Schlagwortarchiv für: Datenschutz

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit einigen Jahren macht die Entwicklung der Künstlichen Intelligenz (KI) enorme Sprünge – von reinem „Maschinenlernen“ zu gefühlter Intelligenz ist spätestens seit der Einführung von Chat GPT der Wandel vollzogen. Doch wie kann man diese Technologie im Unternehmen rechtssicher einsetzen? Welche Anwendungsmöglichkeiten gibt es, wie kann so ein Einführungsprojekt bestmöglich umgesetzt werden, welche Risiken sind zu beachten und wie können Mitarbeiter überzeugt werden, dass die KI sie nicht überflüssig machen soll?

Unser Gesprächspartner ist diesmal Steffen Maas, einer der Gründer der ai.Impact GmbH in Hamburg, der Unternehmen bei der Einführung von KI unterstützt (Kontakt ai.Impact).

In unserer Folge „KI rechtssicher im Unternehmen einführen – was ist zu beachten?“ gehen wir auf folgende Aspekte ein:

  • Was ist künstliche Intelligenz, Deep Learning oder Large Language Module?
  • „Intelligenzrevolution“ – die Möglichkeiten und Risiken der LLM
  • Mögliche Anwendungsbereiche von KI im Unternehmen
  • KI bei Unternehmen in KRITIS Sektoren
  • Möglicher Projektablauf der KI-Einführung im Unternehmen
  • die Wichtigkeit der Einbeziehung der Mitarbeiter
  • Berücksichtigung des Datenschutzes, Urheberrechtes, Antidiskriminierungsgrundsatz

Hier ein Paar Links zum Thema KI im Unternehmen – was ist zu beachten?

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Zu Anfang gab es wohl so etwas wie eine Umsetzungsfrist bei der die Aufsichtsbehörden ein Auge zu gedrückt haben. Doch jetzt beschäftigt vor allem das Thema Webseitentracking und nicht konforme Cookiebanner die Datenschutzbehörden in ganz Europa. Ob versteckte Ablehn-Bottons oder Nudging, eine Vielzahl an Cookiebannern entspricht nicht der geforderten Form und führt zu entsprechenden Bußgeldern.

In unserer Folge „TTDSG – aktueller Stand und Zukunftsmusik“ gehen wir auf folgende Aspekte ein:

  • Definition und Unterschiede TTDSG und DSGVO
  • Cookiebanner beschäftigen die Behörden
  • Was ist Nudging und Black Pattern?
  • Die Zukunft der Cookiebanner – PIMS, Googles Sandbox

Hier ein Paar Links zum Thema TTDSG – aktueller Stand und Zukunftsmusik:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Beim Einkaufen mit einer Payback-Karte, Bestellen von Waren im Internet oder bei einer einfachen telefonischen Anfrage bei einem Dienstleister – personenbezogene Daten werden beinahe ständig übermittelt. Damit die Betroffenen die Möglichkeit haben, Auskunft über ihre Daten zu haben, oder diese sogar wieder löschen zu lassen, ist in der DS-GVO ein eigenes Kapitel für die Rechte der betroffenen Personen vorhanden.

In unserer Folge „Betroffenenrechte – Rechte, Pflichten, Stolperfallen“ gehen wir auf folgende Aspekte ein:

  • Kapitel 3 DS-GVO „Rechte der betroffenen Person“
  • Fallstrick 1: Authentifizierung des Anfragenden
  • Fallstrick 2: entgegenstehende gesetzliche Fristen
  • Prozesse, Zeitrahmen und Dokumentation von Auskünften und Löschungen

Hier ein Paar Links zum Thema Betroffenenrechte:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In der heutigen digitalen Welt, in der Technologie allgegenwärtig ist, können Unternehmen auf zahlreiche Tools und Plattformen zurückgreifen, um ihre Arbeit effektiver und effizienter zu gestalten. Eines dieser Tools ist ChatGPT, ein großes Sprachmodell, das von OpenAI entwickelt wurde und in den letzten Monaten viel Aufmerksamkeit bekommen hat. Das ist ein leistungsfähiges Instrument, das sich auch in der Arbeitswelt rasant verbreitet hat. Es ist jedoch wichtig, dass Mitarbeiter sich bewusst sind, dass sie keine Firmeninternas oder -geheimnisse bei ChatGPT posten dürfen.

Warum?

Der Grund dafür ist einfach: ChatGPT ist ein Tool von Drittanbietern, das nicht direkt lokal kontrolliert wird. Obwohl ChatGPT eine künstliche Intelligenz ist, die lernen kann, indem sie mit Benutzern interagiert, hat sie kein Konzept von Geheimhaltung oder Vertraulichkeit. Wenn Sie also vertrauliche Informationen oder Firmengeheimnisse bei ChatGPT posten, besteht die Möglichkeit, dass diese Informationen von unbefugten Personen abgerufen werden können.
Die Sicherheit und Vertraulichkeit von Informationen ist von entscheidender Bedeutung für Unternehmen. Eine Veröffentlichung von Informationen, die geschützt sein sollten, kann schwerwiegende Folgen haben, einschließlich der Verletzung von Verträgen, die rechtliche Schritte oder sogar den Verlust des Vertrauens der Kunden nach sich ziehen kann. Aus diesem Grund ist es ratsam, keine vertraulichen Informationen oder Firmengeheimnisse bei ChatGPT zu posten. Je größer der gepostete Inhalt ist, desto wahrscheinlicher ist es, dass er interne Daten beinhaltet. Eine vorherige, grundlegende Säuberung ist deshalb essenziell.

Was sollten Firmen bei der Nutzung von ChatGPT beachten?

Generell sollten Unternehmen eine Strategie entwickeln, ob und wie sie mit diesen neuen Werkzeugen umgehen. Oft ist dem einzelnen Mitarbeiter gar nicht bewusst, dass es sich um externe Tools handelt und es zu unterschiedlichen Verstößen, inkl. solcher gegen die DS-GVO führen kann. Mitarbeiter sollten primär interne Tools oder Plattformen nutzen, die von ihrem Unternehmen kontrolliert werden, um ihre vertraulichen Informationen sicher zu teilen. Diese internen Plattformen können speziell auf die Bedürfnisse und Anforderungen des Unternehmens zugeschnitten werden und sind somit sicherer als Tools von Drittanbietern wie ChatGPT.

Zur Information: Italien sperrt ChatGPT

Im letzten Teil dieser Artikel-Serie haben wir uns mit den Pflichten des Verantwortlichen beschäftigt. In diesem Artikel soll es um die Pflichten als Auftragsverarbeiter gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen, gelten also für jede Organisation, die personenbezogene Daten verarbeitet. In diesem Artikel wollen wir uns nun dem Anhang B widmen, der Controls für Auftragsverarbeiter spezifiziert.

Pflichten als Auftragsverarbeiter

Auftragsverarbeiter haben datenschutzrechtliche Pflichten zu beachten. Diese ergeben sich u.a. aus dem Vertrag zur Auftragsverarbeitung, sind also mit dem Auftraggeber vereinbart. Der Anhang B der ISO 27701:2021 deckt diesen Bereich ab. Er gliedert sich in vier Abschnitte: B8.2 bis B8.5. Behandelt werden die Bedingungen für die Erhebung und Verarbeitung, Verpflichtungen gegenüber betroffenen Personen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Die Struktur ist also analog zu der im Anhang A.

Viele Unternehmen sind Auftragsverarbeiter im datenschutzrechtlichen Sinne, auch wenn sie sich nicht klassisch als solche fühlen. Häufig kommt man als Dienstleister mit personenbezogenen Daten seiner Kunden “in Berührung”, was datenschutzrechtlich häufig als Auftragsverarbeitung zu werten wäre. Zu prüfen wäre auf alle Fälle auch, ob es sich statt um eine klassische Auftragsverarbeitung um eine gemeinsame Verantwortung im Sinne des Art. 26 der DSGVO handelt (siehe auch A.7.2.7 der ISO 27701:2021). Aber das soll heute nicht das Thema sein. Wir gehen im Folgenden vom Fall der klassischen Auftragsverarbeitung aus.

Bedingungen für die Erhebung und Verarbeitung

B.8.2 beschreibt 6 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier geht es um das Vertragsverhältnis zum Auftraggeber. Es muss u.a. sichergestellt werden, dass die personenbezogenen Daten nur zu den vereinbarten Zwecken verwendet werden. Besondere Aufmerksamkeit wird der Verwendung zu Marketingzwecken geschenkt. Auch die Frage der zur Verfügungstellung von Informationen für den Auftraggeber wird adressiert.

Verpflichtungen gegenüber betroffenen Personen

B.8.3 widmet sich gesondert der Pflicht, dem Auftraggeber zur Erfüllung seiner datenschutzrechtlichen Verpflichtungen die notwendigen Mittel bereitzustellen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

B.8.4 beschreibt 3 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, beschäftigt sich also mit den Themen Privacy by Default und Privacy by Design. Adressiert werden unter diesem Gesichtspunkt die Themenbereiche temporäre Dateien, die Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten sowie Maßnahmen zur Übertragung personenbezogener Daten.

Pflichten des Auftragsverarbeiters zu Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

B.8.5 beschreibt 8 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dieser Bereich ist für Auftraggeber besonders wichtig, da es sich bei den personenbezogenen Daten eben nicht um Daten handelt, für die er selbst Verantwortlicher ist, sondern der Auftraggeber. Daher müssen die Bedingungen, unter denen z.B. Behörden diese Daten offengelegt werden (müssen), gut geregelt sein.

Weiterhin wird der Bereich der Übermittlung in Drittstaaten adressiert.

Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“

In unserem Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren.

In unserer Folge „Cookiebanner & Co. – was bei Webseiten aus Datenschutzsicht zu beachten ist“ gehen wir auf folgende Aspekte ein:

  • TTDSG und TMD
  • Impressum, Datenschutzerklärung
  • Stolperfalle Cookiebanner
  • Problematik Google Fonts

Hier ein Paar Links zum Thema Datenschutz auf Webseiten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2022 war auch aus Datenschutz- und Informationssicherheitssicht kein ruhiges Jahr. Neue Beschlüsse, geänderte Gesetze und aktualisierte Normen werfen ihre Schatten auf 2023. Im Datenschutz ist weiterhin die Zusammenarbeit mit Drittstaaten ein großes Thema, in der Informationssicherheit stellen die aktualisierten Normen ISO 27001 und 27002 die Unternehmen vor neue Herausforderungen.

In unserer Folge “Jahresrückblick“ gehen wir auf folgende Aspekte ein:

  • TTDSG und Privacy Shield
  • Aktuelles zu Micosoft und Google Fonts
  • Zertifizierung im Datenschutz
  • Die neue ISO 27001 und 27002
  • IT-SiG 2.0, NIS 2 und TISAX

Hier ein Paar Links zum Thema MS Office 365 und die ISO 2700x:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zum besseren Schutz unternehmenseigener Werte und Informationen ist die Einführung eines Informationssicherheitsmanagementsystems ratsam. In der Automobilindustrie und allen zugehörigen Bereichen hat sich der VDA Standard TISAX® etabliert, um einen vergleichbaren und umfänglichen Schutz herzustellen. Besonderheiten wie Prototypenschutz und Datenschutz werden hier zusätzlich berücksichtig.

In unserer Folge „TISAX® – Informationssicherheit in der Automobilindustrie“ gehen wir auf folgende Aspekte ein:
• Woher kommt der TISAX® Standard?
• Aufbau des Information Security Assessments
• Prüfung und Zertifizierung der Informationssicherheit nach TISAX®
• Bedeutung in der Automobilbranche

Hier ein Paar Links zum Thema TISAX® – Informationssicherheit in der Automobilindustrie:
https://enx.com/de-de/tisax/
https://anmatho.de/seminare/
https://www.dekra.de/de/tisax-assessment

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!