Kategorie: Allgemein

Datenschutz 2025

Fast acht Jahre sind seit Inkrafttreten der DSGVO (25. Mai 2018) vergangen. Was klappt gut und wo ist noch Luft nach oben? Die aktuelle Bitkom-Studie „Datenschutz in der deutschen Wirtschaft“ vom Februar 2026 liefert ein ernüchterndes Ergebnis. Zu aufwändig und zu kompliziert – das sind die Hauptkritikpunkte. Die Bußgeldfälle aus dem Jahr 2025 bestätigen, dass noch nicht alles rund läuft in Sachen Datenschutz. Doch woran liegt das tatsächlich?

Der Mythos des aufwändigen Prozesses

Im Rahmen der Bitkom-Studie wurden in Deutschland im Sommer 2025 insgesamt 603 Unternehmen branchenübergreifend repräsentativ gewichtet befragt. Voraussetzung war, dass das Unternehmen mindestens 20 Beschäftigte hat.

97 Prozent der befragten Unternehmen bewerten den Aufwand für den Datenschutz 2025 als sehr hoch oder eher hoch. Bei 69 Prozent ist er im vergangenen Jahr sogar nochmals gestiegen. Kein einziges Unternehmen meldet einen Rückgang. Das ist keine Überraschung, denn dies ist von Beginn an ein zentraler Kritikpunkt. Dabei ist Datenschutz gar nicht aufwändig, wenn man pragmatisch daran geht und vernünftige Prozesse einführt.

Für 86 Prozent ist Datenschutz keine abgeschlossene Aufgabe. Super, das haben sie richtig erkannt, denn Datenschutz ist keine abgeschlossene Aufgabe. Die Prozesse und Dokumentationen müssen regelmäßig überprüft und angepasst werden, da führt kein Weg dran vorbei. Erschreckend ist hingegen, dass 82 Prozent unsicher sind, wie die DSGVO konkret auszulegen ist. Die meisten Normen enthalten sogar konkrete Checklisten, sodass für jedermann klar sein sollte, wie etwas zu tun ist. Man muss sich nur mit dem Gesetz beschäftigen.

Beklagt wird in der Bitkom-Studie ebenfalls, dass die DSGVO vor dem Hintergrund fortschreitender Digitalisierung und dem zunehmenden Einsatz von KI nicht praxistauglich sei. Wenn man sich allerdings die Bußgelder aus dem vergangenen Jahr anschaut, wird deutlich, dass es häufig bereits bei den grundlegenden Themen hapert.

Das klappt im Datenschutz 2025 immer noch nicht

Ich erspare Ihnen an dieser Stelle die Aussage darüber, welches Bundesland wie viele Bußgelder verhängt hat. Zum einen ist das Quatsch, weil nicht alle Behörden ihre Zahlen melden. Zum anderen geht es mir nicht darum, Panik zu verbreiten. Ich möchte allerdings dafür sensibilisieren, dass Fehler beim Datenschutz Folgen haben können. Das ist vor allem ärgerlich, wenn sie vermeidbar gewesen wären.

Auftragsverarbeitung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verhängte im Juni 2025 ein Bußgeld in Höhe von insgesamt 45 Millionen Euro gegen Vodafone. 15 Millionen Euro entfielen dabei auf die Tatsache, dass das Unternehmen die Auftragsverarbeiter nicht regelmäßig und umfassend überwachte. Eine Verwarnung gab es zudem wegen mangelhafter technischer und organisatorischer Maßnahmen. 30 Millionen Euro Bußgeld kamen wegen Mängeln bei der Sicherheit von Authentifizierungsprozessen hinzu.

Cookie-Banner

Auch andere Baustellen sind bereits seit vielen Jahren bekannt. Das Verwaltungsgericht Hannover entschied im März 2025, dass ein prominentes Verlagshaus seinen Cookie-Banner ändern muss, weil Zustimmung und Ablehnung nicht gleichwertig gestaltet waren und Nutzer damit keine echte Wahlfreiheit hatten. Das ist kein Einzelfall, denn übergroße „Akzeptieren“-Buttons und versteckte Ablehnoptionen sind noch immer weit verbreitet. Dieses Vorgehen wird auch als „Nudging“ bezeichnet – durch Manipulation sollen Nutzer zu einer bestimmten Handlung bewegt werden. Mit schwierigen Vorgaben der DSGVO hat das also eher nichts zu tun.

Betroffenenrechte

Ebenfalls ein Klassiker ist der Verstoß gegen Betroffenenrechte. Der Hamburgische Datenschutzbeauftragte verhängte 492.000 Euro gegen ein Finanzunternehmen, das auf Auskunftsersuchen nicht reagiert hatte, nachdem es Kreditanträge trotz guter Bonität abgelehnt hatte. Auch hier stellt sich die Frage, ob die Komplexität der DSGVO schuld ist oder ob Unternehmensentscheidungen ursächlich sind.

Datenschutzverstöße: Jedes vierte Unternehmen ist betroffen

Ein Viertel der von Bitkom befragten Unternehmen berichtete von Datenschutzverstößen im vergangenen Jahr. Diese waren häufig mit erheblichen Folgen verbunden. Dazu gehörten organisatorischer Aufwand, Bußgelder, Verlust von Kunden, Schadenersatz-Zahlungen und Reputationsschäden. Besonders der Verlust von Kunden und Reputationsschäden machen deutlich, dass Datenschutz mittlerweile als wichtiges Thema in der Bevölkerung angekommen ist. Sich nur über den Aufwand zu beklagen, reicht also nicht – Handeln ist gefragt. Zum Glück gibt es Profis, die dabei helfen können.

Und jetzt?

Wie ist der Datenschutz in Ihrem Unternehmen organisiert? Viele Unternehmen, die ich besuche, haben gar keinen vernünftigen Datenschutzprozess, weil sie genau wie die befragten Unternehmen denken, dass Datenschutz sehr aufwändig und dadurch teuer sei. Sie hoffen, dass schon nichts passieren wird und machen erst mal gar nichts.

Das ist ein unnötiges Risiko, denn mit klaren Zuständigkeiten, sauberen Abläufen und einer pragmatischen Umsetzung lässt sich Datenschutz effizient und rechtssicher organisieren.

Gerne schaue ich mir bei Ihnen an, wo Sie stehen und wie viel Aufwand es tatsächlich ist. Ein Erstbesuch ist immer unverbindlich und kostenlos.

Mehr zu Grundlagen und Praxis finden Sie in meinen Seminaren.

Datenschutz im Homeoffice: Diese Fehler passieren täglich

Datenschutz im Homeoffice: Diese Fehler passieren täglich

Kaffee aus der eigenen Küche, Videocall in Jogginghose, Katze auf dem Laptop. Das alles ist schön und gut, aber wie sieht es mit dem Datenschutz im Homeoffice aus? Das ist kein Thema, bei dem Unternehmen einfach mal ein Auge zudrücken können, aber dennoch passieren täglich Fehler, die niemand so richtig auf dem Schirm hat. Teuer können sie trotzdem werden – das Bußgeld kennt keine Homeoffice-Ausnahme.

Kein Regelwerk, kein Schutz

In meiner beruflichen Praxis stelle ich immer wieder fest, dass viele Unternehmen keine betriebliche Regelung zum Homeoffice und zum Umgang mit personenbezogenen Daten außerhalb des Büros haben. Es gibt keine Betriebsvereinbarung, keine Homeoffice-Richtlinie, kein Hinweis auf die datenschutzrechtlichen Pflichten der Mitarbeiter. Damit fehlt sowohl die organisatorische Grundlage als auch die Grundlage für Art. 5 und Art. 32 DSGVO. Diese besagen, dass Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden müssen. Diese Maßnahmen müssen logischerweise irgendwo niedergeschrieben sein.

Wer Datenschutz im Homeoffice nicht regelt, überlässt ihn dem Zufall. Klingt das für Sie nach einer guten Lösung? Wohl eher nicht.

Das Privatgerät: Praktisch, aber problematisch

Kommt Ihnen das bekannt vor? „Ich nehme einfach meinen privaten Laptop, der ist eh schneller.“ Das klingt pragmatisch, ist datenschutzrechtlich aber ein Minenfeld. Auf privaten Endgeräten fehlen in aller Regel Sicherheitsmaßnahmen, die zentral sind für Unternehmen wie ein Mobile Device Management (MDM), Festplattenverschlüsselung nach Unternehmensstandard oder automatische Sicherheitsupdates. Dafür vermischen sich berufliche und private Daten. Ein gefundenes Fressen für Aufsichtsbehörden und Cybercriminelle.

Das bedeutet: Personenbezogene Daten – Kunden-, Mitarbeiter- und Bewerberdaten – haben auf privaten Geräten nichts zu suchen. Der sicherste Weg ist, betriebliche Endgeräte zu stellen und die private Nutzung im Arbeitsvertrag zu verbieten. Das schließt auch Handys ein.

Die Wohnung ist kein Datentresor

Noch so ein Klassiker ist der Mitarbeiter, der seinen Arbeitsplatz am Küchen- oder Esstisch eingerichtet hat. Der Partner schmiert sich ein Brot und erfährt gleichzeitig, warum Kollege Müller abgemahnt wird. Wunderbar.

Wer mit vertraulichen Daten arbeitet, braucht im Idealfall einen abschließbaren Raum. Wenn das nicht möglich ist, sollte der Arbeitsplatz zumindest nicht gleichzeitig Durchgangszone, Esszimmer und Spielfläche sein.

Und was ist mit den Unterlagen? Ein abschließbarer Schrank ist eine datenschutzrechtliche Mindestanforderung, sobald physische Dokumente mit personenbezogenen Daten mit nach Hause wandern. Und ja, das gilt auch für den Posteingang. Wer Mahnbescheide, Verträge oder Bewerbungsunterlagen ins Homeoffice mitnimmt und diese offen ablegt, verstößt gegen Art. 5 I lit. f) DSGVO. Das passiert zwar ohne böse Absicht, ist aber trotzdem nicht erlaubt.

Firmenunterlagen gehören nicht ins Altpapier

Da das seit langem prophezeite papierlose Büro noch auf sich warten lässt, landen viele Firmenunterlagen auch in Papierform im Homeoffice. Doch was passiert, wenn diese nicht mehr benötigt werden? Der einfache Weg ist häufig: zweimal durchreißen und dann ab ins Altpapier. Auf die Gefahr hin, dass ich mich wiederhole: Auch das verstößt gegen Art. 5 I lit. f) DSGVO. Für die Aktenvernichtung ist ein datenschutzkonformer Schredder oder eine versiegelte Datentonne zu verwenden. Wer das nicht zu Hause hat, muss den „Papiermüll“ wohl oder übel mit ins Büro nehmen und ihn dort DSGVO-konform entsorgen.

Eine Überprüfung muss möglich sein

Zu guter Letzt stellt sich die Frage, wer die Einhaltung des Datenschutzes im Homeoffice eigentlich überprüft? Die Antwort ist klar: Das sollte der Arbeitgeber tun. Er haftet in der Regel ja auch für Datenschutzverstöße.

Nun darf der Arbeitgeber natürlich nicht einfach so die privaten Räumlichkeiten eines Mitarbeiters betreten, diese sind durch das Grundrecht auf Unverletzlichkeit der Wohnung gemäß Art. 13 GG geschützt. Deshalb ist zwingend eine schriftliche Vereinbarung zwischen dem Arbeitgeber und dem im Homeoffice arbeitenden Mitarbeiter erforderlich, die den Zutritt für arbeitsrelevante Themen regelt. Sie ist die Grundlage für die Homeoffice-Richtlinie.

Neben der Überprüfung der Einhaltung des Datenschutzes hilft die Vereinbarung im Zweifel übrigens auch dabei, dass alle Arbeitsmaterialien im Falle einer Kündigung zurückgeholt werden können. Auch ein Aspekt, den viele vergessen.

Datenschutz im Homeoffice gezielt angehen – die wichtigsten Sofortmaßnahmen

Datenschutz im Homeoffice ist kein Hexenwerk. Es gibt klare Spielregeln und die sind einzuhalten. Die wichtigsten Sofortmaßnahmen sind:

  • Vereinbarung mit Mitarbeitern über Zutritt der privaten Räumlichkeiten schließen.
  • Homeoffice-Richtlinie erstellen und alle Mitarbeiter nachweislich darüber informieren.
  • Nur betriebliche Endgeräte mit aktueller Verschlüsselung und Sicherheitssoftware für die Arbeit mit personenbezogenen Daten zulassen.
  • Physische Unterlagen ausschließlich in dringenden Fällen und mit klarer Rückgabepflicht ins Homeoffice mitnehmen.
  • Abschließbare Aufbewahrung für Dokumente sicherstellen.
  • Bildschirm bei Verlassen des Arbeitsplatzes sperren.
  • Telefonate und Videocalls mit vertraulichem Inhalt niemals im Beisein Dritter führen.
  • Mitarbeiter regelmäßig zum Thema Datenschutz schulen.

Fazit: Es besteht Handlungsbedarf

Datenvorfälle im Homeoffice unterliegen derselben Meldepflicht wie Vorfälle im Büro. Es braucht also klare organisatorische Entscheidungen und den Willen, diese auch durchzusetzen. Wer den Datenschutz im Homeoffice ignoriert, riskiert Bußgelder nach Art. 83 DSGVO und einen Vertrauensverlust von Kunden und Mitarbeitern – und der lässt sich nicht so einfach wegpatchen.

Sie wissen nicht, ob Ihr Homeoffice-Setup datenschutzkonform ist? Eine kurze Bestandsaufnahme zeigt schnell, wo der Schuh drückt – sprechen Sie mich gerne direkt an.

Oder wollen Sie lieber strukturiert beim Thema Datenschutz und IT-Sicherheit vorgehen? In meinen Seminaren zeige ich, worauf Unternehmen achten müssen. Alle Themen und Termine finden Sie unter cheyenne-IT.de/seminare.

Evasion-Attacks auf LLMs

Evasion-Attacks auf LLMs

Künstliche Intelligenz ist längst kein Experiment mehr. Sprachmodelle steuern Chatbots, analysieren Verträge, generieren Code, verfassen Mails oder greifen auf interne Wissensdatenbanken zu. Was nach Effizienzgewinn klingt, bringt jedoch eine neue Risikoklasse mit sich: Evasion-Attacks auf LLMs.

Das Bundesamt für Sicherheit in der Informationstechnik warnt in einer aktuellen Veröffentlichung ausdrücklich vor gezielten Manipulationen von Sprachmodellen im laufenden Betrieb . Für Leitungsfunktionen bedeutet das: KI-Sicherheit ist nicht nur ein IT-Thema. Sie ist ein Governance-Thema.

Was steckt hinter Evasion-Attacks?

cheyenne-Blog * KI
Quelle:jalammar.github

Anders als klassische Cyberangriffe verändern diese Attacken nicht den Quellcode oder die Modellparameter. Stattdessen manipulieren sie Eingaben so, dass das System seine eigenen Schutzmechanismen umgeht.

Mögliche Folgen:

  • Offenlegung sensibler Unternehmensdaten

  • Manipulation automatisierter Prozesse

  • Erzeugung rechtswidriger Inhalte

  • Reputationsschäden

  • Haftungsrisiken

Das Gefährliche: Das System funktioniert scheinbar normal – bis es plötzlich Dinge tut, die es laut Vorgaben niemals hätte tun dürfen .

LLMs, wo sind sie zu finden?

LLMs (Large Language Model) ,  also KI-Modelle, die Sprache verstehen und Texte erzeugen können, sind mittlerweile in nahezu jedem Unternehmen zu finden.

Beispiele: ChatGPT, Claude, Gemini, Copilot, Mistral etc.

LLMs sind zunehmend auch als Zusatzfunktionen in Fachanwendungen implementiert, Beispiele:

  • ERP- und CRM-Systeme

  • interne Dokumentenablagen

  • Entwicklerplattformen

  • Compliance-Workflows

  • Kundenkommunikation

Die eingebetteten KI-Funktionalitäten erhalten Ihre Rechte zumeist durch die Rechte, die auch die Anwendung hat. Je mehr Zugriff ein System erhält, desto größer wird die Angriffsfläche. Besonders riskant sind laut BSI Konstellationen mit:

  • Zugriff auf private Daten

  • Anbindung an externe Quellen

  • automatisierten Schreib- oder Versandfunktionen

DSGVO: Wenn das LLM zum Datenschutzproblem wird

Für Geschäftsführung und Datenschutzbeauftragte stellt sich eine zentrale Frage: Was passiert, wenn ein Sprachmodell personenbezogene Daten ungewollt preisgibt?

Typische Szenarien:

  • Ein Prompt Injection-Angriff führt zur Offenlegung von Kundendaten

  • Ein Modell speichert manipulierte Inhalte dauerhaft im Langzeitspeicher

  • Sensible Informationen werden über externe Schnittstellen übertragen

Ein kompromittiertes LLM-System kann meldepflichtige Datenschutzverletzungen auslösen – inklusive Bußgeld- und Reputationsrisiko.

Leitungsorgane stehen hier in der Organisationsverantwortung. Es reicht nicht, „KI einzuführen“, sie muss auch sicher implementiert sein.

AI Act: KI-Risiken werden regulatorisch relevant

Der AI-Act gibt die Regeln für den Einsatz  von KI-Systemen konkret vor.  In Verbindung mit der DSGVO sind die einzusetzenden Systeme VOR dem Einsatz zu prüfen, vgl. Art. 32, Art. 35 DSGVO. Aus der Prüfung ergibt sich eine unternehmensweite Richtlinie für die Nutzung von KI in dem jeweiligen Unternehmen. Gemäß Art. 4 AI-Act sind die Nutzer zudem vor der ersten Verwendung zu schulen.

Zusammenfassung aus DSGVO und AI-Act:

Unabhängig davon, in welche Kategorie des AI-Actes ein LLM-System eingestuft wird, gelten bestimmte Pflichten immer.

DSGVO: Vorabkontrolle

Die datenschutzrechtliche Vorabkontrolle, dient zur Identifikation möglicher Risiken für personenbezogene Daten.

  • Art. 24 DSGVO – Organisationsverantwortung

  • Art. 32 DSGVO – technische und organisatorische Maßnahmen

  • Art. 35 DSGVO – Datenschutz-Folgenabschätzung (wenn hohes Risiko)

Aus der Vorabkontrolle folgt eine Empfehlung des bDSB, wie mit KI und personenbezogenen Daten umgegangen werden soll und ob personenbezogene Daten überhaupt genutzt werden können.

Daraus folgt in Abstimmung mit den Leitungsfunktionen die Erstellung einer internen KI-Richtlinie.

In diese Richtlinie gehört mindestens eine Aufzählung der genutzten Systeme und die klare Benennung von Do’s & Dont’s in dem jeweiligen System.

Art. 4 AI Act – KI-Kompetenzpflicht (gilt für alle KI-Systeme)

Unternehmen müssen sicherstellen, dass Personen, die KI-Systeme einsetzen oder überwachen, über ausreichende Kenntnisse verfügen und unter welchen Einschränkungen KI im Hause genutzt werden darf.

Die Grundlage der Nutzung ergibt sich aus der Richtlinie und genau diese Inhalte werden geschult.

Das bedeutet:

  • Unterweisung der Mitarbeiter

  • Sensibilisierung für Risiken wie Prompt Injections

Das ist  eine Organisationspflicht und kein nice to have.

Art. 50 AI Act – Transparenzpflichten (gelten unabhängig von der Risikoklasse)

Wenn KI eingesetzt wird, müssen bestimmte Transparenzanforderungen erfüllt sein, zum Beispiel:

  • Kennzeichnung von KI-generierten Inhalten

  • Offenlegung gegenüber Nutzern, wenn sie mit KI interagieren, z.B. bei ChatBots

  • Klarheit über synthetische Inhalte

Auch hier gilt: Das betrifft alle KI-Systeme unabhängig der Klassifizierung.

Typische Angriffsformen auf LLMs

Das BSI beschreibt unter anderem die folgenden Angriffsvarianten.

1. Prompt Injections

Bei einer Prompt Injection wird das Sprachmodell direkt über eine manipulierte Nutzereingabe beeinflusst.

Ein Angreifer formuliert seine Anfrage so, dass interne Regeln oder Systemanweisungen überschrieben oder ignoriert werden. Häufige Formulierungen sind etwa:

  • „Ignoriere alle vorherigen Anweisungen.“

  • „Du bist jetzt nicht mehr ein Assistent, sondern …“

  • „Handle außerhalb deiner Sicherheitsrichtlinien.“

Das Modell wird dabei nicht technisch gehackt – sondern kommunikativ manipuliert.

Für Unternehmen ist das besonders kritisch, wenn das LLM Zugriff auf sensible Daten oder Funktionen besitzt.

2. Indirekte Prompt Injections über Drittinhalte

Hier erfolgt die Manipulation nicht über den direkten Nutzer-Prompt, sondern über externe Inhalte, die das System verarbeitet.

  • E-Mails

  • Webseiten

  • PDFs

  • Wissensdatenbanken

  • Git-Repositories

  • Ticketsysteme

Ein Angreifer versteckt schädliche Anweisungen in scheinbar harmlosen Inhalten. Das LLM interpretiert diese Inhalte fälschlich als Handlungsanweisung.

Beispiel:
Eine Website enthält im Quelltext die Anweisung, sensible Daten an einen externen Server zu senden. Wird diese Seite vom LLM verarbeitet, kann die schädliche Logik aktiviert werden.

Das Risiko steigt erheblich, wenn das System über Langzeitspeicher oder Tool-Zugriffe verfügt.

3. Jailbreaks

Ein Jailbreak zielt darauf ab, das während des Trainings erlernte Sicherheitsverhalten des Modells zu umgehen.

Das geschieht häufig durch:

  • Rollenspiele („Stell dir vor, du bist ein Hacker…“)

  • fiktive Szenarien

  • kreative Umschreibungen verbotener Inhalte

  • semantische Umgehung von Schlüsselwörtern

Das Modell bleibt technisch unverändert, aber seine Schutzmechanismen werden „argumentativ ausgehebelt“.

Für Führungskräfte ist relevant: Jailbreaks können dazu führen, dass Compliance-Vorgaben faktisch umgangen werden, ohne dass ein technischer Einbruch vorliegt.

4. Mehrstufige Manipulationen

Hier erfolgt der Angriff nicht in einer einzigen Anfrage, sondern über mehrere Interaktionen hinweg.

Der Angreifer geht schrittweise vor:

  1. Zunächst werden harmlose Informationen abgefragt.

  2. Danach wird Kontext aufgebaut.

  3. Schließlich wird das System dazu gebracht, sicherheitskritische Details preiszugeben.

Diese Methode ist besonders schwer zu erkennen, da jede einzelne Anfrage für sich betrachtet unauffällig wirkt.

In automatisierten Workflows können solche Angriffe schleichend eskalieren.

5. Verschleierung über Kodierung oder Sonderzeichen

Angreifer nutzen technische Tricks, um Filter zu umgehen:

  • Base64-Kodierung

  • Verschlüsselung

  • absichtliche Rechtschreibfehler

  • Einfügen von Steuerzeichen wie \n oder \b

  • unsichtbare Unicode-Zeichen

  • Sprachwechsel oder Sprachmischung

Das Ziel ist es, Sicherheitsmechanismen zu verwirren oder bekannte Schlüsselwortfilter zu umgehen.

Für das Management wichtig:
Solche Angriffe sind nicht auf den ersten Blick erkennbar. Sie wirken wie normale Textbestandteile – können aber operative Prozesse manipulieren.

Strategische Einordnung

Alle genannten Angriffstypen haben eines gemeinsam:
Sie nutzen die Kommunikationsfähigkeit des Systems aus.

  • Datenzugriff

  • Systemintegration

  • Automatisierung

  • externe Schnittstellen

Je mehr Kommunikationsfähigkeiten ein LLM besitzt, desto größer wird das Gefährdungspotenzial.

Deshalb sind diese Angriffe nicht nur ein IT-Detail, sondern ein Governance-Thema.

Verantwortung von Führungskräften

KI-Risikobewertung auf Managementebene verankern

  • Ist das eingesetzte LLM an interne Daten angebunden?

  • Was sagt der Datenschutz?

  • Welche Aktionen darf es autonom ausführen?

  • Gibt es eine dokumentierte Risikoanalyse?

Least Privilege konsequent umsetzen

LLM-Systeme dürfen nur Zugriff auf Daten und Funktionen erhalten, die zwingend notwendig sind. Jede zusätzliche Berechtigung erhöht das Angriffsrisiko .

Serverseitige Schutzmechanismen etablieren

Das BSI empfiehlt unter anderem:

  • Eingabenormalisierung

  • Längenbeschränkungen

  • Content-Stripping

  • Filter für schädliche Prompts

  • Schwärzung sensibler Informationen

Wichtig: Clientseitige Filter sind nicht ausreichend.

Menschliche Aufsicht implementieren

Der AI Act verlangt menschliche Kontrolle bei KI-Systemen der Kategorie „hochrisiko“. Das BSI bestätigt diesen Ansatz durch sogenannte Human Guardrails und dies nutzungs- und nicht KI-kategoriebezogen.

Beispiel:
Kritische Aktionen wie E-Mail-Versand oder Datenexport müssen aktiv freigegeben werden.

Fazit

KI-Cybersicherheit ist kein reines IT-Detail, sondern mittlerweile ein Standard-Arbeitspaket im Kontext IT-Sicherheit und Datenschutz. Führungskräfte müssen die Grundmechanismen verstehen, um Risiken realistisch bewerten zu können .

Die „KI-Welt“ ist schnellebig, es sollte bei Updates von Systemen genau geprüft werden, ob eine KI-Funktionalität inkludiert oder erweitert wurde und was dies für die Nutzung im Unternehmen bedeutet.

Bei der Bewertung müssen unterschiedlichste Normen mit einbezogen werden, neben dem AI-Act auch die DSGVO, ggf. NIS 2 (Also BSIG), Geschäftsgeheimnisgesetz, ggf. Urheberrecht etc.

Wenn Sie jetzt noch unsicher sind, in Bezug auf die Nutzung von KI-Systemen oder eine Richtlinie erstellen lassen möchten und/oder Ihre Mitarbeiter kompetent schulen lassen möchten, dann sprechen Sie mich an, ich unterstütze Sie in allen Fragen rund um das Thema KI.

Phishing

Phishing: Angriffe werden immer professioneller – das können Sie tun

Phishing-Mails sind nervig, oder? Tatsächlich sind sie noch viel mehr als ein lästiges Übel. Phishing ist eine ernstzunehmende Bedrohung, denn die Angriffe nehmen zu, werden raffinierter und erfolgreicher. Cyberkriminelle haben sich professionalisiert, nutzen KI und psychologische Tricks. Während Ihre Firewall immer ausgefeilter wird, bleibt der Mensch die Schwachstelle. Und genau die wird gezielt ausgenutzt. Das kann teuer werden und schädigt den Ruf.

Phishing und Social Engineering – kurze Begriffserklärung

Das Wort Phishing ist eine Kombination der Begriffe „password“ und „fishing“. Es beschreibt das gezielte Abfischen von Passwörtern. Cyberkriminelle werfen ihre digitalen Köder wie gefälschte E-Mails aus, die vorgeben, von einem seriösen Anbieter wie Ihrer Bank, einem Online-Shop oder einer Behörde zu stammen. Sobald Sie auf einen Link klicken oder einen Anhang öffnen, haben die Angreifer ihr Ziel erreicht. Sie servieren damit Ihre Zugangsdaten, Kreditkarteninformationen oder am besten gleich den Zugang zu Ihrem Unternehmensnetzwerk auf dem Silbertablett.

Als ob das nicht schon schlimm genug wäre, ist Phishing mittlerweile häufig nur der Anfang. Dabei wird eine Schadsoftware eingeschleust, die je nach Auftrag Daten stiehlt, Systeme ausspioniert oder Ransomware installiert. Herzlichen Glückwunsch.

Phishing ist allerdings keine isolierte Bedrohung, sondern Teil eines größeren Konzepts. Gemeint ist das Social Engineering. Dabei setzen Angreifer auf psychologische Manipulation. Sie erzeugen bewusst Emotionen wie Druck, Panik oder Angst, damit Sie schnell und unüberlegt handeln. Ihr Unterbewusstsein übernimmt die Kontrolle, rationales Denken wird ausgeschaltet. Genau das ist die Absicht – auch beim Phishing.

Darum ist Phishing so erfolgreich

Die Zeiten von schlecht formulierten E-Mails voller Rechtschreibfehler sind vorbei. Moderne Phishing-Nachrichten sind täuschend echt gestaltet. Sie nutzen echte Logos, imitieren bekannte Marken und passen sich dem Sprachstil der angeblichen Absender an. KI-gestützte Tools machen diese Arbeit in wenigen Minuten und erzeugen Ergebnisse, bei denen selbst Profis zwei Mal hinschauen müssen.

Ohne gezielte Schutzmaßnahmen – die erschreckend vielen Unternehmen immer noch fehlen – liegt die Erfolgsrate von Phishing-Angriffen derzeit bei 32,6 Prozent. Jede dritte Attacke führt zum Ziel, wenn Unternehmen nicht handeln.

Übrigens: Nicht jede dubiose E-Mail will Daten klauen. Manche Spam-Mails machen schlicht und einfach Adressakquise. Sie nutzen die Impressumspflicht aus, um an vollständige Kontaktdaten zu gelangen. Wer auf solche Mails reagiert, bestätigt, dass die Adresse aktiv ist und liefert gleich weitere personenbezogene Daten mit. Ist also auch schlimm.

Neueste Methoden

Cyberkriminelle sind clever und entwickeln ständig neue Methoden. So gab es Anfang 2025 eine Phishing-Welle, die vor allem den Online-Handel betraf: das QR-Code-Phishing (Quishing). Die QR-Codes führen die Opfer unbemerkt auf gefälschte Webseiten.

Vor wenigen Tagen gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gemeinsame Sicherheitswarnung mit dem Bundesamt für Verfassungsschutz heraus (BfV). Gewarnt wird vor Phishing-Angriffen via Messengerdiensten wie Signal. Die Angreifer kontaktieren ihre Opfer über eine Chatnachricht und geben sich als Mitarbeiter des Support-Teams aus. Was dann folgt, ist bekannt: Es sollen Sicherheits-PINs oder Verifizierungscodes herausgegeben werden, um eine Sperrung des Accounts zu verhindern.  Bei einer zweiten Variante soll die Kopplung eines weiteren Geräts mit dem Account zugelassen werden. Auftraggeber ist mutmaßlich ein staatlicher Akteur, doch auch andere kriminelle Gruppierungen können diese Art des Phishings nutzen.

Konkrete Maßnahmen zum Schutz vor Phishing

Jetzt wird es praktisch. Auch wenn Phishing-Angriffe immer glaubwürdiger wirken, sind Sie diesen nicht schutzlos ausgeliefert.

Meine wichtigste Regel: Die 3-Stunden-Regel

Sobald eine E-Mail, SMS oder Chatnachricht Druck aufbaut oder Panik erzeugt, atmen Sie durch und denken Sie nach. Prüfen Sie die Situation genau und sprechen Sie im Zweifel mit einem Vorgesetzten. Es gibt nichts – wirklich nichts – das nicht auch drei Stunden warten kann.

Keine Bank sperrt Ihr Konto in den nächsten 60 Minuten. Kein Finanzamt pfändet Ihr Vermögen bis Mitternacht. Kein Chef geht pleite, weil Sie nicht sofort überweisen. Klingt jetzt im Moment ziemlich logisch, oder?

Sensibilisierung ist alles

Typische Fehler sind voreiliges Handeln unter Zeitdruck, Angst und blindes Vertrauen in professionell gestaltete E-Mails. Eine kurze Rückfrage beim angeblichen Absender würde oft Klarheit schaffen – wird aber nicht gemacht, weil man nicht „dumm“ dastehen will.

Schulen Sie Ihre Mitarbeiter regelmäßig. Nur wer regelmäßig mit dem Thema in Berührung kommt, erkennt die Fallen und lernt, entsprechend zu handeln.

Zwei-Faktor-Authentifizierung

Selbst wenn Zugangsdaten gestohlen werden, verhindert eine zweite Sicherheitsebene den unbefugten Zugriff. Das BSI empfiehlt dringend den Einsatz von Zwei-Faktor-Authentifizierung oder passwortlosen Passkeys. Das Einrichten dauert fünf Minuten, die Zeit hat jeder.

Technische Schutzmaßnahmen

Auch wenn der Mensch das Ziel ist, kann die Technik unterstützen. Spam-Filter, E-Mail-Authentifizierung wie DMARC und moderne Security-Lösungen fangen viele Angriffe ab, bevor sie überhaupt bei Ihnen ankommen.

Den Ernstfall testen

Testen Sie Ihre Mitarbeiter mit simulierten Phishing-Angriffen. Das schärft das Bewusstsein und zeigt Schwachstellen auf, bevor echte Angreifer sie ausnutzen. Das Ergebnis wird Sie schockieren.

Fazit

Phishing bedroht alle Unternehmen. Die Professionalisierung durch KI, die psychologische Raffinesse und die schiere Masse der Angriffe machen es schwerer, alle gefälschten Nachrichten zu erkennen. Wer seine Mitarbeiter nicht schult, geht ein unnötiges Risiko ein. Unternehmen, die den Menschen als Risikofaktor ernst nehmen, schließen eine ihrer größten Sicherheitslücken.

Sie möchten Ihr Unternehmen wirksam vor Phishing schützen?

Sprechen Sie mich gerne an. In einer kurzen Beratung klären wir, wo Ihre größten Risiken liegen und welche Maßnahmen für Ihr Unternehmen sinnvoll sind.

Für eine systematische Absicherung empfehle ich meine Seminare zum BSI-Grundschutz sowie zum Thema Social Engineering.

Alle Seminare finden Sie hier: cheyenne-IT.de/seminare

Berechtigtes Interesse, gem. Art. 6 I lit. f) DSGVO

In letzter Zeit sehe ich häufig die Rechtsgrundlage des Art. 6 I lit. f) DSGVO, also die Verarbeitung aus berechtigtem Interesse des Seitenanbieters. Schuld ist ein Urteil des OLG Stuttgart Az.: 2 U 63/22 17 O 807/21 .

Der Tenor des Urteils lautet, die Zusendung eines Werbeschreibens kann nach Art. 6 I lit. f) i.V.m. Art. 5 DSGVO rechtmäßig sein. Das Versenden gewerblicher Informationen kann ein berechtigtes Interesse im Sinne der Vorschrift sein.

Das Urteil bietet aber keineswegs einen Freibrief, nun jegliche Verarbeitung auf ein berechtigtes Interesse zu stützen. Das Urteil scheint teils nicht richtig verstanden worden zu sein, dies hat zur Folge, dass diese Rechtsgrundlage seit dem Urteil gehäuft als Grundlage für die Verarbeitung personenbezogener Daten über ein Kontaktformular verwendet wird. Meines Erachtens deutet dies auf ein mangelndes Rechtsverständnis des Erstellers der Datenschutzerklärung hin.

Was ist ein „berechtigtes Interesse“?

Art. 6 I lit. f) DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Entscheidend ist also jeweils eine Interessenabwägung.

Dies bedeutet nicht, dass die Rechtsgrundlage jedes Mal greift, wenn mir nichts anderes einfällt und ich die Daten so gerne erheben möchte.

„Datenschutz ist Grundrechtsschutz“, wir sind demnach im Grundrechtsbereich und wie immer, beim Eingriff in Grundrechte, muss eine Abwägung der Grundrechtspositionen her. Art. 6 I lit. f) DSGVO benennt die Anforderungen genau, die Voraussetzungen sind:

  • Es muss ein berechtigtes Interesse des Anbieters vorliegen. Dies kann wirtschaftlich, rechtlich, idell sein. Berechtigt ist wörtlich zu sehen, ein Interesse ohne Berechtigung reicht also nicht. Aber auch Werbung kann ein solches berechtigtes Interesse sein, dieses kann wirtschaftlich hergeleitet werden, muss aber eng ausgelegt werden.
  • Desweiteren muss die Verarbeitung zur Erreichung des eben begründeten Interesses auch erforderlich sein.
    Wenn es also mildere, gleich geeignete Mittel gibt, dann sind diese zu wählen.
  • Die Interessen des Betroffenen dürfen nicht überwiegen
    Solch ein Interesse kann sich schon daraus ergeben, dass der Betroffene, Werbung generell widersprochen hat.

Fallgruppen für ein berechtigtes Interesse

  • Direktwerbung (vgl. Erwägungsgrund 47 DSGVO; BGH, Urteil v. 28.5.2020 – I ZR 7/16) Der Erwägungsgrund 47 konkretisiert die Rechtsgrundlage dahingehend, dass diese natürlich wie immer nur in Verbindung mit Art. 5 DSGVO greift. Art. 5 DSGVO beschreibt sehr deutlich, dass u.a. die Zwecke der Verarbeitung für den Betroffenen transparent sein müssen, im Umkehrschluss muß der Betroffene also nicht mit Werbung rechnen, wenn diese Werbung kpl. außerhalb seines Tätigkeitsbereiches liegt. Anders z.B. wenn der Betroffene bereits Kunde ist, dann muss er auch mit Folgewerbung rechnen.  Er muss allerdings nicht mit Newsletterzusendungen rechnen, diese bedütfen einer aktiven Einwilligung, da diese in die jeweilige Persönlichkeitssphäre (per Mail/Brief) eindringen.
  • Betrugsprävention und IT-Sicherheit (z.B. Logfile-Auswertung, siehe OLG Dresden, Urteil v. 30.11.2021 – 4 U 1158/21). Gegen diesen Zweck wird wohl niemand etwas haben, natürlich liegt es im begründeten Interesse des Verantwortlichen und auch des Betroffenen, z.B. über die evtl. Zusendung von Schadsoftware informiert zu werden, die der Verantwortliche ohne Wissen, aufgrund eigenen Befalles weitergeleitet hatte.
  • Durchsetzung von Rechtsansprüchen
  • Interne Verwaltungszwecke innerhalb eines Konzerns
    So z.B. die Information über eine spezielle Mailadresse für die Zusendung von Rechnungen, Info über Ansprechpartnerwechsel u.ä.

Mein Lieblingsthema Kontaktformular

Wie sieht es denn nun bei der Verarbeitung über Kontaktformulare auf Webseiten aus? Dort sehe ich momentan gefühlt ständig den Art. 6 I lit. f) DSGVO.

Antwort: Es kommt darauf an! Oder auch, man kann sich etwas Mühe geben.

Aktuelle Rechtsprechung & Aufsichtsbehörden

  • Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) sieht die Kontaktaufnahme über das Formular grundsätzlich als „vorvertragliches Verhältnis“ Artt. 6 I lit. b), 5 DSGVO i.V.m. §§ 311 II, passende Vertragsnorm BGB) Dies greift, wenn klar ist, dass die Kontaktaufnahme des Betroffenen darauf abzielt, sich über die Leistungen/Produkte des Unternehmens zu informieren, also Anfragen zu Produkten, Dienstleistungen oder Support, die später ggf. erworben werden.
  • Andere Anfragen, die nicht unter ein vorvertragliches Verhältnis fallen, wie z.B. allgemeine Fragen, Presseanfragen, Lob/Kritik benötigen eine andere Rechtsgrundlage. Hier kommt oft das berechtigte Interesse in Betracht (Art. 6 I lit. f) DSGVO). Ich halte dies für falsch, denn durch die Absendung des Formulars (natürlich nach korrekter Belehrung), erteilt der Nutzer (Berechtigte) ganz klassisch seine Einwilligung für die Verarbeitung, gem. Art. 6 I lit. a) DSGVO, die er jederzeit ohne Angabe von Gründen auf dem gleichen Weg widerrufen kann. Allein die Dokumentationspflicht des berechtigten Interesses inkl. der gesetzlich geforderten Grundrechtsabwägung erscheint mir doch als „mit Kanonen auf Spatzen“ und ist aus meiner Sicht daher abzulehnen. Auch glaube ich nicht, dass die Abwägung wirklich durchgeführt und dokumentiert wird.

Was sagt der BGH

Bislang liegt keine höchstrichterliche Entscheidung speziell zu Kontaktformularen und Art. 6 I lit. f) DSGVO vor. Die Gerichte lassen aber erkennen, dass ein berechtigtes Interesse – etwa an der Kommunikation und Verbesserung des Service – durchaus anerkannt werden kann. Natürlich nur und ausschließlich in Verbindung mit Art. 5 DSGVO. Aus meiner Sicht, wie gesagt, überhaupt nicht notwendig, daher kann die Betrachtung dahinstehen.

Fazit

Ich benötige diese Rechtsgrundlage nur sehr selten, denn fast immer geht es besser und wenn es besser geht, dann ist dem Transparenzgebot des Art. 5 I lit. a) DSGVO ebenfalls entsprochen.

Was viele nicht bedenken ist, dass eine Weiterverarbeitung, also die nach der Erhebung der Daten über das Kontaktformular eine neue, eigene Rechtsgrundlage benötigt. Je nachdem, worum es sich handelt, z.B. Weitergabe in ein KI gestütztes Beantwortungssystem, greift das berechtigte Interesse vlt. nicht mehr und es wird trotzdem die Einwilligung des Betroffenen benötigt. Auch ist eine Einwilligung im Falle eines Rechtsstreites besser zu belegen als die Grundrechtsabwägung, die ein sorgfältiger Richter u.U. in der Luft zerreißt. Aber man kann es sich wie immer schwer machen oder eben nicht.

FAZIT: Die Verarbeitung aus berechtigtem Interesse ist kein Freifahrtschein und meine Empfehlung wäre, genau abzuwägen, ob nicht eine andere Rechtsgrundlage einfacher und genauso gut greift und besser zu dokumentieren ist.

Klugschiß:

Art. 5 I DSGVO beginnt mit: „Personenbezogene Daten müssen…“

Dies bedeutet, dass Art. 5 DSGVO, egal, auf Basis welcher Rechtsgrundlage verarbeitet wird, zwingend mit ins Boot muß. Daher lautet die korrekte Angabe der Rechtsgrundlage immer mindestens: Art. 6 I lit x i.V.m. Art. 5 DSGVO.

 

Datenschutz 2024

Datenschutz 2024:
Zwischen KI, Datenpannen und Videoüberwachung – Ein Rückblick

Das Jahr 2024 war für Datenschützer alles andere als ruhig. Zwischen Künstlicher Intelligenz, steigenden Beschwerdezahlen und der Einführung der elektronischen Patientenakte (ePA) gab es reichlich Diskussionsstoff. Hier ein Überblick über die wichtigsten Entwicklungen und Ereignisse, sowie verhängte Bußgelder:

Beschwerden und Datenpannen: Ein Rekordjahr

Die Zahl der Beschwerden über Datenschutzverstöße erreichte 2024 neue Höchststände. Allein beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gingen 1.628 Beschwerden ein – ein Anstieg von über 20 Prozent im Vergleich zum Vorjahr. Ein zentraler Auslöser war die Einführung der ePA, bei der viele Versicherte Bedenken hinsichtlich ihrer Daten äußerten.

Auch die Zahl der gemeldeten Datenpannen stieg: 602 Meldungen gingen beim ULD ein, von einfachen Fehlzusendungen bis hin zu groß angelegten IT-Angriffen. Besonders häufig betroffen waren kleine und mittlere Unternehmen, die oft nicht über ausreichende Sicherheitsmaßnahmen verfügten.

KI im Fokus: Chancen und Herausforderungen

Künstliche Intelligenz war im Datenschutz 2024 ein dominierendes Thema. Die Datenschutzkonferenz, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, veröffentlichte ein Positionspapier zu Kriterien für souveräne Clouds und betonte die Notwendigkeit klarer gesetzlicher Regelungen für den Einsatz von KI, insbesondere im öffentlichen Sektor. Ziel ist es, Transparenz und Datenschutz zu gewährleisten.

Videoüberwachung: Ein Dauerbrenner

Die Videoüberwachung blieb ein Dauerbrenner im Datenschutz 2024. Mehr als jede fünfte Beschwerde beim ULD betraf dieses Thema. Häufig ging es um Nachbarschaftsstreitigkeiten, in denen Kameras auf private Grundstücke gerichtet waren. Die Datenschutzbehörden betonten, dass Videoüberwachung nicht generell unzulässig ist, jedoch klare Regeln eingehalten werden müssen.

Cookie Banner, OLG Köln Urteil zu Cookie-Bannern

Das Urteil betont die Notwendigkeit, dass Cookie-Banner so gestaltet sein müssen, dass Nutzer eine echte und informierte Wahl haben. Sowohl die Zustimmung als auch die Ablehnung von Cookies müssen gleichwertig und transparent angeboten werden. Irreführende Gestaltungen, die Nutzer zur Zustimmung drängen, sind unzulässig

Informationsfreiheit: Verzögerungen und Verweigerungen

Auch im Bereich der Informationsfreiheit gingen mehr Beschwerden und Anfragen ein. Die Landesbeauftragte für Informationszugang in Schleswig-Holstein musste im Jahr 2024 viermal Beanstandungen aussprechen, da Informationen an Antragsteller ohne ersichtlichen Grund nicht oder nur verzögert herausgegeben wurden. Die Behörden setzen sich für eine transparente Verwaltung ein und fordern eine proaktive Veröffentlichung von Informationen.

Bußgelder

Im Jahr 2024 wurden von europäischen Datenschutzbehörden zahlreiche Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Gründe reichten von unzureichenden Sicherheitsmaßnahmen bis hin zu unrechtmäßiger Datenverarbeitung. Hier sind einige der bedeutendsten Fälle:

LinkedIn Ireland – 310 Millionen Euro (Irland)

Geldstrafe in Höhe von 310 Millionen Euro für die Verarbeitung personenbezogener Daten von Nutzern für Verhaltensanalysen und zielgerichtete Werbung ohne ausreichende Transparenz und Rechtsgrundlage.

Uber – 290 Millionen Euro (Niederlande)

Uber Bußgeld in Höhe von 290 Millionen Euro für die Übertragung sensibler Daten europäischer Fahrer, darunter Standortdaten und Ausweisdokumente, ohne angemessene Schutzmaßnahmen an Server in den USA.

Meta Platforms Ireland Ltd. – 91 Millionen Euro (Irland)

Meta wurde Bußgeld in Höhe von 91 Millionen Euro belegt, für das Speichern von Nutzer-Passwörtern im Klartext.

Clearview AI – 30,5 Millionen Euro (Niederlande)

Clearview AI (USA) erhielt von der niederländischen Datenschutzbehörde ein Bußgeld in Höhe von 30,5 Millionen Euro für die Verarbeitung biometrischer Daten (Gesichtsdaten) von Bürgern der Niederlande, die Clearview AI aus öffentlich zugänglichen Bildern der Betroffenen ohne Einwilligung eingelesen hatte.

The Phone House S.L. – 6,5 Millionen Euro (Spanien)

The Phone House erhielt ein Bußgeld in Höhe von 6,5 Millionen Euro nach einem Ransomware-Angriff. Die Behörde stellte fest, dass unzureichende technische und organisatorische Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten.

Und was war in Deutschland los?

Factoring (Hamburg) – 900.000 €

Factoring Unternehmen (Hamburg) zahlte ein Bußgeld in Höhe von € 900.000 für das Nutzen von Kundendaten über die gesetzl. Aufbewahrungsfrist hinaus.

Bank (Berlin) – 300.000 €

Eine Bank in Berlin bekam ein in Höhe von 300.000 € aufgebrummt, weil sie einem Kunden keine nachvollziehbaren Auskünfte über die Gründe einer automatisierten Ablehnung eines Kreditkartenantrags erteilte. Dies verstieß gegen die Transparenzpflichten aus Art, 5 i.V.m. Art. 13, 14 DSGVO.

E-Commerce-Unternehmen – 525.000 €

Ein Unternehmen der Branche E-Commerce fing sich ein Bußgeld von 525.000 € für einen Interessenkonflikt, in dem der der Datenschutzbeauftragte des Unternehmens stand. Dies widersprach der Unabhängigkeitsregel der DSGVO.

Corona-Teststation – 52.500 €

Eine Corona-Teststation erhielt ein Bußgeld in Höhe von € 52.500 für den Impfstatus als Pflichtangabe in ihrem Anmeldeformular und das Vortragen einer Standard-Staatsangehörigkeit. Dies verstieß gegen die Grundsätze der Verarbeitung aus Art. 5 DSGVO.

Apotheke – 6.500 €

Eine Apotheke zahlte ein Bußgeld in Höhe von € 6.500, weil sie Unterlagen mit personenbezogenen Gesundheitsdaten in einem Müllsammelraum offen zugänglich lagerte. Auch überwachte sie die bedienenden Verkaufskräfte per Video. Dies verstieß gegen eine Vielzahl von Normen aus der DSGVO.

Friseurbetrieb – 2.000 €

Auch ein Friseurbetrieb erhielt ein Bußgeld in Höhe von € 2000,- für das Sammeln von Kundendaten ohne ausreichende Einwilligung.

Fazit aus dem Datenschutz 2024: Datenschutz bleibt dynamisch

Das Jahr 2024 zeigte deutlich, dass Datenschutz kein statisches Thema ist. Mit der fortschreitenden Digitalisierung, dem Einsatz von KI und neuen gesetzlichen Regelungen bleibt es spannend. Für Datenschützer bedeutet das: dranbleiben, informieren und mitgestalten.

Quellen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Tätigkeitsbericht 2024
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), 29. Bericht 2024
Landesbeauftragter für Datenschutz Bremen, 7. Jahresbericht 2024

Wächtermodus bei Tesla Fahrzeugen

Wächtermodus bei Tesla Fahrzeugen

Im Rahmen meiner juristischen Bachelor-Seminararbeit habe ich mich mit der DSGVO-Konformität des Wächtermodus bei Tesla Fahrzeugen befasst.

Die Umgebungsüberwachung durch Kameras ist aus dem Alltag nicht mehr wegzudenken. Es ist eine einfache Möglichkeit, die eigenen Rechtsgüter zu schützen, z. B. das Hausrecht zu wahren. Auch auf öffentlichen Plätzen ist Videoüberwachung zum Schutz der öffentlichen Sicherheit und Ordnung nicht mehr wegzudenken.

Fahrer von Fahrzeugen nutzen Dashcams, um besondere Fahrten  mitzuschneiden oder auch um das eigene Fahrverhalten zu optimieren. Videos von Alltagssituationen erscheinen überall im Netz. Sie sind zu wichtigen Inhalten geworden, um die eigenen „Follower“ zu unterhalten. In den meisten Fällen, werden lediglich Personen in alltäglichen Situationen dargestellt.

Auch viele Fahrzeuge verfügen mittlerweile über Videoüberwachungssysteme zum Mitschnitt der Umgebung, in der sie sich gerade bewegen. Die so erzeugten Daten werden gespeichert und für verschiedenste Zwecke verwendet. Auf Parkplätzen sollen eventuelle Schäden am eigenen Fahrzeug nachvollziehbar sein, um ggf. den Verursacher in Regress nehmen zu können. Die Anwendungs-möglichkeiten sind unerschöpflich.

Mittlerweile scheint es gängige und akzeptierte Praxis zu sein, ein alles und jegliches zu filmen, Menschen, die eventuell miterfasst werden, waren dann eben am falschen Ort zur falschen Zeit, das persönliche Interesse des Filmers steht um Vordergrund.

Die Gewöhnung an Film und Bildaufnahmen aller Art, an jedem Ort, ohne die betroffene Person zu fragen, kollidiert jedoch unter Umständen mit den Grundrechten betroffener Personen in Bezug auf ihre eigenen personen-bezogenen Daten.

Die Rechtmäßigkeit der Verarbeitung von Bilddaten, die eine Identifikation der dargestellten Person ermöglichen, unterliegt strengen Voraussetzungen, die sich aus der DSGVO ergeben. Ggf. liegt bei einer Videoaufnahme ein datenschutz-rechtlicher Grundrechtseingriff vor, für den ein genau festgelegter Zweck und eine darauf abgestimmte Rechtsgrundlage zwingend erforderlich ist. Ohne diese Konstellation ist die Erfassung personenbezogener Bilddaten rechtswidrig.

Als Ergebnis ist herausgekommen, der Wächtermodus kann in der vorliegenden Form nicht DSGVO-konform betrieben werden. Aufgrund der Seitenzahlbeschränkung dieser als Prüfungsleistung entstandenen Arbeit, konnten nicht alle interessanten Aspekte betrachtet werden, das Ergebnis bleibt dasselbe.

Die Arbeit kann von Fachkollegen und interessierten Unternehmen per Email angefordert werden.

Ein Nachruf auf die DSGVO

Ein Nachruf auf die DSGVO

Es fing so vielversprechend an, die DSGVO seit 2018 in aller Munde. Endlichsagten die Behörden, endlich bekommt der Datenschutz als Grundrechtsschutz eine Relevanz. Endlich werden wir in Zukunft auch Bußgelder verhängen können, um Nichtbeachtung zu sanktionieren. Endlich werden Betroffenenrechte ernst genommen.

Nun aber scheint die DSGVO gestorben zu sein. Ein Jammer, es folgt: Ein Nachruf auf die DSGVO.

Nachruf auf die DSGVO
Quelle: GDD

Konkurrenz zu Corona

Wie es scheint, konkurriert die DSGVO mit Corona, es geht nur eins, beides nicht. Corona betrat den Laufsteg der Eitelkeiten,  die DSGVO scheint nun uninteressant geworden zu sein.

Eine Nachverfolgung von Infektionen soll umgesetzt werden. Es begann mit Zetteln, s. hier: Corona und Datenschutz.

Trotz der Zettel, die man in jeder Gastro ausfüllen musste und die teils in Glaskästen eingeworfen werden sollten, konnte diese Nachverfolgung nicht erreicht werden. Man hörte von überlasteten Gesundheitsämtern, falsch ausgefüllten Zetteln usw.

Dann kam die allseits gepriesene APP, die angeblich keine pers. Daten erfasst : Corona APP

Die neuesten Ideen

Für die neuesten Ideen wäre wohl früher ein Aufschrei seitens der Datenschützer durch ganz Europa zu hören gewesen. Sicher wäre eine Bewertung nach Art. 9 DSGVO heiß diskutiert worden. Was bleibt? Ein Nachruf auf die DSGVO.

Test- und Impfnachweis

Die neueste Idee lautet ja, möglichst viele Tests durch zu führen, damit wir alle in Sicherheit sind, alternativ kann man sich impfen lassen oder beweisen, dass man genesen ist. Für die gewählte Variante soll ich nun immer einen Nachweis bei mir führen.

Diesen Nachweis soll ich nun auch überall vorzeigen. Handelt es sich hier eigentlich um medizinische Daten? Der Test kann ja nun gar keine Diagnose ersetzen, sondern stellt bestenfalls einen Labortest dar, der zudem auch gar keine Krankheit feststellt und in keinem Labor ausgewertet wurde, da es meist ein sog. Schnelltest sein wird. Wie aber soll der Ladeninhaber, dem ich den Test nun zeigen soll, da irgendwas draus schliessen, ohne medizinische Vorkenntnisse?

Ich frage mich weiterhin, was geht es ihn an? Möchte ich meine medizinischen Unterlagen jedem zeigen, nur, um da einkaufen zu dürfen?

Muss der Ladeninhaber mir eigentlich auch seinen negativen Test oder Impfpass zeigen? Das Gesetz sieht ja vor, dass für alle immer dasselbe gilt. In meinem Impfpass stehen weitere Impfungen und meine Blutgruppe, sowie meine vollständige Adresse. Ich möchte aber nicht jedem meine Adresse und andere medizinische Daten zeigen. Und schon gar nicht, will ich diese in irgendeinem Zentralregister gespeichert wissen. Ganz oldschool „informationelle Selbstbestimmung“, diejenigen, die sich nicht erinnern, können das mal googeln.

Luca oder Sonstwie APP

Nun soll ich mich auch vor Betreten einiger Geschäfte mithilfe einer APP einloggen und beim Verlassen wieder ausloggen. Man könnte annehmen, dies würde ähnlich einer Arbeitszeit erfasst. Muss jetzt eigentlich jeder Ladeninhaber einen ADV Vertrag gemäß Art. 28 DSGVO abschliessen? Wo kann ich einsehen, welche Daten von mir gespeichert werden, bekomme ich eine Information zur Speicherung meiner Daten gemäß Art. 13 DSGVO? Und… kann ich von meinen Betroffenenrechten gemäß Kapitel 3 DSGVO Gebrauch machen?

Ich bin gespannt, ob Betroffene solche Anfragen an einige Geschäfte schicken, die werden sich freuen. Wenn sie keine Antwort bekämen, hätten wir einen DSGVO Verstoss. Das wird ein Spaß!

Abgesehen davon, wie sicher sind denn meine Daten? Wird es wieder mal ein Datenleck geben, das dem Einbrecher, der es auf mein Haus abgesehen hat, die Info gibt, dass ich gerade bei Bäcker Meyer bin und nicht zu Hause? Steht das komplette Blankziehen meiner Person und meiner Bewegungsdaten in irgendeinem Verhältnis zu meinem Einkauf in Laden x, wo ich, sagen wir mal, etwas Schreibwariges im Wert von € 1,50 kaufe?

Für mich jedenfalls nicht, für mich persönlich keine APP, kein Schlüsselanhänger, kein Test, keine Corona Impfung. Es wäre schön, wenn ich das auch weiterhin selber entscheiden dürfte.

Und wenn jetzt von jedem jeder Ladenbesuch gespeichert wird, haben wir eigentlich dann hier eine Massendatenspeicherung? Da kann man sicher viele schöne Dinge auswerten. Heute logge ich mich in Bremen ein und morgen in Husum? Also ich ja nicht, aber nur mal so als Gedanke.

Ein Nachruf auf die DSGVO

Digitalisierung in Schulen, die neue Herausforderung, oder?

Digitalisierung in Schulen

Dank Corona in aller Munde, die Digitalisierung in Schulen. In den Jahren davor wurde geschlafen, nun bräuchte man dringend die Möglichkeiten des Online-Unterrichts, leider geht das nicht so schnell. Interessant auch, dass die Onlinelehre bereits seit 2001 gängig ist, cheyenne-Blog * Digitalisierung in Schulennun haben wir aber demnächst schon 2021. Typisch Deutschland, alles, was schwierig ist und nicht sein muss, wird auch nicht angegangen, nun bekommen wir und leider auch unsere Kinder dafür die Quittung.

Wenn man den Medien Glauben schenkt, dann bräuchte man für die Digitalisierung in Schulen lediglich schnelles Internet, ein paar Tablets und los gehts.

Schade, es fehlt mal wieder an sinnvollen Konzepten, und es ist wie immer, jeder, der ein wenig am PC rumklickert, meint nun, die erforderliche Expertise zu besitzen. Leider ist das aber zu wenig, damit kann man nun wirklich keinen Blumentopf gewinnen! Die Digitalisierung cheyenne-Blog * Digitalisierung in Schulenin Schulen klappt nur mit einem Konzept, das von Leuten erarbeitet wird, die sich sowohl mit Technik als auch mit Didaktik auskennen und auch über die Methodenkompetenz des Online-Lernens verfügen. Wie gesagt, andere machen das bereits seit 2001 oder früher.

Und Methodenkompetenz heißt nicht, dass man Zoom, MS-Teams oder zig andere Tools kennt und es schafft, einem Gegenüber das eigene Konterfei zu zeigen. Damit kann jeder umgehen und sonst lernt man es schnell mit Hilfe von Youtube. Youtube hat ja die „Sendung mit der Maus“ abgelöst.

Onlineunterricht vs. Präsenzunterricht

Schaut man sich in Schulen und Unis mal etwas um, so fehlen genau diese Kompetenzen, um die Digitalisierung zu einem Erfolg zu bringen. Auch an Universitäten, die bereits in der Onlinelehre unterwegs sind, wundert man sich zuweilen über die teilweise überhaupt nicht vorhande Medienkompetenz. Da wird z.B. eine Kamera auf eine Tafel gerichtet, die Lehrende schreibt auf dieser Tafel, mit dem Rücken zur Kamera. Das ist eine tolle Interaktion mit den Schülern, nämlich gar keine. Natürlich gibt es auch viele sehr gute Beispiele. Trotzdem, das sind immer noch zu wenige. Auch scheint vielen Lehrkräften nicht klar zu sein, wo die Unterschiede zwischen Präsenzunterricht und Onlineunterricht liegen. Woher sollen sie das denn auch wissen? Ein kleines verständliches Beispiel von vielen:

Präsenzunterricht

Der Schüler schaut den Lehrer an, der Blick wandert zum Heft, weil er evtl. etwas mitschreibt, dann zu einem Mitschüler, der etwas sagt und zuweilen geht er auch aus dem Fenster. Vielleicht soll der Schüler auch mal an die Tafel* kommen, um dort etwas anzuschreiben. Das Auge justiert sich ständig neu auf die unterschiedlichen Abstände, Farben, Komplexitäten des Bildes u.ä. und auch der Körper ist beteiligt.

Onlineunterricht

Der Schüler sitzt vor seinem Endgerät, z.B. ein PC, und schaut den Lehrer an. Er versucht, gleichzeitig Bild und Sprache zu erfassen und auch mit dem gewählten Tool umzugehen. Je nachdem, welche Methoden der Lehrer online wählt, z.B. Powerpoint, sind die Augen immer gleich justiert. Je kleiner der Monitor, desto anstrengender ist das für die Schüler, und natürlich auch für den Lehrer. Zuweilen wird dazu aufgefordert auch noch digital mitzuschreiben, dann wird es ganz schwierig.

Man kann es sich leicht vorstellen und auch momentan selber erleben. Die Folge sind Konzentrationsstörungen, Kopfschmerzen, Verspannungen u.ä. Die Onlinezeiten von Kindern erhöhen sich um ein Vielfaches im Vergleich zu vorher.cheyenne-Blog * Digitalisierung in Schulen

Fazit: Einen Onlineunterricht kann man einfach nicht genauso durchführen wie einen Präsenzunterricht.

Natürlich haben Onlineangebote auch viele Vorteile, das ist unbenommen, nur ich denke, man muss sie an das Publikum, hier die Schüler, Altersgruppen und Lernziele anpassen.

Die Unterschiede zu erkennen, die technischen Möglichkeiten zu beherrschen, alle Schüler bei der Stange zu halten u.ä. bleibt nun an den Lehrern hängen. Ich stelle mir unter Digitalisierung in Schulen etwas anderes vor.

Trennung zwischen Technik und Unterricht

Kann man wirklich erwarten, dass Lehrer, die mit Digitalisierung einhergehenden Zusatzaufgaben selbstverständlich mit übernehmen und vor allem von selbst und jetzt sofort beherrschen? Ich denke nicht, dass man das erwarten kann. Hier ein paar generelle Punkte, die zu klären wären und die mir spontan aus unseren Digitalisierungsprojekten so in den Sinn kommen:

Generelles

  • Methodenkompetenz bei den Lehrern
  • Nutzen unterschiedlicher Methoden auch online, z.B. Filme, Abstimmungen, Bildschirmfreigaben hin und her, um die Schüler bei der Stange zu halten.
  • Motivationstechnik, Fortschrittsbalken, Selbstlerneinheiten etc.
  • Welche Fächer/Inhalte können auf welche Art digitalisiert werden?
  • Wer kann die Einrichtung der digitalen Inhalte übernehmen?
  • Welche Fächer können evtl. nicht digitalisiert werden?
  • Für welche Altersstufen ist wieviel Onlinezeit vertretbar, müssen auch andere Unterrichtszeiten in Erwägung gezogen werden?
  • Wie kann der Mehraufwand der Lehrer, viele unterschiedliche Lernarten vorzubereiten, aufgefangen werden?
  • Wie kann man gewährleisten, dass die Schüler zum Unterricht auch online sind, wenn z.B. die Eltern außer Haus sind?
  • Datenschutz, IT-Sicherheit etc.

Zu Hause bei den Schülern

  • Gibt es funktionierendes Internet?
  • Gibt es ein geeignetes Endgerät für jedes Kind, kann man das überhaupt von jeder Familie erwarten?
  • Ist ein störungsfreier Arbeitsplatz vorhanden?
  • Wieviele Kinder werden in einem Haushalt gleichzeitig digital beschult?
  • Wer hilft bei technischen Problemen?
  • Müssen/sollen einzelne Schüler vielleicht zu Freunden gehen, um dort teilzunehmen?
  • Wie kann man Lerngruppen koordinieren und einrichten?
  • Wie sollen die Kinder sich verhalten, wenn etwas nicht klappt?
  • Muss man über Prävention in Bezug auf körperliche Probleme nachdenken?

Technik generell (Schule, Lehrer, Schüler)

  • Welche Tools sollen genutzt werden?
  • Welche Endgeräte? Nur, weil der technikaffine Lehrer so gerne ein iPad hätte, ist das vielleicht nicht immer am geeignetsten –> Beispiel: Programmierunterricht, sofern vorhanden
  • Muss es evtl. einen Pool von Leihgeräten geben?
  • Gibt es IT-Support, wenn es zu Hause bei den Schülern nicht klappt?
  • Welche Speichermedien soll es geben?

Das sind nur ganz wenige Fragen, die sich aus meiner Erfahrung spontan stellen. Auch werden diese sicherlich in unterschiedlichen Schulen unterschiedliche Antworten ergeben, je nach Situation vor Ort.

Die Schulen, die ich kenne, haben momentan mitunter gar keine Zeit, sich mit einem solch aufwändigen Projekt wie der Digitalisierung in Schulen zu befassen. Sie sind hauptsächlich damit beschäftigt, ihre Hygienekonzepte an die immer wieder neuen Gegebenheiten anzupassen. Auch hier sind sie keine Profis und es sollte ihnen abgenommen werden, aber das ist ein anderes Thema.

Vielleicht können wir das Digitalisierungprojekt dieses Mal richtig machen, das wäre mein Wunsch. Andere Länder, z.B. in Skandinavien sind da sehr viel weiter als wir es sind. Passt meines Erachtens nicht zu dem vielgepriesenen Industriestandort Deutschland.

*Tafel = Synonym für alle Sorten von Tafeln, Digiboards, Whiteboards etc.

Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice