Datenschutz und IT-Sicherheit 2026

Datenschutz und IT-Sicherheit 2026: Diese Themen sollten Unternehmen jetzt priorisieren

Der Jahresanfang ist der richtige Zeitpunkt, um Maßnahmen für Datenschutz und IT-Sicherheit zu planen. Sonst verfliegt das Jahr und die Risiken schweben über dem Unternehmen wie ein Damoklesschwert. Zu bedenken ist, dass sowohl die Beschwerden als auch die verhängten Bußgelder wegen Datenschutzverstößen seit Inkrafttreten der DSGVO am 25. Mai 2018 stetig und spürbar steigen. Außerdem bedeutet Datenschutz auch immer, einen Blick auf die IT-Sicherheit zu werfen. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 und einer realen Bedrohungslage durch Cyberkriminelle sind Datenschutz und IT-Sicherheit 2026 also so relevant wie nie.

Kontinuierliches Handeln ist gefragt

Ob zehn, zwanzig oder zweihundert Mitarbeiter, ob Mittelstand oder Konzern, die Grundsätze und Anforderungen aus Art. 5 und Art. 6 DSGVO bleiben 2026 unverändert bestehen. Das bedeutet allerdings nicht, dass Unternehmen die Hände in den Schoß legen können, denn Datenschutz ist eine Aufgabe, die kontinuierlich Aufmerksamkeit erfordert. So müssen zum Beispiel Verfahrensverzeichnisse nach Art. 30 DSGVO nicht nur vorhanden sein, sondern auch regelmäßig überprüft und aktualisiert werden. Jegliche Veränderung wie zum Beispiel der Einsatz von KI muss dokumentiert und Prozesse müssen überprüft werden.

Jetzt ist Handeln gefragt. Wenn die Datenschutzbehörde vor der Tür steht oder ein Phishing-Angriff erfolgreich war, ist es zu spät. Das sind die zentralen Themen und Aufgaben in den Bereichen Datenschutz und IT-Sicherheit 2026:

  • Verarbeitungsverzeichnisse prüfen und aktualisieren.
  • Mitarbeiter schulen.
  • Eventuelle Datenschutz- oder IT-Sicherheitsvorfälle prüfen und erforderliche Maßnahmen umsetzen.
  • IT-Sicherheitsstruktur prüfen.
  • Proaktive Maßnahmen wie die Implementierung eines BSI-Grundschutzes prüfen und gegebenenfalls umsetzen.

Datenschutzbeauftragter: Pflicht hin oder her

Besonders relevant ist die Frage nach einem betrieblichen Datenschutzbeauftragten. Ab 20 Mitarbeitern, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtend. Doch ist diese Begrenzung sinnvoll? Auch ohne Pflicht zur Benennung gilt die DSGVO. Ab etwa 10 Mitarbeitern empfiehlt sich eine freiwillige Mandatierung, denn seien wir mal ehrlich, von den eigenen Mitarbeitern hat in der Regel niemand Zeit und die Expertise für wirksamen Datenschutz. Ein externer Datenschutzbeauftragter bringt Struktur, hält den Rücken frei und verfügt über das erforderliche Fachwissen.

IT-Sicherheit wird immer noch unterschätzt

Auch Fragen der IT-Sicherheit – damit sind technische und organisatorische Maßnahmen zum Schutz der IT-Infrastruktur, Systeme und Daten gemeint – werden immer relevanter. Die Bedrohungslage hat sich im Jahr 2025 massiv verschärft. Cyberangriffe werden schneller und gezielter. Zero-Day-Schwachstellen werden genutzt, Ransomware-Gruppen nutzen KI-gestützte Angriffsmethoden, und selbst Systeme mit aktuellen Updates bleiben ohne kontinuierliches Monitoring angreifbar. Die globale PwC Cyberstudie „Digital Trust Insights 2026: Chancen und Risiken für deutsche Unternehmen“ ergab, dass etwa 9 von 10 Unternehmen in Deutschland in den vergangenen 3 Jahren Opfer eines Cyberangriffs wurden. Bei 47 Prozent beliefen sich die Kosten eines Datendiebstahls auf bis zu eine Million US-Dollar. Bei 26 Prozent sogar auf bis zu zehn Millionen. Bei diesen Zahlen ist nicht nachvollziehbar, warum 77 Prozent zwar ihre Cyberbudgets erhöhen wollen, doch tatsächlich nur 15 Prozent in proaktive Maßnahmen investieren.

Blindes Vertrauen rächt sich

Besonders kritisch ist, dass viele Unternehmen sich auf die IT-Sicherheitsstruktur ihres IT-Dienstleisters verlassen und dabei nicht bemerken, dass dieser oft nur die technische Infrastruktur betreut, nicht aber eine strategische Sicherheitsarchitektur aufbaut. Was fehlt, ist ein unabhängiger IT-Sicherheitsingenieur, der das Gesamtbild im Blick behält, Schwachstellen identifiziert und präventive Maßnahmen entwickelt.

Fazit

Datenschutz und IT-Sicherheit sind kein Hexenwerk, aber auch keine Aufgabe, die man mal eben so nebenbei erledigt. Die Risiken sind real und die Kosten können im Schadensfall erheblich sein. Außerdem werden auch die rechtlichen Anforderungen schärfer.

Wenn Sie Ihre Datenschutzprozesse überprüfen oder Ihre Mitarbeiter schulen lassen möchten, sprechen Sie mich gerne an.

Wenn Sie befürchten, nicht ausreichend gegen Cyberangriffe vorbereitet zu sein, dann lassen Sie uns über den Aufbau einer fundierten IT-Sicherheitsstruktur sprechen.

NIS 2 ist nun da

NIS 2 ist nun da: Was das neue Umsetzungsgesetz jetzt wirklich bedeutet

NIS 2 ist kein vollkommen neues Regelwerk, sondern eine konsequente Weiterentwicklung des bestehenden deutschen IT-Sicherheitsrechts. Mit dem am 05.12.2025 im Bundesgesetzblatt verkündeten und am 06.12.2025 in Kraft getretenen nationalen Umsetzungsgesetz wird das bisherige BSI-Gesetz deutlich erweitert und inhaltlich geschärft. Für Unternehmen bedeutet das vor allem eines: Die bekannten Anforderungen an Informationssicherheit bleiben bestehen, werden aber auf Lieferketten kritischer Betreiber ausgedehnt und verbindlicher durchgesetzt.

Image

Quelle: KI generiert

Die europäische NIS-2-Richtlinie verfolgt das Ziel, die Cybersicherheit in der gesamten EU auf ein vergleichbares und belastbares Niveau zu heben. Da es sich um eine Richtlinie handelt, musste sie zunächst in nationales Recht überführt werden. Der Zeitstrahl  zeigt eindrücklich, dass dieser Prozess mehrere Jahre in Anspruch genommen hat. Zwischen der Verabschiedung der Richtlinie Ende 2022 und dem Inkrafttreten des deutschen Gesetzes Ende 2025 liegen umfangreiche Abstimmungs-, Gesetzgebungs- und Prüfverfahren. Diese Dauer ist kein Sonderfall, sondern typisch für Richtlinienumsetzungen im Europarecht. Der Umsetzungszeitraum war eine Chance für Unternehmen, sich auf die neuen bzw. erweiterten Regleungen vorzubereiten.

NIS 2 Gesetzgebungszeitstrahl * cheyenne-Blog

Mit dem Umsetzungsgesetz wird das BSI-Gesetz nicht ersetzt, sondern ausgebaut. Das Bundesamt für Sicherheit in der Informationstechnik bleibt die zentrale nationale Aufsichtsbehörde. Es ist weiterhin zuständig für Aufsicht, Beratung, Kontrolle und Durchsetzung der gesetzlichen Anforderungen. Unternehmen, die bereits Berührungspunkte mit dem BSI hatten, werden viele Strukturen wiedererkennen, müssen sich aber auf erweiterte Pflichten einstellen.

Adressiert werden nun nicht mehr nur klassische KRITIS-Betreiber. Der Anwendungsbereich wurde deutlich ausgeweitet. Besonders wichtige und wichtige Einrichtungen werden anhand von Sektorzugehörigkeit und Unternehmensgröße bestimmt. Maßgeblich sind unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittelproduktion, IT-Dienstleistungen und zahlreiche weitere Bereiche. Auch mittlere Unternehmen können erstmals erfasst sein. Die Erweiterung resultiert aus der Idee, dass IT-Sicherheit für kritische Infrastruktur nur sinnvoll umgesetzt werden kann, wenn die Lieferketten daran beteiligt werden.

Fällt Ihr Unternehmen unter NIS2?

Hier eine vereinfachte Checkliste zur ersten Einordnung:

  • Sie erbringen Ihre Dienstleistungen in einem der in der Anlage der Verordnung genannten kritischen oder wichtigen Sektoren.
  • Ihr Unternehmen beschäftigt mindestens 50 Mitarbeiter oder überschreitet die relevanten Umsatz- oder Bilanzsummenschwellen.
  • Sie betreiben IT-Systeme, Netzwerke oder digitale Dienste, deren Ausfall erhebliche Auswirkungen auf Wirtschaft oder Gesellschaft haben kann.
  • Sie waren bisher kein KRITIS-Betreiber, fallen aber aufgrund der abgesenkten Schwellenwerte erstmals unter das Gesetz.

Treffen mehrere Punkte zu, ist eine vertiefte Prüfung dringend zu empfehlen.

Inhaltlich verlangt NIS 2 keine exotischen oder realitätsfernen Maßnahmen. Gefordert wird ein systematisches, dokumentiertes und wirksames Informationssicherheitsmanagement. Dazu gehören Risikoanalysen, Notfall- und Incident-Response-Konzepte, Lieferkettensicherheit, Schulungen für Geschäftsleitungen und Mitarbeiter sowie klare Meldeprozesse bei Sicherheitsvorfällen. Neu ist vor allem die Verbindlichkeit und die persönliche Verantwortung der Geschäftsleitung.

Das BSI orientiert sich bei der Bewertung der Maßnahmen weiterhin am Stand der Technik. In der Praxis bietet sich eine Umsetzung der IT-Sicherheit nach BSI-Grundschutz bzw. ISO 27001 an. Wer bereits nach diesen Standards arbeitet, hat eine solide Ausgangsbasis. Wer noch keine strukturierte Sicherheitsarchitektur etabliert hat, sollte jetzt handeln.

NIS 2 schafft damit weniger neue Pflichten als vielmehr Klarheit. Unternehmen wissen nun, wer zuständig ist, welche Anforderungen gelten und welche Konsequenzen drohen, wenn sie ignoriert werden. Gleichzeitig bietet das Gesetz einen Rahmen, um Informationssicherheit strategisch und planbar umzusetzen.

Und jetzt? Ichhelfe Ihnen gerne

Sie sind unsicher, ob Ihr Unternehmen unter NIS 2 fällt oder welche Rolle Sie als Geschäftsleitung konkret haben?
Sprechen Sie mich gerne an. Eine kurze Einordnung schafft oft bereits Klarheit über Handlungsbedarf und Prioritäten.

Wenn Sie als Geschäftsführer wissen möchten, was NIS 2 praktisch für Sie bedeutet, bietet mein Seminar NIS 2 für Entscheider eine kompakte und verständliche Übersicht. Es geht um Verantwortlichkeiten, typische Fallstricke und darum, wie Informationssicherheit wirtschaftlich sinnvoll organisiert werden kann.

Wenn Sie vor allem an der strukturierten Umsetzung interessiert sind, ist IT-Sicherheit nach BSI-Grundschutz ein bewährter Ansatz. In meinen BSI-Seminaren zeige ich, wie sich gesetzliche Anforderungen systematisch und praxisnah abbilden lassen.

Hier geht es zu meinen Seminaren:  cheyenne-IT.de/seminare

Auch für eine allgemeine Strategieberatung stehe ich Ihnen gerne zur Verfügung.

 

 

Berechtigtes Interesse, gem. Art. 6 I lit. f) DSGVO

In letzter Zeit sehe ich häufig die Rechtsgrundlage des Art. 6 I lit. f) DSGVO, also die Verarbeitung aus berechtigtem Interesse des Seitenanbieters. Schuld ist ein Urteil des OLG Stuttgart Az.: 2 U 63/22 17 O 807/21 .

Der Tenor des Urteils lautet, die Zusendung eines Werbeschreibens kann nach Art. 6 I lit. f) i.V.m. Art. 5 DSGVO rechtmäßig sein. Das Versenden gewerblicher Informationen kann ein berechtigtes Interesse im Sinne der Vorschrift sein.

Das Urteil bietet aber keineswegs einen Freibrief, nun jegliche Verarbeitung auf ein berechtigtes Interesse zu stützen. Das Urteil scheint teils nicht richtig verstanden worden zu sein, dies hat zur Folge, dass diese Rechtsgrundlage seit dem Urteil gehäuft als Grundlage für die Verarbeitung personenbezogener Daten über ein Kontaktformular verwendet wird. Meines Erachtens deutet dies auf ein mangelndes Rechtsverständnis des Erstellers der Datenschutzerklärung hin.

Was ist ein „berechtigtes Interesse“?

Art. 6 I lit. f) DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Entscheidend ist also jeweils eine Interessenabwägung.

Dies bedeutet nicht, dass die Rechtsgrundlage jedes Mal greift, wenn mir nichts anderes einfällt und ich die Daten so gerne erheben möchte.

„Datenschutz ist Grundrechtsschutz“, wir sind demnach im Grundrechtsbereich und wie immer, beim Eingriff in Grundrechte, muss eine Abwägung der Grundrechtspositionen her. Art. 6 I lit. f) DSGVO benennt die Anforderungen genau, die Voraussetzungen sind:

  • Es muss ein berechtigtes Interesse des Anbieters vorliegen. Dies kann wirtschaftlich, rechtlich, idell sein. Berechtigt ist wörtlich zu sehen, ein Interesse ohne Berechtigung reicht also nicht. Aber auch Werbung kann ein solches berechtigtes Interesse sein, dieses kann wirtschaftlich hergeleitet werden, muss aber eng ausgelegt werden.
  • Desweiteren muss die Verarbeitung zur Erreichung des eben begründeten Interesses auch erforderlich sein.
    Wenn es also mildere, gleich geeignete Mittel gibt, dann sind diese zu wählen.
  • Die Interessen des Betroffenen dürfen nicht überwiegen
    Solch ein Interesse kann sich schon daraus ergeben, dass der Betroffene, Werbung generell widersprochen hat.

Fallgruppen für ein berechtigtes Interesse

  • Direktwerbung (vgl. Erwägungsgrund 47 DSGVO; BGH, Urteil v. 28.5.2020 – I ZR 7/16) Der Erwägungsgrund 47 konkretisiert die Rechtsgrundlage dahingehend, dass diese natürlich wie immer nur in Verbindung mit Art. 5 DSGVO greift. Art. 5 DSGVO beschreibt sehr deutlich, dass u.a. die Zwecke der Verarbeitung für den Betroffenen transparent sein müssen, im Umkehrschluss muß der Betroffene also nicht mit Werbung rechnen, wenn diese Werbung kpl. außerhalb seines Tätigkeitsbereiches liegt. Anders z.B. wenn der Betroffene bereits Kunde ist, dann muss er auch mit Folgewerbung rechnen.  Er muss allerdings nicht mit Newsletterzusendungen rechnen, diese bedütfen einer aktiven Einwilligung, da diese in die jeweilige Persönlichkeitssphäre (per Mail/Brief) eindringen.
  • Betrugsprävention und IT-Sicherheit (z.B. Logfile-Auswertung, siehe OLG Dresden, Urteil v. 30.11.2021 – 4 U 1158/21). Gegen diesen Zweck wird wohl niemand etwas haben, natürlich liegt es im begründeten Interesse des Verantwortlichen und auch des Betroffenen, z.B. über die evtl. Zusendung von Schadsoftware informiert zu werden, die der Verantwortliche ohne Wissen, aufgrund eigenen Befalles weitergeleitet hatte.
  • Durchsetzung von Rechtsansprüchen
  • Interne Verwaltungszwecke innerhalb eines Konzerns
    So z.B. die Information über eine spezielle Mailadresse für die Zusendung von Rechnungen, Info über Ansprechpartnerwechsel u.ä.

Mein Lieblingsthema Kontaktformular

Wie sieht es denn nun bei der Verarbeitung über Kontaktformulare auf Webseiten aus? Dort sehe ich momentan gefühlt ständig den Art. 6 I lit. f) DSGVO.

Antwort: Es kommt darauf an! Oder auch, man kann sich etwas Mühe geben.

Aktuelle Rechtsprechung & Aufsichtsbehörden

  • Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) sieht die Kontaktaufnahme über das Formular grundsätzlich als „vorvertragliches Verhältnis“ Artt. 6 I lit. b), 5 DSGVO i.V.m. §§ 311 II, passende Vertragsnorm BGB) Dies greift, wenn klar ist, dass die Kontaktaufnahme des Betroffenen darauf abzielt, sich über die Leistungen/Produkte des Unternehmens zu informieren, also Anfragen zu Produkten, Dienstleistungen oder Support, die später ggf. erworben werden.
  • Andere Anfragen, die nicht unter ein vorvertragliches Verhältnis fallen, wie z.B. allgemeine Fragen, Presseanfragen, Lob/Kritik benötigen eine andere Rechtsgrundlage. Hier kommt oft das berechtigte Interesse in Betracht (Art. 6 I lit. f) DSGVO). Ich halte dies für falsch, denn durch die Absendung des Formulars (natürlich nach korrekter Belehrung), erteilt der Nutzer (Berechtigte) ganz klassisch seine Einwilligung für die Verarbeitung, gem. Art. 6 I lit. a) DSGVO, die er jederzeit ohne Angabe von Gründen auf dem gleichen Weg widerrufen kann. Allein die Dokumentationspflicht des berechtigten Interesses inkl. der gesetzlich geforderten Grundrechtsabwägung erscheint mir doch als „mit Kanonen auf Spatzen“ und ist aus meiner Sicht daher abzulehnen. Auch glaube ich nicht, dass die Abwägung wirklich durchgeführt und dokumentiert wird.

Was sagt der BGH

Bislang liegt keine höchstrichterliche Entscheidung speziell zu Kontaktformularen und Art. 6 I lit. f) DSGVO vor. Die Gerichte lassen aber erkennen, dass ein berechtigtes Interesse – etwa an der Kommunikation und Verbesserung des Service – durchaus anerkannt werden kann. Natürlich nur und ausschließlich in Verbindung mit Art. 5 DSGVO. Aus meiner Sicht, wie gesagt, überhaupt nicht notwendig, daher kann die Betrachtung dahinstehen.

Fazit

Ich benötige diese Rechtsgrundlage nur sehr selten, denn fast immer geht es besser und wenn es besser geht, dann ist dem Transparenzgebot des Art. 5 I lit. a) DSGVO ebenfalls entsprochen.

Was viele nicht bedenken ist, dass eine Weiterverarbeitung, also die nach der Erhebung der Daten über das Kontaktformular eine neue, eigene Rechtsgrundlage benötigt. Je nachdem, worum es sich handelt, z.B. Weitergabe in ein KI gestütztes Beantwortungssystem, greift das berechtigte Interesse vlt. nicht mehr und es wird trotzdem die Einwilligung des Betroffenen benötigt. Auch ist eine Einwilligung im Falle eines Rechtsstreites besser zu belegen als die Grundrechtsabwägung, die ein sorgfältiger Richter u.U. in der Luft zerreißt. Aber man kann es sich wie immer schwer machen oder eben nicht.

FAZIT: Die Verarbeitung aus berechtigtem Interesse ist kein Freifahrtschein und meine Empfehlung wäre, genau abzuwägen, ob nicht eine andere Rechtsgrundlage einfacher und genauso gut greift und besser zu dokumentieren ist.

Klugschiß:

Art. 5 I DSGVO beginnt mit: „Personenbezogene Daten müssen…“

Dies bedeutet, dass Art. 5 DSGVO, egal, auf Basis welcher Rechtsgrundlage verarbeitet wird, zwingend mit ins Boot muß. Daher lautet die korrekte Angabe der Rechtsgrundlage immer mindestens: Art. 6 I lit x i.V.m. Art. 5 DSGVO.

 

Datenschutz 2024

Datenschutz 2024:
Zwischen KI, Datenpannen und Videoüberwachung – Ein Rückblick

Das Jahr 2024 war für Datenschützer alles andere als ruhig. Zwischen Künstlicher Intelligenz, steigenden Beschwerdezahlen und der Einführung der elektronischen Patientenakte (ePA) gab es reichlich Diskussionsstoff. Hier ein Überblick über die wichtigsten Entwicklungen und Ereignisse, sowie verhängte Bußgelder:

Beschwerden und Datenpannen: Ein Rekordjahr

Die Zahl der Beschwerden über Datenschutzverstöße erreichte 2024 neue Höchststände. Allein beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gingen 1.628 Beschwerden ein – ein Anstieg von über 20 Prozent im Vergleich zum Vorjahr. Ein zentraler Auslöser war die Einführung der ePA, bei der viele Versicherte Bedenken hinsichtlich ihrer Daten äußerten.

Auch die Zahl der gemeldeten Datenpannen stieg: 602 Meldungen gingen beim ULD ein, von einfachen Fehlzusendungen bis hin zu groß angelegten IT-Angriffen. Besonders häufig betroffen waren kleine und mittlere Unternehmen, die oft nicht über ausreichende Sicherheitsmaßnahmen verfügten.

KI im Fokus: Chancen und Herausforderungen

Künstliche Intelligenz war im Datenschutz 2024 ein dominierendes Thema. Die Datenschutzkonferenz, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, veröffentlichte ein Positionspapier zu Kriterien für souveräne Clouds und betonte die Notwendigkeit klarer gesetzlicher Regelungen für den Einsatz von KI, insbesondere im öffentlichen Sektor. Ziel ist es, Transparenz und Datenschutz zu gewährleisten.

Videoüberwachung: Ein Dauerbrenner

Die Videoüberwachung blieb ein Dauerbrenner im Datenschutz 2024. Mehr als jede fünfte Beschwerde beim ULD betraf dieses Thema. Häufig ging es um Nachbarschaftsstreitigkeiten, in denen Kameras auf private Grundstücke gerichtet waren. Die Datenschutzbehörden betonten, dass Videoüberwachung nicht generell unzulässig ist, jedoch klare Regeln eingehalten werden müssen.

Cookie Banner, OLG Köln Urteil zu Cookie-Bannern

Das Urteil betont die Notwendigkeit, dass Cookie-Banner so gestaltet sein müssen, dass Nutzer eine echte und informierte Wahl haben. Sowohl die Zustimmung als auch die Ablehnung von Cookies müssen gleichwertig und transparent angeboten werden. Irreführende Gestaltungen, die Nutzer zur Zustimmung drängen, sind unzulässig

Informationsfreiheit: Verzögerungen und Verweigerungen

Auch im Bereich der Informationsfreiheit gingen mehr Beschwerden und Anfragen ein. Die Landesbeauftragte für Informationszugang in Schleswig-Holstein musste im Jahr 2024 viermal Beanstandungen aussprechen, da Informationen an Antragsteller ohne ersichtlichen Grund nicht oder nur verzögert herausgegeben wurden. Die Behörden setzen sich für eine transparente Verwaltung ein und fordern eine proaktive Veröffentlichung von Informationen.

Bußgelder

Im Jahr 2024 wurden von europäischen Datenschutzbehörden zahlreiche Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Gründe reichten von unzureichenden Sicherheitsmaßnahmen bis hin zu unrechtmäßiger Datenverarbeitung. Hier sind einige der bedeutendsten Fälle:

LinkedIn Ireland – 310 Millionen Euro (Irland)

Geldstrafe in Höhe von 310 Millionen Euro für die Verarbeitung personenbezogener Daten von Nutzern für Verhaltensanalysen und zielgerichtete Werbung ohne ausreichende Transparenz und Rechtsgrundlage.

Uber – 290 Millionen Euro (Niederlande)

Uber Bußgeld in Höhe von 290 Millionen Euro für die Übertragung sensibler Daten europäischer Fahrer, darunter Standortdaten und Ausweisdokumente, ohne angemessene Schutzmaßnahmen an Server in den USA.

Meta Platforms Ireland Ltd. – 91 Millionen Euro (Irland)

Meta wurde Bußgeld in Höhe von 91 Millionen Euro belegt, für das Speichern von Nutzer-Passwörtern im Klartext.

Clearview AI – 30,5 Millionen Euro (Niederlande)

Clearview AI (USA) erhielt von der niederländischen Datenschutzbehörde ein Bußgeld in Höhe von 30,5 Millionen Euro für die Verarbeitung biometrischer Daten (Gesichtsdaten) von Bürgern der Niederlande, die Clearview AI aus öffentlich zugänglichen Bildern der Betroffenen ohne Einwilligung eingelesen hatte.

The Phone House S.L. – 6,5 Millionen Euro (Spanien)

The Phone House erhielt ein Bußgeld in Höhe von 6,5 Millionen Euro nach einem Ransomware-Angriff. Die Behörde stellte fest, dass unzureichende technische und organisatorische Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten.

Und was war in Deutschland los?

Factoring (Hamburg) – 900.000 €

Factoring Unternehmen (Hamburg) zahlte ein Bußgeld in Höhe von € 900.000 für das Nutzen von Kundendaten über die gesetzl. Aufbewahrungsfrist hinaus.

Bank (Berlin) – 300.000 €

Eine Bank in Berlin bekam ein in Höhe von 300.000 € aufgebrummt, weil sie einem Kunden keine nachvollziehbaren Auskünfte über die Gründe einer automatisierten Ablehnung eines Kreditkartenantrags erteilte. Dies verstieß gegen die Transparenzpflichten aus Art, 5 i.V.m. Art. 13, 14 DSGVO.

E-Commerce-Unternehmen – 525.000 €

Ein Unternehmen der Branche E-Commerce fing sich ein Bußgeld von 525.000 € für einen Interessenkonflikt, in dem der der Datenschutzbeauftragte des Unternehmens stand. Dies widersprach der Unabhängigkeitsregel der DSGVO.

Corona-Teststation – 52.500 €

Eine Corona-Teststation erhielt ein Bußgeld in Höhe von € 52.500 für den Impfstatus als Pflichtangabe in ihrem Anmeldeformular und das Vortragen einer Standard-Staatsangehörigkeit. Dies verstieß gegen die Grundsätze der Verarbeitung aus Art. 5 DSGVO.

Apotheke – 6.500 €

Eine Apotheke zahlte ein Bußgeld in Höhe von € 6.500, weil sie Unterlagen mit personenbezogenen Gesundheitsdaten in einem Müllsammelraum offen zugänglich lagerte. Auch überwachte sie die bedienenden Verkaufskräfte per Video. Dies verstieß gegen eine Vielzahl von Normen aus der DSGVO.

Friseurbetrieb – 2.000 €

Auch ein Friseurbetrieb erhielt ein Bußgeld in Höhe von € 2000,- für das Sammeln von Kundendaten ohne ausreichende Einwilligung.

Fazit aus dem Datenschutz 2024: Datenschutz bleibt dynamisch

Das Jahr 2024 zeigte deutlich, dass Datenschutz kein statisches Thema ist. Mit der fortschreitenden Digitalisierung, dem Einsatz von KI und neuen gesetzlichen Regelungen bleibt es spannend. Für Datenschützer bedeutet das: dranbleiben, informieren und mitgestalten.

Quellen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Tätigkeitsbericht 2024
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), 29. Bericht 2024
Landesbeauftragter für Datenschutz Bremen, 7. Jahresbericht 2024

Auch ohne Pflicht zur Benennung – Datenschutz bleibt Chefsache

Viele kleine und mittlere Unternehmen atmen auf, wenn sie hören: „Für uns besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten.“ Doch Vorsicht: Nur, weil keine Benennungspflicht besteht, heißt das noch lange nicht, dass man beim Datenschutz die Füße hochlegen kann.

Hintergrund ist die aktuelle Diskussion im politischen Berlin. Im Koalitionsvertrag ist vorgesehen, die Zahl gesetzlich vorgeschriebener Betriebsbeauftragter zu reduzieren – darunter fällt möglicherweise auch der betriebliche Datenschutzbeauftragte. Noch ist unklar, ob und wie sich dies konkret auf die geltende Pflicht zur Benennung bei mehr als 20 datenverarbeitenden Beschäftigten (§ 38 BDSG) auswirkt.

Was aber klar ist – und das betont auch die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Die Einhaltung der DSGVO ist nicht verhandelbar. Und damit liegt die Verantwortung bei der Unternehmensleitung. Ganz gleich, ob ein Datenschutzbeauftragter benannt wurde oder nicht.

Datenschutz muss trotzdem organisiert werden

Auch in Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, gilt: „Somebody has to do the job.“ Mit anderen Worten: Jemand muss sich kümmern. Denn die Aufgaben rund um Datenschutz verschwinden nicht – sie müssen lediglich anders verteilt werden.

Die Leitung eines Unternehmens muss also sicherstellen, dass die Einhaltung aller datenschutzrechtlichen Vorgaben gewährleistet ist. Dazu gehört:

  • die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten

  • die Beratung bei Datenschutzfragen oder -vorfällen

  • die Erstellung und Pflege von Verarbeitungsverzeichnissen

  • und vieles mehr – bis hin zur Kommunikation mit Aufsichtsbehörden und betroffenen Personen.

In Unternehmen ohne einen Datenschutzbeauftragten muss diese Verantwortung klar geregelt und intern zugewiesen werden. Hierfür braucht es Fachwissen – entweder intern aufgebaut oder extern eingekauft.

Freiwillige Benennung als Lösung

Ein praktischer Weg kann sein, auch ohne gesetzliche Pflicht, freiwillig eine geeignete Person als Datenschutzbeauftragten zu benennen. Das schafft Struktur, entlastet die Geschäftsleitung und sorgt für klare Zuständigkeiten. Wichtig zu wissen: Wer freiwillig benannt wird, unterliegt den gleichen Aufgaben und Pflichten wie gesetzlich benannte Datenschutzbeauftragte gemäß Art. 37 ff. DSGVO – allerdings ohne den besonderen Kündigungsschutz.

Alternativ lässt sich die Rolle auch anders benennen, z. B. als „Datenschutzmanager“ oder „Datenschutzkoordinator“, wenn man die formalen Vorgaben aus Art. 37 DSGVO bewusst umgehen möchte. Auch das kann ein gangbarer Weg sein, um Datenschutzkompetenz im Unternehmen zu verankern – flexibel, aber dennoch wirksam.

Fazit: Verantwortung bleibt – egal ob mit oder ohne DSB

Der Verzicht auf einen Datenschutzbeauftragten ist kein Freifahrtschein. Wer personenbezogene Daten verarbeitet, muss die DSGVO einhalten – in jedem Fall. Für Unternehmen ohne Benennungspflicht bedeutet das: Die Leitung muss die Aufgaben erkennen, klar zuweisen und die Umsetzung wirksam steuern.

Denn: „Datenschutz ist Grundrechtsschutz“

Wer hier auf Nummer sicher gehen will, ist mit einer freiwilligen Benennung gut beraten – oder sollte sich zumindest professionelle Unterstützung an Bord holen. Denn Datenschutz bleibt ein Thema – mit oder ohne offiziellen Beauftragten.

Wenn Sie Hilfe oder ganz einfach nur eine Meinung einholen möchen, rufen Sie mich gerne an.

KI in Unternehmen, was ist zu beachten?

Künstliche Intelligenz in Unternehmen: Chancen, Grenzen und rechtliche Rahmenbedingungen

Künstliche Intelligenz (KI) hat das Potenzial, die Arbeitswelt nachhaltig zu verändern. Sie ermöglicht Unternehmen, effizienter zu arbeiten, repetitive Aufgaben zu automatisieren und neue Innovationsfelder zu erschließen. Doch mit der Nutzung von KI gehen auch rechtliche und ethische Herausforderungen einher, die Unternehmen nicht außer Acht lassen dürfen. In diesem Beitrag beleuchte ich den Nutzen von KI, typische Anwendungsfälle, rechtliche Aspekte und die Frage, welche Daten und Inhalte nicht in KI-Systeme gehören.

Der Nutzen von KI für Unternehmen

KI bringt vor allem Effizienzgewinne und erhebliche Zeitersparnis:

  • Automatisierung: Routineaufgaben wie Datenanalysen, Dokumentenprüfung oder Kundenanfragen können automatisiert werden.
  • Bessere Entscheidungsfindung: KI-gestützte Analysen helfen, datenbasierte Entscheidungen schneller und präziser zu treffen.
  • Personalisierung: Im Marketing oder Kundenservice ermöglicht KI eine maßgeschneiderte Ansprache, die die Kundenzufriedenheit erhöht.
  • Skalierbarkeit: Prozesse, die manuell nicht wirtschaftlich skalierbar wären, können durch KI effizient erweitert werden.
  • Softwareentwicklung: KI ist ín der Lage, nutzbaren Code zu erzeugen, Migrationen vorzubereiten und die Einaebeitung in neue Umgebungen zu erleichten.
  • Erstellung von Texten: KI kann bei der grundlegenden Erstellung von Texten helfen, z.B. für Schulungsunterlagen, Handouts, Texte für Blogs etc.

Diese Vorteile schaffen Freiräume für Mitarbeiter, sich auf strategische und kreative Aufgaben zu konzentrieren. Ich spare durch KI allein in meinem Unternehmensfeld Softwareentwicklung um 30 % Entwicklungszeit, weil aufwändige Recherchen und Machtbarkeitsstudien entfallen.

Typische Anwendungsfälle von KI in Unternehmen

  1. Kundenservice: Chatbots und virtuelle Assistenten können rund um die Uhr Kundenanfragen bearbeiten.
  2. HR & Recruiting: KI unterstützt bei der Vorauswahl von Bewerbungen oder der Planung von Schulungen.
  3. Supply Chain Management: Vorhersagemodelle optimieren Lagerbestände und Lieferketten.
  4. IT-Sicherheit: KI identifiziert Anomalien und potenzielle Sicherheitsbedrohungen schneller als traditionelle Systeme.
  5. Produktentwicklung: KI unterstützt beim Prototyping und bei der Analyse von Kundendaten zur Produktverbesserung.

Was gehört nicht in eine KI?

Die Verwendung von KI ist nicht bedenkenlos. Unternehmen müssen darauf achten, welche Daten und Inhalte in KI-Systeme einfließen. Verantwortlich ist nach wie vor nicht irgendein System, wie z.B. eine KI, sondern derjenige, der die Daten zweckfremd verwendet hat.

  • Persönliche und sensible Daten: Daten mit hohem Datenschutzrisiko, wie Gesundheitsdaten oder personenbezogene Informationen, dürfen nur unter strengen Auflagen verarbeitet werden. Die DSGVO setzt hier klare Grenzen.
  • Diskriminierende Inhalte: KI lernt aus Daten. Wenn diese Daten Vorurteile enthalten, reproduziert oder verstärkt die KI diese. Eine sorgfältige Datenprüfung ist daher unerlässlich.
  • Geschäftskritische Informationen: Unternehmensgeheimnisse sollten nicht unkontrolliert in externe KI-Systeme eingespeist werden, um Datenlecks zu vermeiden.

Beispiel Projektdokumente

Nehmen wir mal an, ich möchte mir aus Projektdokumenten Timelines, ToDo Listen und Tabellen mit Ansprechpartnern und Zuständigkeiten erstellen lassen.

Und nehmen wir weiterhin an, das Projekt  hat eine hohe Sicherheitsstufe, bei uns gang und gäbe, ich habe also eine NDA unterschrieben, desweiteren enthalten die Dokumente Namen von Ansprechpartnern inkl. deren Zuständigkeiten, die so nicht im Netz zu finden sind.

 

Was ist bedenkenlos möglich?

Unternehmen können KI bedenkenlos in Bereichen einsetzen, die auf anonymisierten, aggregierten oder generierten Daten basieren. Beispiele sind:

  • Marktanalyse: Analyse von Trends und anonymisierten Daten.
  • Prozessoptimierung: KI-gestützte Optimierung interner Prozesse ohne personenbezogene Daten.
  • Automatisierung: Standardisierte Aufgaben wie Dokumentenablage oder Datenmigration.

Wichtig ist, dass Transparenz und Kontrolle über die genutzten Algorithmen und Datenquellen gewährleistet sind.

Rechtliche Betrachtungen: Worauf Unternehmen achten müssen

Die rechtliche Nutzung von KI erfordert die Berücksichtigung verschiedener Vorschriften:

  1. Datenschutz (DSGVO):
    • Sicherstellung der Rechtmäßigkeit der Datenverarbeitung.
    • Transparenz über die Verarbeitung (Art. 13, 14 DSGVO).
    • Datenminimierung und Zweckbindung.
    • Besondere Vorsicht bei sensiblen Daten (Art. 9 DSGVO).
  2. Urheberrecht:
    • Beachtung von Lizenzen bei der Verwendung von urheberrechtlich geschützten Inhalten.
    • Die Frage, ob KI-generierte Werke urheberrechtlich geschützt sind, ist aktuell noch ungeklärt.
  3. Haftungsrecht:
    • Unternehmen müssen sicherstellen, dass KI-Systeme fehlerfrei funktionieren. Fehlerhafte Entscheidungen einer KI können Haftungsrisiken auslösen.
  4. Kartell- und Wettbewerbsrecht:
    • Nutzung von KI zur Marktüberwachung oder Preisgestaltung muss kartellrechtskonform sein.
  5. Geplante KI-Regulierung der EU (AI Act):
    • Der AI Act der EU definiert spezifische Anforderungen für Hochrisiko-KI-Systeme, wie Transparenzpflichten, Risikomanagement und unabhängige Prüfungen.

KI erfolgreich und rechtssicher einsetzen

Die Einführung von KI in Unternehmen erfordert mehr als nur technische Expertise – rechtliche und organisatorische Aspekte sind ebenso wichtig. Unternehmen sollten:

  • Daten prüfen: Nur rechtlich einwandfreie und nicht diskriminierende Daten verwenden.
  • KI-Systeme auditieren: Transparenz, Sicherheit und Fairness der eingesetzten Systeme regelmäßig prüfen.
  • Mitarbeiter schulen: Verständnis für den verantwortungsvollen Einsatz von KI fördern.
  • Rechtsberatung einholen: Spezialisierte Expertise hinzuziehen, um alle rechtlichen Anforderungen zu erfüllen.

KI bietet Unternehmen immense Chancen, doch der Erfolg hängt davon ab, wie sorgfältig sie implementiert und genutzt wird. Ein durchdachter Ansatz, der Nutzen, Ethik und Rechtssicherheit vereint, schafft die Grundlage für eine nachhaltige und innovative Nutzung von KI.

Sie benötigen eine Schulung oder einen Workshop zur rechtssicheren Verwendung von KI individuell für Ihr Unternehmen? Schreiben Sie mir, ich rufe Sie zeitnah an!

 

Wächtermodus bei Tesla Fahrzeugen

Wächtermodus bei Tesla Fahrzeugen

Im Rahmen meiner juristischen Bachelor-Seminararbeit habe ich mich mit der DSGVO-Konformität des Wächtermodus bei Tesla Fahrzeugen befasst.

Die Umgebungsüberwachung durch Kameras ist aus dem Alltag nicht mehr wegzudenken. Es ist eine einfache Möglichkeit, die eigenen Rechtsgüter zu schützen, z. B. das Hausrecht zu wahren. Auch auf öffentlichen Plätzen ist Videoüberwachung zum Schutz der öffentlichen Sicherheit und Ordnung nicht mehr wegzudenken.

Fahrer von Fahrzeugen nutzen Dashcams, um besondere Fahrten  mitzuschneiden oder auch um das eigene Fahrverhalten zu optimieren. Videos von Alltagssituationen erscheinen überall im Netz. Sie sind zu wichtigen Inhalten geworden, um die eigenen „Follower“ zu unterhalten. In den meisten Fällen, werden lediglich Personen in alltäglichen Situationen dargestellt.

Auch viele Fahrzeuge verfügen mittlerweile über Videoüberwachungssysteme zum Mitschnitt der Umgebung, in der sie sich gerade bewegen. Die so erzeugten Daten werden gespeichert und für verschiedenste Zwecke verwendet. Auf Parkplätzen sollen eventuelle Schäden am eigenen Fahrzeug nachvollziehbar sein, um ggf. den Verursacher in Regress nehmen zu können. Die Anwendungs-möglichkeiten sind unerschöpflich.

Mittlerweile scheint es gängige und akzeptierte Praxis zu sein, ein alles und jegliches zu filmen, Menschen, die eventuell miterfasst werden, waren dann eben am falschen Ort zur falschen Zeit, das persönliche Interesse des Filmers steht um Vordergrund.

Die Gewöhnung an Film und Bildaufnahmen aller Art, an jedem Ort, ohne die betroffene Person zu fragen, kollidiert jedoch unter Umständen mit den Grundrechten betroffener Personen in Bezug auf ihre eigenen personen-bezogenen Daten.

Die Rechtmäßigkeit der Verarbeitung von Bilddaten, die eine Identifikation der dargestellten Person ermöglichen, unterliegt strengen Voraussetzungen, die sich aus der DSGVO ergeben. Ggf. liegt bei einer Videoaufnahme ein datenschutz-rechtlicher Grundrechtseingriff vor, für den ein genau festgelegter Zweck und eine darauf abgestimmte Rechtsgrundlage zwingend erforderlich ist. Ohne diese Konstellation ist die Erfassung personenbezogener Bilddaten rechtswidrig.

Als Ergebnis ist herausgekommen, der Wächtermodus kann in der vorliegenden Form nicht DSGVO-konform betrieben werden. Aufgrund der Seitenzahlbeschränkung dieser als Prüfungsleistung entstandenen Arbeit, konnten nicht alle interessanten Aspekte betrachtet werden, das Ergebnis bleibt dasselbe.

Die Arbeit kann von Fachkollegen und interessierten Unternehmen per Email angefordert werden.

Ein Nachruf auf die DSGVO

Ein Nachruf auf die DSGVO

Es fing so vielversprechend an, die DSGVO seit 2018 in aller Munde. Endlichsagten die Behörden, endlich bekommt der Datenschutz als Grundrechtsschutz eine Relevanz. Endlich werden wir in Zukunft auch Bußgelder verhängen können, um Nichtbeachtung zu sanktionieren. Endlich werden Betroffenenrechte ernst genommen.

Nun aber scheint die DSGVO gestorben zu sein. Ein Jammer, es folgt: Ein Nachruf auf die DSGVO.

Nachruf auf die DSGVO
Quelle: GDD

Konkurrenz zu Corona

Wie es scheint, konkurriert die DSGVO mit Corona, es geht nur eins, beides nicht. Corona betrat den Laufsteg der Eitelkeiten,  die DSGVO scheint nun uninteressant geworden zu sein.

Eine Nachverfolgung von Infektionen soll umgesetzt werden. Es begann mit Zetteln, s. hier: Corona und Datenschutz.

Trotz der Zettel, die man in jeder Gastro ausfüllen musste und die teils in Glaskästen eingeworfen werden sollten, konnte diese Nachverfolgung nicht erreicht werden. Man hörte von überlasteten Gesundheitsämtern, falsch ausgefüllten Zetteln usw.

Dann kam die allseits gepriesene APP, die angeblich keine pers. Daten erfasst : Corona APP

Die neuesten Ideen

Für die neuesten Ideen wäre wohl früher ein Aufschrei seitens der Datenschützer durch ganz Europa zu hören gewesen. Sicher wäre eine Bewertung nach Art. 9 DSGVO heiß diskutiert worden. Was bleibt? Ein Nachruf auf die DSGVO.

Test- und Impfnachweis

Die neueste Idee lautet ja, möglichst viele Tests durch zu führen, damit wir alle in Sicherheit sind, alternativ kann man sich impfen lassen oder beweisen, dass man genesen ist. Für die gewählte Variante soll ich nun immer einen Nachweis bei mir führen.

Diesen Nachweis soll ich nun auch überall vorzeigen. Handelt es sich hier eigentlich um medizinische Daten? Der Test kann ja nun gar keine Diagnose ersetzen, sondern stellt bestenfalls einen Labortest dar, der zudem auch gar keine Krankheit feststellt und in keinem Labor ausgewertet wurde, da es meist ein sog. Schnelltest sein wird. Wie aber soll der Ladeninhaber, dem ich den Test nun zeigen soll, da irgendwas draus schliessen, ohne medizinische Vorkenntnisse?

Ich frage mich weiterhin, was geht es ihn an? Möchte ich meine medizinischen Unterlagen jedem zeigen, nur, um da einkaufen zu dürfen?

Muss der Ladeninhaber mir eigentlich auch seinen negativen Test oder Impfpass zeigen? Das Gesetz sieht ja vor, dass für alle immer dasselbe gilt. In meinem Impfpass stehen weitere Impfungen und meine Blutgruppe, sowie meine vollständige Adresse. Ich möchte aber nicht jedem meine Adresse und andere medizinische Daten zeigen. Und schon gar nicht, will ich diese in irgendeinem Zentralregister gespeichert wissen. Ganz oldschool „informationelle Selbstbestimmung“, diejenigen, die sich nicht erinnern, können das mal googeln.

Luca oder Sonstwie APP

Nun soll ich mich auch vor Betreten einiger Geschäfte mithilfe einer APP einloggen und beim Verlassen wieder ausloggen. Man könnte annehmen, dies würde ähnlich einer Arbeitszeit erfasst. Muss jetzt eigentlich jeder Ladeninhaber einen ADV Vertrag gemäß Art. 28 DSGVO abschliessen? Wo kann ich einsehen, welche Daten von mir gespeichert werden, bekomme ich eine Information zur Speicherung meiner Daten gemäß Art. 13 DSGVO? Und… kann ich von meinen Betroffenenrechten gemäß Kapitel 3 DSGVO Gebrauch machen?

Ich bin gespannt, ob Betroffene solche Anfragen an einige Geschäfte schicken, die werden sich freuen. Wenn sie keine Antwort bekämen, hätten wir einen DSGVO Verstoss. Das wird ein Spaß!

Abgesehen davon, wie sicher sind denn meine Daten? Wird es wieder mal ein Datenleck geben, das dem Einbrecher, der es auf mein Haus abgesehen hat, die Info gibt, dass ich gerade bei Bäcker Meyer bin und nicht zu Hause? Steht das komplette Blankziehen meiner Person und meiner Bewegungsdaten in irgendeinem Verhältnis zu meinem Einkauf in Laden x, wo ich, sagen wir mal, etwas Schreibwariges im Wert von € 1,50 kaufe?

Für mich jedenfalls nicht, für mich persönlich keine APP, kein Schlüsselanhänger, kein Test, keine Corona Impfung. Es wäre schön, wenn ich das auch weiterhin selber entscheiden dürfte.

Und wenn jetzt von jedem jeder Ladenbesuch gespeichert wird, haben wir eigentlich dann hier eine Massendatenspeicherung? Da kann man sicher viele schöne Dinge auswerten. Heute logge ich mich in Bremen ein und morgen in Husum? Also ich ja nicht, aber nur mal so als Gedanke.

Ein Nachruf auf die DSGVO

Digitalisierung in Schulen, die neue Herausforderung, oder?

Digitalisierung in Schulen

Dank Corona in aller Munde, die Digitalisierung in Schulen. In den Jahren davor wurde geschlafen, nun bräuchte man dringend die Möglichkeiten des Online-Unterrichts, leider geht das nicht so schnell. Interessant auch, dass die Onlinelehre bereits seit 2001 gängig ist, cheyenne-Blog * Digitalisierung in Schulennun haben wir aber demnächst schon 2021. Typisch Deutschland, alles, was schwierig ist und nicht sein muss, wird auch nicht angegangen, nun bekommen wir und leider auch unsere Kinder dafür die Quittung.

Wenn man den Medien Glauben schenkt, dann bräuchte man für die Digitalisierung in Schulen lediglich schnelles Internet, ein paar Tablets und los gehts.

Schade, es fehlt mal wieder an sinnvollen Konzepten, und es ist wie immer, jeder, der ein wenig am PC rumklickert, meint nun, die erforderliche Expertise zu besitzen. Leider ist das aber zu wenig, damit kann man nun wirklich keinen Blumentopf gewinnen! Die Digitalisierung cheyenne-Blog * Digitalisierung in Schulenin Schulen klappt nur mit einem Konzept, das von Leuten erarbeitet wird, die sich sowohl mit Technik als auch mit Didaktik auskennen und auch über die Methodenkompetenz des Online-Lernens verfügen. Wie gesagt, andere machen das bereits seit 2001 oder früher.

Und Methodenkompetenz heißt nicht, dass man Zoom, MS-Teams oder zig andere Tools kennt und es schafft, einem Gegenüber das eigene Konterfei zu zeigen. Damit kann jeder umgehen und sonst lernt man es schnell mit Hilfe von Youtube. Youtube hat ja die „Sendung mit der Maus“ abgelöst.

Onlineunterricht vs. Präsenzunterricht

Schaut man sich in Schulen und Unis mal etwas um, so fehlen genau diese Kompetenzen, um die Digitalisierung zu einem Erfolg zu bringen. Auch an Universitäten, die bereits in der Onlinelehre unterwegs sind, wundert man sich zuweilen über die teilweise überhaupt nicht vorhande Medienkompetenz. Da wird z.B. eine Kamera auf eine Tafel gerichtet, die Lehrende schreibt auf dieser Tafel, mit dem Rücken zur Kamera. Das ist eine tolle Interaktion mit den Schülern, nämlich gar keine. Natürlich gibt es auch viele sehr gute Beispiele. Trotzdem, das sind immer noch zu wenige. Auch scheint vielen Lehrkräften nicht klar zu sein, wo die Unterschiede zwischen Präsenzunterricht und Onlineunterricht liegen. Woher sollen sie das denn auch wissen? Ein kleines verständliches Beispiel von vielen:

Präsenzunterricht

Der Schüler schaut den Lehrer an, der Blick wandert zum Heft, weil er evtl. etwas mitschreibt, dann zu einem Mitschüler, der etwas sagt und zuweilen geht er auch aus dem Fenster. Vielleicht soll der Schüler auch mal an die Tafel* kommen, um dort etwas anzuschreiben. Das Auge justiert sich ständig neu auf die unterschiedlichen Abstände, Farben, Komplexitäten des Bildes u.ä. und auch der Körper ist beteiligt.

Onlineunterricht

Der Schüler sitzt vor seinem Endgerät, z.B. ein PC, und schaut den Lehrer an. Er versucht, gleichzeitig Bild und Sprache zu erfassen und auch mit dem gewählten Tool umzugehen. Je nachdem, welche Methoden der Lehrer online wählt, z.B. Powerpoint, sind die Augen immer gleich justiert. Je kleiner der Monitor, desto anstrengender ist das für die Schüler, und natürlich auch für den Lehrer. Zuweilen wird dazu aufgefordert auch noch digital mitzuschreiben, dann wird es ganz schwierig.

Man kann es sich leicht vorstellen und auch momentan selber erleben. Die Folge sind Konzentrationsstörungen, Kopfschmerzen, Verspannungen u.ä. Die Onlinezeiten von Kindern erhöhen sich um ein Vielfaches im Vergleich zu vorher.cheyenne-Blog * Digitalisierung in Schulen

Fazit: Einen Onlineunterricht kann man einfach nicht genauso durchführen wie einen Präsenzunterricht.

Natürlich haben Onlineangebote auch viele Vorteile, das ist unbenommen, nur ich denke, man muss sie an das Publikum, hier die Schüler, Altersgruppen und Lernziele anpassen.

Die Unterschiede zu erkennen, die technischen Möglichkeiten zu beherrschen, alle Schüler bei der Stange zu halten u.ä. bleibt nun an den Lehrern hängen. Ich stelle mir unter Digitalisierung in Schulen etwas anderes vor.

Trennung zwischen Technik und Unterricht

Kann man wirklich erwarten, dass Lehrer, die mit Digitalisierung einhergehenden Zusatzaufgaben selbstverständlich mit übernehmen und vor allem von selbst und jetzt sofort beherrschen? Ich denke nicht, dass man das erwarten kann. Hier ein paar generelle Punkte, die zu klären wären und die mir spontan aus unseren Digitalisierungsprojekten so in den Sinn kommen:

Generelles

  • Methodenkompetenz bei den Lehrern
  • Nutzen unterschiedlicher Methoden auch online, z.B. Filme, Abstimmungen, Bildschirmfreigaben hin und her, um die Schüler bei der Stange zu halten.
  • Motivationstechnik, Fortschrittsbalken, Selbstlerneinheiten etc.
  • Welche Fächer/Inhalte können auf welche Art digitalisiert werden?
  • Wer kann die Einrichtung der digitalen Inhalte übernehmen?
  • Welche Fächer können evtl. nicht digitalisiert werden?
  • Für welche Altersstufen ist wieviel Onlinezeit vertretbar, müssen auch andere Unterrichtszeiten in Erwägung gezogen werden?
  • Wie kann der Mehraufwand der Lehrer, viele unterschiedliche Lernarten vorzubereiten, aufgefangen werden?
  • Wie kann man gewährleisten, dass die Schüler zum Unterricht auch online sind, wenn z.B. die Eltern außer Haus sind?
  • Datenschutz, IT-Sicherheit etc.

Zu Hause bei den Schülern

  • Gibt es funktionierendes Internet?
  • Gibt es ein geeignetes Endgerät für jedes Kind, kann man das überhaupt von jeder Familie erwarten?
  • Ist ein störungsfreier Arbeitsplatz vorhanden?
  • Wieviele Kinder werden in einem Haushalt gleichzeitig digital beschult?
  • Wer hilft bei technischen Problemen?
  • Müssen/sollen einzelne Schüler vielleicht zu Freunden gehen, um dort teilzunehmen?
  • Wie kann man Lerngruppen koordinieren und einrichten?
  • Wie sollen die Kinder sich verhalten, wenn etwas nicht klappt?
  • Muss man über Prävention in Bezug auf körperliche Probleme nachdenken?

Technik generell (Schule, Lehrer, Schüler)

  • Welche Tools sollen genutzt werden?
  • Welche Endgeräte? Nur, weil der technikaffine Lehrer so gerne ein iPad hätte, ist das vielleicht nicht immer am geeignetsten –> Beispiel: Programmierunterricht, sofern vorhanden
  • Muss es evtl. einen Pool von Leihgeräten geben?
  • Gibt es IT-Support, wenn es zu Hause bei den Schülern nicht klappt?
  • Welche Speichermedien soll es geben?

Das sind nur ganz wenige Fragen, die sich aus meiner Erfahrung spontan stellen. Auch werden diese sicherlich in unterschiedlichen Schulen unterschiedliche Antworten ergeben, je nach Situation vor Ort.

Die Schulen, die ich kenne, haben momentan mitunter gar keine Zeit, sich mit einem solch aufwändigen Projekt wie der Digitalisierung in Schulen zu befassen. Sie sind hauptsächlich damit beschäftigt, ihre Hygienekonzepte an die immer wieder neuen Gegebenheiten anzupassen. Auch hier sind sie keine Profis und es sollte ihnen abgenommen werden, aber das ist ein anderes Thema.

Vielleicht können wir das Digitalisierungprojekt dieses Mal richtig machen, das wäre mein Wunsch. Andere Länder, z.B. in Skandinavien sind da sehr viel weiter als wir es sind. Passt meines Erachtens nicht zu dem vielgepriesenen Industriestandort Deutschland.

*Tafel = Synonym für alle Sorten von Tafeln, Digiboards, Whiteboards etc.

Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice