The daily Post

READ OUR BLOG

Aus alt mach neu!

Das neue Design unseres Logos markiert einen zukunftsweisenden Schritt in unserer Unternehmensgeschichte und symbolisiert unsere fortwährende Weiterentwicklung.

Nach fast 7 Jahren war die Zeit reif für eine Auffrischung.
So wie sich unser Leistungsspektrum aufgrund neuer Gesetze und Technologien in den letzten Jahren weiterentwickelt hat, so möchten wir auch, dass sich unsere Außenwirkung mit diesen Schritten deckt.

Im Laufe der nächsten Wochen werden wir unsere Produkte und Dokumente entsprechend aktualisieren.

Wir freuen uns darauf mit neuem Design unseren Partnern weiterhin beratend und unterstützend zur Seite zu stehen.

Der AI Act ist da

Mit dem am 21. Mai 2024 verabschiedeten AI Act wird erstmalig ein umfassendes Gesetz für die Entwicklung und den Einsatz von Künstlicher Intelligenz (KI) geschaffen. Ziel der Verordnung ist es EU-Bürger vor möglichen negativen Auswirkungen von KI-Anwendungen zu schützen und einen vertrauenswürdigen Einsatz von KI-Modellen zu gewährleisten. Ab dem 1. August 2024 tritt das Gesetz in Kraft. Bereits im Februar 2025 werden erste Bestimmungen für Unternehmen verpflichtend.

Der AI Act teilt KI-Anwendungen in vier Risikokategorien ein. Unternehmen, die KI-Systeme bereits einsetzen oder einsetzen wollen, müssen eine entsprechende Einordnung vornehmen und die daraus schlussfolgernden Anforderungen umsetzen. So gehört bspw. der Einsatz von KI-basierten Spamfiltern und Chatbots der Kategorie zwei an, für die lediglich Transparenz- und Informationsanforderungen gelten, da sie ein überschaubares Risiko darstellen. Hingegen unterliegen KI-Systeme mit einem hohen Risiko für EU-Bürger, wie z.B. bei ihrem Einsatz für Biometrik, Strafverfolgung oder im Bereich der Kritischen Infrastruktur, verschiedenen Anforderungen, die sich an ihrem Einsatzzweck orientieren.

Unternehmen sollten daher den Einsatz neuer KI-Systeme, aber auch den Fortbestand bereits integrierter KI-Anwendungen, einer strukturierten Risikoanalyse unterziehen und daran beteiligte Mitarbeiter schulen, denn neben den Anforderungen des AI Acts gelten nach wie vor jene des Datenschutzrechts.      

 

 

Willkommen 2024!

Neue Gesetze, die maßgeblichen Einfluss auf Datenschutz, Informationssicherheit und Compliance haben, stellten bereits letztes Jahr Unternehmen vor neue Herausforderungen. Auch 2024 wartet mit einer Vielzahl an angekündigten neuen Regelungen auf. Hier seien insbesondere die NIS2-Richtlinie und deren nationales Umsetzungsgesetz, der Data Act sowie der EU AI Act zu nennen. Es tut sich also einiges.

Gefahren durch Cyberkriminalität und die massiv fortschreitende Entwicklung von Künstlicher Intelligenz tragen einen Großteil zu diesen Gesetzen bei.

Als kompetenter Partner verfolgen wir selbstverständlich aktuelle technische Entwicklungen und die damit verbundenen Compliance- und Sicherheitsrisiken. Dass es Risiken gibt, ist unbestritten. Dass man ihnen angemessen begegnen kann, dabei unterstützen wir täglich unsere Mandanten.

Das DATA 4.0 Team wünscht allen ein frohes und gesundes Jahr 2024!

Neues EU-U.S. Data Privacy Framework

Kann der Datenverkehr in die USA nun „ungehindert“ fließen?

Die EU-Kommission hat gestern den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen, wodurch der Datenübermittlung an zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau attestiert wird.

Mit dem neuen Data Privacy Framework können ab sofort wieder personenbezogene Daten aus der EU an die USA fließen. Laut EU-Kommission besteht für Betroffene und Datenexporteure damit erst einmal Rechtssicherheit.

Es sind keine 24 Stunden seit dem Inkrafttreten vergangen bis erste Kritik am neuen Angemessenheitsbeschluss geäußert wurde. Nach Auffassung der noyb.eu birgt auch der dritte Versuch eines EU-US-Abkommens zum rechtskonformen Datenverkehr Potential zum Scheitern. Es bleibt abzuwarten wie der EuGH das neue Datenschutzabkommen bewertet.

 

Fanpage der Bundesregierung untersagt

Mit seinem Bescheid vom 17.02.2023 hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den weiteren Betrieb der Facebook-Fanpage der Bundesregierung untersagt.

Das zuständige Presse- und Informationsamt der Bundesregierung wird aufgefordert innerhalb von 4 Wochen die Datenverarbeitung über die Fanpage einzustellen.

Bereits 2019 und 2021 hat der BfDI in seinen Rundschreiben öffentliche Stellen aufgefordert den Betrieb von Facebook-Fanpages einzustellen, da eine datenschutzkonforme Verarbeitung zum diesem Zeitpunkt nicht im Einklang mit der DSGVO stand. Erschwerend kommt seit Dezember 2021 hinzu, dass der Verantwortliche auch den Schutz der Privatsphäre bei Endeinrichtungen nach §25 TTDSG sicherzustellen hat. Aufgrund der vom EuGH festgestellten gemeinsamen Verantwortlichkeit des Anbieters „Meta Platforms“ und eines Fanpage-Betreibers treffen die rechtlichen Pflichten beide Parteien gleichermaßen. Dass der Fanpage-Betreiber unter der technischen Abhängigkeit des Anbieters nicht in der Lage ist eine datenschutzkonforme Verarbeitung zu gewährleisten, hat zuletzt die Datenschutzkonferenz (DSK) in seinem Beschluss vom 23.03.2022 konstatiert.

Es bleibt abzuwarten wie sich die Bundesregierung zu diesem Bescheid positioniert und welche Folgeforderungen auch an weitere öffentliche Stellen gerichtet werden.

Den Bescheid des BfDI können Sie unter folgendem Link abrufen: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Dokumente-allg/2023/Bescheid-Facebook-Fanpage.pdf?__blob=publicationFile&v=1 

Microsofts neues Data Protection Addendum

Nach der Kritik europäischer Aufsichtsbehörden Ende letzten Jahres hat Microsoft eine neue Version des Data Protection Addendum (kurz: DPA) veröffentlicht – abrufbar unter https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Das DPA fungiert als Auftragsverarbeitungsvertrag und regelt die datenschutzrechtlichen Rechte und Pflichten zwischen Microsoft und dessen Kunden.

Die wichtigsten Änderungen im Überblick:

  1. Für die rechtskonforme Verarbeitung der Telekommunikationsdaten, insbesondere der Einhaltung des Fernmeldegeheimnisses nach §3 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), zeichnet Microsoft verantwortlich.
  2. Microsoft verpflichtet sich Kundendaten, die durch Nutzung der Onlinedienste Azure, Dynamics 365, Power Platform und Microsoft 365 unter das sog. „EU Data Boundary“  fallen, innerhalb der EU zu speichern.
  3. Microsoft stellt klar, dass die technischen und organisatorischen Maßnahmen des DPA gleichsam zwischen Microsoft Irland und Microsoft USA umgesetzt werden, damit Microsoft Kunden ihren sekundären Prüfpflichten (Prüfung, dass Unterauftragnehmer nur unter Voraussetzung geeigneter Garantien eingesetzt werden) nachkommen können.
  4. Microsoft sichert seinen Kunden mehr Unterstützung zur Erfüllung ihrer Rechenschaftspflicht, also dem Nachweis der datenschutzkonformen Verarbeitung, zu.

Alles in allem wird durch das neue DPA das Datenschutzniveau beim Einsatz von Microsofts Onlinediensten erhöht. Es bleibt abzuwarten wie dieses von den Aufsichtsbehörden bewertet wird. Eines muss gewiss sein, nämlich dass die Bewertungen der Aufsichtsbehörden vordergründig auf die Vertragsinhalte abzielen. Dabei können und sollten Unternehmen – schlussendlich  bleiben sie für die Verarbeitung datenschutzrechtlich verantwortlich – auch eigene Maßnahmen treffen und unter den Nutzern ein Bewusstsein für Complianceanforderungen in der Datenverarbeitung schaffen.

 

Google Fonts Abmahnwelle

Im Laufe der letzten Wochen erhielten mehrere unserer Mandanten ein Forderungsschreiben, in dem den Unternehmen eine unrechtmäßige Einbindung externer Dienste auf ihren Websites vorgeworfen und ein Schadensersatz in Höhe von 100 Euro gefordert wird. Wie sich herausstellte, sind sie dabei nur wenige von vielen Unternehmen, die derzeit mit diesen Schreiben konfrontiert werden.

Auch wenn derartige Schreiben i. d. R. darauf abzielen, den Unternehmen das Geld aus der Tasche zu ziehen, sollten sie als Signal verstanden werden die rechtskonforme Einbindung externer Dienste auf der eigenen Website zu überprüfen.

Grundsätzlich empfehlen wir Google Fonts lokal auf den Webserver einzubinden, um externe Aufrufe zu unterbinden.

Dafür können unsere Mandanten den dafür bereitgestellten Website-Scan in unserer App.DATA nutzen.

Interessenten können sich gern direkt an uns wenden, um einen kostenfreien Website-Scan zu erhalten.