Schlagwortarchiv für: Datenschutz

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Schutz für Whistleblower! Das Hinweisgeberschutzgesetz (HinSchG) in Kraft getreten

Das Hinweisgeberschutzgesetz (HinSchG) als nationales Gesetz zur EU-Whistleblower-Richtlinie ist am 2. Juli 2023 in Kraft getreten. Institutionen mit mehr als 250 Beschäftigten müssen die Anforderungen bis dahin umsetzen. Sind ensprechende Kanäle nicht eingerichtet, werden ab 1. Dezember 2023 Bußgelder von bis zu 50.000 € möglich. Das neue Hinweisgeberschutzgesetz (HinSchG) wird begleitet von notwendigen Anpassungen bestehender gesetzlicher Regelungen.

Das Ziel des Gesetzes ist der Schutz der hinweisgebenden Personen und weiterer von einer Meldung betroffenen Personen zu stärken und abzusichern, dass ihnen keine Benachteiligung droht. Die Voraussetzungen für den Schutz der hinweisenden Person sind den §§ 35 ff HinSchG abgebildet. Der Schutz besteht allerdings nicht, wenn vorsätzlich oder grob fahrlässig unrichtige Informationen weitergegeben.

Welche Verstöße gegen geltende Vorschriften und Rechtsnormen umfasst das HinSchG? 

  • Arbeitsschutz
  • Gesundheitsschutz
  • Mindestlohngesetz
  • Arbeitnehmerüberlassungsgesetz
  • Betriebsverfassungsgesetz
  • Regelungen zur Bekämpfung der Geldwäsche
  • Produktsicherheitsvorgaben
  • Vorgaben Gefahrgutbeförderung
  • Vorgaben zu Umwelt- und Strahlenschutz
  • Standards zu Arzneimittel und Medizinprodukten
  • Verbraucherschutz
  • Datenschutz
  • Informationssicherheit
  • Vergaberecht
  • GoBD Regelungen

sowie jegliche Verstöße gegen Strafvorschriften des deutschen Rechts. 

Wer ist zur Umsetzung des HinSchG verpflichtet?

Der Gesetzgeber möchte ein weitreichendes und einheitliches Schutzniveau erreichen und hat daher den Umfang der Unternehmen weit ausgedehnt. Diese sind:

  • juristische Personen des Privatrechts wie der eingetragene Verein, die eingetragene Genossenschaft, die Aktiengesellschaft, die Kommanditgesellschaft auf Aktien, die Gesellschaft mit beschränkter Haftung und Stiftungen des Privatrechts,
  • juristischen Personen des öffentlichen Rechts, insbesondere Gebietskörperschaften, Personalkörperschaften sowie Verbandskörperschaften auf Bundes- und Landesebene,
  • rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen,
  • Anstalten, wie die Landesrundfunkanstalten,
  • öffentlich-rechtliche Stiftungen,
  • die evangelische und katholische Kirche mit ihren Kirchengemeinden,
  • sonstige gemäß Artikel 140 GG, Artikel 137 Absatz 5 der Weimarer Reichsverfassung als Körperschaften des öffentlichen Rechts oder nach entsprechenden Bestimmungen des Landesrechts anerkannte oder als Vereine des BGB konstituierte Kirchen und   sonstige Religionsgemeinschaften.

Wo kann die hinweisgebende Person seine Meldung platzieren?

Die hinweisgebende Person kann frei wählen, ob sie sich an eine „interne Meldestelle“ des Unternehmens oder an eine „externe Meldestelle“ der Behörden wendet.

Im Referentenentwurf des HinSchG sind verpflichtende Regelungen für die Bereitstellung einer internen Meldestelle festgelegt:

  • für Beschäftigungsgeber mit mehr als 250 Mitarbeiter sofort nach Inkrafttreten des Gesetzes,
  • für Beschäftigungsgeber mit mehr als 50 Mitarbeiter (und bis 249 Mitarbeiter) ab dem 17.12.2023. Diese können gemäß § 14 Abs. 2 HinSchG eine „gemeinsame Meldestelle“ betreiben oder auch einem „Dritten“ mit der Aufgabe betreuen (§ 15 HinSchG). Zu beachten ist das der sog. „Dritte“ bei der Ausübung der Tätigkeit unabhängig ist und das Vertraulichkeitsgebot beachtet.
  • für Gemeinden und Gemeindeverbände richtet sich die Pflicht zur Einrichtung interner Meldestellen nach dem jeweiligen Landesrecht, da dem Bund insoweit infolge des
    „Durchgriffsverbots“ eine unmittelbare Aufgabenübertragung an Gemeinden und Gemeindeverbände verwehrt ist. Im jeweiligen Landesrecht kann vorgesehen werden, dass Gemeinden und Gemeindeverbände mit weniger als 10 000 Einwohnern von der Pflicht zur Einrichtung interner Meldestellen ausgenommen werden. Hier werden also zeitnah noch Landesgesetze der Bundesländer zu erlassen sein.

Wie kann die hinweisgebende Person ihre Meldung abgeben?

Meldekanäle für mündliche oder schriftliche Meldungen sind wie folgt zu gestalten:

  • Einrichtung einer telefonischen Hotline,
  • Einrichtung eines IT-gestützten Hinweisgebertools,
  • Persönliche / physische Zusammenkunft, bei anonymen Hinweisen eher schwierig umzusetzen.
    In dem bisher vorliegenden Gesetzesentwurf ist keine Verpflichtung enthalten, dass Meldekanäle anonyme Meldungen ermöglichen müssen.

Die Umsetzung der neuen gesetzlichen Regelungen ist verpflichtend, da sonst eine Schadensersatzforderung oder auch Bußgeldforderung auf Grund einer Ordnungswidrigkeit entstehen kann.

Die deutschen Datenschutzbehörden haben als Umsetzungshilfe eine Orientierungshilfe veröffentlicht. „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ (Stand 2018) Da die Meldung von Verstößen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung. 

Das ein umfangreiches Beschwerdemanagement in jedem Unternehmen etabliert sein sollte, unterstreicht auch das bereits gültige Lieferkettensorgfaltspflichtengesetz(LkSG) § 8. Dieses definiert entsprechend der Unternehmensgröße eine verpflichtende Umsetzung im Rahmen eines Beschwerdeverfahrens.

Prüfen Sie schon jetzt, wie Sie in Ihrem Unternehmen das deutsche Hinweisgeberschutzgesetz umsetzen oder in Ihr bestehendes Beschwerdemanagement integrieren können. Bei Suche nach einer IT-gestützten Lösung unterstützen wir Sie kompetent und unabhängig.

 

Bild: istockphoto/oxinoxi

/von

Einheitliche Regelungen für Bußgelder im europäischen Datenschutz 

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

/von

Cloud Security nach BSI C5 – Was bringt ein C5-Testat?

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

/von

Handelsregisterverordnung den Vorgaben der DSGVO angepasst

Die Handelsregisterverordnung (HRV) wurde zum 23.12.2022 durch das Bundesjustizministerium angepasst. Das Ziel ist, personenbezogenen Daten im digitalen Handelsregister einen besseren Schutz zu geben.

Bisher ließen sich seit dem 01.08.2022 sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Damit waren Dokumente zugänglich, die oft sensible persönliche Daten wie Adresse, Geburtsdaten, Bankverbindung oder auch Unterschriften enthielten. Diese Lücke im Datenschutz entstand durch eine Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie. Betreiber des Handelsregisterportals sind die einzelnen Bundesländer und das ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann.

Kritik der Datenschützer am Schutz der Informationen in dem Online-Verzeichnis führte zu Änderungen in der Handelsregisterverordnung. § 9 HRV beinhaltet jetzt, dass nur Unterlagen aufgenommen werden, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Ebenfalls wurde in dem neuen Absatz 7 § 9 HRV die Möglichkeit des Austausches von Dokumenten geregelt. Damit kann der Betroffene ein neues Dokument ohne die fraglichen Inhalte einreichen und geben das alte Dokument austauschen.

Fazit: Der Prozess ist noch nicht abgeschlossen. Das Bundesministerium der Justiz, die Justizbehörden der Länder und die Bundesnotarkammer arbeiten weiterführend daran, technische Lösungen zur datenschutzrechtlichen Bearbeitung von bereits eingestellten Daten zu finden.

Foto: istockphoto/fotogestoeber

/von

DSGVO: Neue Entscheidung zum Einsatz von Cloud-Anbietern aus den USA

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

/von

Auflösung des Betriebs­rates durch Verstoß gegen den Datenschutz

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, “Business Acquisation Planning”, tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Die Entscheidung des Arbeitsgerichtes Iserlohn

Die Übermittlung der Daten in diesem Größenumfang wurde durch das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates bewertet. Es wurde dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen stattgegeben. Neben der Vertrauensstellung des Betriebsrates wurden durch das Arbeitsgericht Iserlohn auch die Verstöße gegen die Datenschutzbestimmungen mit einbezogen. Verletzt wurde durch die massive Überschreitung der Kompetenzen der § 1 BetrVG.

Das Gericht setzte ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit, begründet durch eine konkrete Wiederholungsgefahr, zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben sei.

Ebenfalls kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO mit dem Zwecke der Weitergabe an Dritte ebenso wenig vorlag, wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder betriebsverfassungsrechtlicher Kompetenzen des Betriebsrats die Erforderlichkeit zur Übermittlung nicht gegeben ist. Der Einwand des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, wies das Gericht ab. Das Arbeitsgericht begründet die Ablehnung wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Die E-Mails waren nicht persönlich an einen Ansprechpartner gerichtet, sondern lediglich allgemein an die jeweilige Anwaltskanzlei adressiert. Der Link zum Download der Dokumente war nicht Passwort-geschützt, was einen weiteren groben Verstoß darstellte. Die Daten hätten an unbeteiligte Dritte gelangen können und sind somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt worden. Durch das Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat sensible Daten der Arbeitgeberinnen erneut einem unüberschaubaren Personenkreis zur Verfügung stellte.

 

Auch ein Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Arbeitnehmer/ -innen versteht, bedeutet nicht, dass er eine Legitimation zur Verarbeitung von Beschäftigtendaten hat.  Auch der Betriebsrat muss darstellen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzt und welche Sicherheitsvorkehrungen zum Schutze der Daten er trifft.

Die Grundsätze des Datenschutzrechts sind für jedermann im Umgang mit personenbezogenen Daten bindend, egal ob mit Daten von Beschäftigten aber ebenso mit denen von Kunden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat auch das Betriebsverfassungsrecht enge Grenzen abgesteckt.

/von