswürdigen Journalisten). Und es ist auch ohne empirische Untersuchung eine Binse, dass „potenzielle Whistleblower Hinweisgebersysteme nur [dann nutzen], wenn sie das Gefühl haben, den Ansprechpersonen in den Meldestellen vertrauen und Veränderungen bewirken zu können.“ (EQS Whistleblowing Report 2021).

So kann ein Unternehmen einerseits bei der Gestaltung und personellen Auswahl der Meldestellenbeauftragten Vertrauensaspekte berücksichtigen. Und damit andererseits den verschiedenen Persönlichkeitstypen der potenziellen Whistleblower gerecht werden. Im Grunde wie es das Hinweisgeberschutzgesetz bereits durch die Vorgabe unterschiedlicher Meldewege vorgibt: persönlich oder remote, anonym oder unter Namensnennung, mit mehr oder weniger Einbindung in den Aufklärungsprozess.

Sicherstellen von Schutz und Vertraulichkeit

Der Schutz gilt ohnehin – unabhängig davon, wie sehr eine Person psychologisch als Hinweisgeber „geeignet“ ist – allen gutgläubigen Hinweisgebern. Die sich regelmäßig erst nach komplexen psychologischen Prozessen (vgl. Fischer) den Ruck zur Meldung gegeben haben.

Dieser Schutz umfasst nicht nur bestimmte Benachteiligungsverbote, Schadenersatzansprüche und drohende Bußgelder, die in die internen Prozesse und Regeln integriert werden sollten.

Sondern der Hinweisgeberschutz umfasst insbesondere Vorkehrungen zur – da ist sie wieder – Geheimhaltung; nun allerdings der Identität der hinweisgebenden Person (und unter Umständen von deren Unterstützern). Gerade die hohen Vertraulichkeits- und Datenschutzanforderungen haben es in sich und sind nicht in jeder betrieblichen Praxis von Hause aus selbstverständlich. Man hüte sich z. B. vor ungesichertem E-Mail-Versand oder gar der spontanen Durchsuchung von E-Mail-Postfächern von in Hinweisen Beschuldigten. Auch die selbständige Vornahme von Überwachungen, das Versenden von Unterlagen mit verräterischen Metadaten, und selbst das Vertrauen auf anwaltliche Schweigepflichten bei der Weitergabe von Informationen zur hinweisgebenden Person können Tücken bergen.

Immer mit Überzeugung

Wichtig sind, wie bei allen Compliance-Bemühungen: Die Überzeugung mit der Umsetzung der gesetzlichen Vorgaben auch für das Unternehmen (und die Gesellschaft) Sinnvolles zu tun und die Entschlossenheit, dafür einzustehen und die erforderlichen Mittel ein- und Maßnahmen umzusetzen.

Nie ohne Unterstützung

Dies schließt auch die Absicherung durch kompetente rechtliche Begleitung ein, ob in-house oder extern.

Wenn Sie bei der systematischen, praxistauglichen Umsetzung des Hinweisgeberschutzes in Ihrem Unternehmen Hilfe benötigen oder als Meldestellenbeauftragte mehr Licht sehen wollen, wir beraten oder schulen Sie gern.

Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Das Wichtigste in Kürze

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Personenbezogene und besondere Kategorien von Daten

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Auftragsverarbeitung und AV-Vertrag

Datenübermittlung in Drittländer (USA, UK, etc.)

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Auswahl eines DSGVO-konformen Cloud-Anbieters

Standort von Anbieter und Rechenzentren

Zertifikate und Sicherheitsnachweise

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

Beispiele für EU-basierte Cloud-Anbieter

Haftung und Betroffenenrechte bei Datenschutzverstößen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Fazit: So gelingt Cloud Datenschutz in der Praxis

FAQ zu Cloud Datenschutz (häufige Fragen)

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

Muss ich Betroffene informieren, wenn ich ihre Daten in einer Cloud speichere?

Muss ich Betroffene informieren, wenn ich ihre Daten in einer Cloud speichere?

Warum NIS2 für Deutschland ein Thema ist

Wo NIS2 und DSGVO sich überschneiden

Wo sich NIS2 und DSGVO unterscheiden

Was zu tun ist

Fazit

Elementar wichtig: Rechtsgrundlage und AVV

Höhere Sicherheit und Datenschutz durch Enterprise-Features

Achtung bei allen US-Dienstleistern

Lassen Sie sich beim Datenschutz professionell unterstützen

Was ist bei WhatsApp und der DSGVO grundsätzlich zu beachten?

Worin unterscheiden sich WhatsApp, WhatsApp Business und die WhatsApp Business Platform?

Kann ich WhatsApp Business DSGVO-konform nutzen?

Abschluss eines AVV

Technische und organisatorische Maßnahmen

Schaffung einer Rechtsgrundlage

Lassen Sie sich im Zweifel professionell beraten

Vorsicht bei personenbezogenen Daten im ChatGPT-Eingabefeld

Lassen sich personenbezogene Daten mit ChatGPT überhaupt rechtssicher verarbeiten?

ChatGPT & Compliance – grundsätzlich ein schwieriges Thema

Was ist bei der Nutzung von Cloud-Diensten wie Dropbox beim Datenschutz zu beachten?

Zusätzliche Sicherheit durch Verschlüsselung

Was ist bei US-basierten Diensten zusätzlich zu beachten?

Lassen Sie sich im Zweifel beraten

Grundlagen der Cybersicherheit im Unternehmen

Gegen welche Bedrohungen sollten sich Unternehmen wappnen?

Typische Angriffsziele und -motive

Häufige Angriffsvektoren

Welche Folgen kann eine ungenügende Cybersicherheit haben?

7 Maßnahmen zur Verbesserung der IT-Sicherheit in Unternehmen

Übergangsfrist bei inakzeptablem Risiko

Übergangsfrist für GPAI-Systeme

Übergangsfrist für IT-Großsysteme

Anwendbarkeit bei KI-Systemen mit hohem Risiko

Veränderungen von bereits verwendeten Hochrisiko-KI-Systemen

Für Behörden bestimmte Systeme

Hochrisiko-Systeme ohne Fristen

Anwendbarkeit für KI-Systeme ohne hohes Risiko

Bewertung und Einordnung

Was ist ChatGPT aus Sicht der KI-VO?

Was sollte mein Unternehmen beachten?

Liegt ein inakzeptables oder hohes Risiko vor?

Welche Rolle beim Einsatz von ChatGPT?

Welche Pflichten ergeben sich?

Was sollte mein Unternehmen tun?

Gibt es Ausnahmen für Start-ups und KMU?

Fazit

Whistleblowing im Sonderfall Deutschland

Charakter, Geschichte oder Politik – das ist hier die Frage