Kategorie: Datenschutz

Ob wir es wollen oder nicht, Künstliche Intelligenz (KI) hält Einzug in unsere Unternehmen. Fast alle namhaften Softwarehersteller wie Adobe, Microsoft und Salesforce integrieren KI-Funktionen in ihre Tools. Darüberhinaus gibt es natürlich eine Menge Stand-Alone KI-Tools die von den Mitarbeitern auch manchmal ohne unser Wissen genutzt werden. Wir müssen uns also mit dem Thema auseinandersetzen. Trotz der vielen Vorteile von KI müssen wir uns auch den Risiken bewusst sein.

Ich persönlich bin ja eher ein Spielkind und freue mich über jede neue technische Möglichkeit. Ich teste mit Begeisterung neue Tools und erlerne neue Fähigkeiten. Und ich lerne natürlich auch durch Gespräche mit meinen Kunden. Gemeinsam haben wir 3 Schritte erarbeitet, die es Unternehmen erleichtert, KI sinnvoll einzuführen.

Der erste Schritt besteht darin, eine Strategie zur Integration von künstlicher Intelligenz im Unternehmen zu formulieren. Ohne eine solche Strategie werden Mitarbeiter möglicherweise ohne Plan vorgehen und kostenlose oder Open-Source-KI-Tools nutzen.

Grundsätzlich sehe ich 3 Optionen:

A) Wir können entweder gar keine KI einsetzen,

B) sie sehr gezielt und maßvoll einsetzen oder

C) die Grenzen des Machbaren erweitern und jedes verfügbare Tool testen.

Und dann gibt es natürlich noch alles dazwischen. Ein Richtig oder Falsch gibt es hier nicht. Es stellt sich nur die Frage, wie lange eine Strategie umsetzbar ist. Wer sich heute komplett gegen KI entscheidet wird vielleicht morgen kein erfolgreiches Unternehmen mehr führen. Wer im Umkehrschluss jeden Trend mitmacht benötigt schon einen ziemlich großen Risikoappetit.

Ich vergleiche die Situation gerne mit dem Aufkommen der ersten Cloud-Anwendungen. Die Hersteller haben ganz gerne eine Cloud-First Strategy propagiert, Unternehmen haben aber oft nur langsam migriert und viele wollen das immer noch nicht. Ich vermute nur, dass wir diesmal einfach überrollt werden bzw. nicht so lange Zeit für eine Entscheidung haben, wie bei der Einführung von Cloud-Anwendungen.

Zweiter Schritt: Die Einführung von KI-Werkzeugen sollte ins Risikomanagement aufgenommen werden. Hierbei gibt es drei wesentliche Aspekte, bzw. Risikokategorien:

1. Risiken durch den Einsatz von KI gegen das Unternehmen: Beispiele hierfür sind echt klingende Phishing-Mails oder Hacker-Angriffe mithilfe von KI-gestützten Tools.
2. Risiken durch den Einsatz von KI im Unternehmen: Dazu zählen Datenschutzverletzungen bei der Verarbeitung personenbezogener Daten sowie Urheberrechtsverletzungen bei der Nutzung von generierten Inhalten. Aber auch die Verletzung der Vertraulichkeit eigener oder fremder Betriebsgeheimnisse.
3. Risiken beim eigenen Training oder Entwickeln von KI-Tools: Angriffsvektoren wie Prompt Poisoning oder ein unautorisiertes Verändern der Trainingsdaten sollten berücksichtigt werden. Darüber hinaus muss besonders hier die Gesetzgebung genau im Auge behalten werden, denn die KI-Verordnung und die KI-Haftungs-Verordnung werden kommen.

Der dritte Schritt ist die Integration von KI im Bereich Cybersecurity. Dies beinhaltet das Durchspielen von KI-gestützten Angriffsszenarien und die Einbindung der Tools in Schwachstellen- und Vorfallsmanagement. Dabei sollte auch beachtet werden, dass KI zur Verbesserung dieser Bereiche eingesetzt werden kann. Ich sehe hier tatsächlich mittelfristig einen “Krieg der KI” auf uns zukommen. KI gestützte Angriffe werden sich mit rein menschlichen Methoden nicht mehr abwehren lassen. Die Möglichkeiten, die KI und Machine Learning hier bieten, können den Schutz enorm erhöhen. Aber natürlich können KI-Tools auch Schwachstellen enthalten und müssen entsprechend überwacht werden und es kann zu Sicherheitsvorfällen kommen, die entsprechend bearbeitet werden können.

Zusammenfassend sollten Unternehmen eine klare Strategie formulieren, das Thema Künstliche Intelligenz ins Risikomanagement integrieren und es in alle Bereiche der Cybersecurity einbeziehen.

Ein funktionierendes ISMS, wie es viele unsere Kunden bereits betreiben, ist genau das richtige Vehikel um diesen Plan zu formulieren und umzusetzen.

Nachdem nun das Cookie-Urteil des BGH veröffentlicht wurde, sind einige offene Fragen beantwortet worden, gleichzeitig haben sich aber mit jeder beantworteten Frage gefühlt zwei neue aufgetan. Brauche ich einen Cookie Banner für meine Website? Was aber, wenn ich nur funktionelle Cookies setze? Ab wann gelten Cookies nicht mehr als funktionelle Cookies? Wie muss der Cookie Banner gestaltet sein, damit ich eine wirksame Einwilligung der User einhole und mich vor Bußgeldern schütze? Wie kann ich meine Website datenschutzkonform gestalten und dennoch möglichst hohe Einwilligungsraten erreichen, um meine Website noch besser den Bedürfnissen meiner Kunden anpassen zu können?

Sehen wir uns erst mal das neueste Urteil des BGH zu dem Thema an. Was hat der BGH gesagt, bzw. was hat er nicht gesagt?

„Cookie dürfen nur noch mit Einwilligung gesetzt werden“

FALSCH

Der BGH hat ebenso wenig wie der EuGH gesagt, dass sämtliche Cookies nur noch mit Einwilligung gesetzt werden dürfen. In der Entscheidung ging es lediglich um die Frage, ob eine Einwilligung, die mittels eines vorangekreuzten Kästchens eingeholt wurde, wirksam ist. Das hat der BGH mit Bezug auf das TMG (Telemediengesetz), welches richtlinienkonform auszulegen ist, ausdrücklich verneint. Wir können also festhalten: Wenn auf einer Website einwilligungsbedürftige Cookies gesetzt werden sollen, darf die Einwilligung nicht mittels eines vorangekreuzten Kästchens eingeholt werden, sondern der User muss eine echte und freie Wahl haben. 

Bezieht sich dieses Erfordernis auf alle Cookies? Nein, es geht hier um Cookies, die zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder der Marktforschung gesetzt werden. Dabei wird nicht unterschieden, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht.

Das heißt also, dass für funktionelle Cookies, die für den Betrieb der Website notwendig sind, keine Einwilligung des Users eingeholt werden muss. Das gesamte Urteil des BGH vom 28. Mai 2020 kann hier nachgelesen werden: https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868 .

Deshalb nun die wichtige Frage: Was sind funktionelle Cookies eigentlich? Welche Cookies fallen darunter?

Sehen wir uns an, was die Aufsichtsbehörden dazu sagen.

Auf der Website der Datenschutzaufsichtsbehörde Baden-Württemberg beispielweise wird gezeigt, dass man für Cookies, die keine seitenübergreifende Nachverfolgung des Users ermöglichen und zum Betrieb des Telemediendienstes notwendig sind, die also für wesentliche Funktionen zwingend erforderlich sind, häufig keine Einwilligung braucht. Als Beispiel wird die Warenkorb-Funktion genannt. 

Cookies, die den User seitenübergreifend tracken und die die Informationen vielleicht sogar an Dritte, möglicherweise auch ins Ausland transferieren (wie bei Google Analytics der Fall; solche Cookies werden im Folgenden als Tracking Cookie bezeichnet) bedürfen einer ausdrücklichen Zustimmung des Users (Nachzulesen unter https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/ ).

Auch das bayerische Landesamt für Datenschutzaufsicht sagt auf seiner Website ganz klar, dass für Dienste wie Google Analytics vor Verwendung die Einwilligung des Users eingeholt werden muss (nachzulesen unter https://www.lda.bayern.de/de/faq.html ).

Wir haben nun also in etwa abgesteckt, für welche Cookies eine Einwilligung eingeholt werden muss.

Nun kommt die nächste Hürde: Die Einwilligung so zu gestalten, sodass sie nach DSGVO wirksam ist und die Daten der User rechtmäßig verarbeitet werden dürfen. In Art. 4 Nr. 11 werden die Kriterien für eine wirksame Einwilligung im Sinne der DSGVO genannt. Die Einwilligung wird hier wie folgt definiert: „jede freiwillig, für den bestimmtem Fall, in informierter Weise und unmissverständliche abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist”.

In Art. 7 DSGVO werden ebenfalls Bedingungen für eine wirksame Einwilligung beschrieben. Dieser Artikel legt fest, dass der Verantwortliche nachweisen können muss, dass die betroffene Person eingewilligt hat (das ist bei Verwendung eines Consent Managers vorgesehen), dass die Einwilligung von anderen Sachverhalten klar getrennt sein muss und dass die betroffene Person jederzeit die Möglichkeit haben muss, ihre Einwilligung zu widerrufen, wobei der Widerruf genauso einfach sein muss wie es das Erteilen der Einwilligung war.

Erwägungsgrund 32 der DSGVO konkretisiert die Anforderung an eine wirksame Einwilligung dahingehend, dass Untätigkeit oder Stillschweigen der betroffenen Person keine wirksame Einwilligung darstellen sollen.

Was bedeutet das für die Praxis?

Die Einwilligung muss zunächst freiwillig erteilt werden, das heißt der User muss eine echte und freie Wahl haben, er darf also nicht in irgendeiner Form gezwungen werden, seine Einwilligung zu erteilen und muss die Möglichkeit haben, seine Einwilligung zu verweigern, ohne dass ihm daraus Nachteile entstehen.

Das bedeutet auch ein, dass eine wirksame Einwilligung nicht durch vorangekreuzte Kästchen eingeholt werden kann und auch ein Opt-out-Verfahren nicht zu einer wirksamen Einwilligung führt. 

Die Einwilligung muss außerdem für den konkreten Fall und informiert erfolgen. Sie darf also nicht mit anderen Inhalten gekoppelt werden und muss von etwaigen anderen Vertragsteilen und Sachverhalten klar abgegrenzt sein.

Weiter müssen dem User zum Zeitpunkt der Einholung der Einwilligung alle Informationen aus Art. 13 zur Verfügung gestellt werden.

Unzulässig sind somit alle Banner, die lediglich darauf hinweisen, dass auf der Website Cookie verwendet werden und dass sich der Benutzer durch Weitersurfen mit dem Setzen von Cookies einverstanden erklärt, denn so wird keine wirksame Einwilligung nach DSGVO eingeholt.

Außerdem muss darauf geachtet werden, dass der User seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dabei muss der Widerruf genauso einfach sein wie das Erteilen der Einwilligung. Hat der User also durch einen Klick seine Einwilligung gegeben, so muss der User genauso seine Einwilligung auch widerrufen können. 

Umsetzung in der Praxis

In der Praxis gibt es verschiedene Möglichkeiten, diese Anforderungen umzusetzen. Man kann den Cookie Banner entweder als Overlay einbinden oder etwas dezenter an den oberen und unteren Rand des Bildschirms. Vorteil des Overlays ist, dass sich der User auf jeden Fall aktiv entweder für oder gegen Cookies entscheiden muss und deshalb in den meisten Fällen die Einwilligungsraten höher sein werden.

Darin liegt auch gleichzeitigt der Nachteil, da es den Usern extrem auf den Cookie („Keks“) gehen kann. Surft ein User jedoch einfach weiter, ohne auf den dezenten Cookie Banner einzugehen, dürfen keine Trackingcookies gesetzt werden, da der User nicht aktiv eingewilligt hat. Bei jeder Alternative muss der Websitebetreiber darauf achten, dass durch den Cookie Banner weder das Impressum noch die Datenschutzhinweise verdeckt sein dürfen.

Für welche dieser Optionen man sich letztendlich entscheidet, muss jeder Websitebetreiber selbst für sich abwägen.

Grundsätzlich kann man den Cookie-Banner beispielsweise so gestalten, dass der User entweder alle Cookies akzeptieren kann oder in den weiteren Einstellungen seine Präferenzen festlegt.

Klickt der User auf Einstellungen, wird ihm ein zweites Fenster angezeigt, in welchem die Cookies nach Kategorien aufgelistet werden, z. B. funktionelle Cookies, Cookies für Marketingzwecke, Tracking-Cookies usw. Klickt der User auf „mehr Informationen“, werden ihm die einzelnen Cookies im Detail aufgelistet. Man kann den Banner so konfigurieren, dass der User entscheiden kann, welchen Cookies er zustimmt und welche er ablehnt. Sinnvoll ist außerdem ein Link zu den Datenschutzhinweisen, damit der User alle Informationen gemäß Art. 13 erhalten kann.

Wichtig ist hierbei, dass sämtliche Skripte unterbunden werden, bis der User eingewilligt hat und dass die Einwilligungskästchen nicht vorangekreuzt sind.

Entscheidet man sich dafür dem User die Möglichkeit zu geben, den Banner einfach weg zu klicken und der User nutzt diese Möglichkeit, so wurde keine Einwilligung in Trackingcookies erteilt und solche dürfen nicht gesetzt werden.

Dabei kann der Banner natürlich in das Marketingkonzept des Unternehmens eingebunden werden. Im Netz findet man durchaus kreative Lösungen, die den User dazu animieren, seine Einwilligung abzugeben, und dennoch gesetzeskonform sind. 

Fazit:

Für Cookies, die rein für den Betrieb der Website notwendig sind, muss nach wie vor keine Einwilligung eingeholt werden. Für Cookies dagegen, die den User seitenübergreifend tracken und/oder Daten an Dritte weitergeben, muss eine Einwilligung eingeholt werden. Als Beispiel für einwilligungsbedürftige Cookies nennen die Aufsichtsbehörden die Cookies von Google Analytics.

An die Einwilligung sind bestimmte Kriterien geknüpft: sie muss freiwillig erteilt werden, darf also nicht angenommen oder durch ein Opt-out Verfahren eingeholt werden. Zwingend notwendig ist ein Opt-in, wobei die Kästchen nicht voreingekreuzt sein müssen. Die Einwilligung darf auch nicht mit anderen Inhalten gekoppelt werden und muss genauso einfach zu widerrufen sein, wie sie erteilt wurde.

Durch den Banner dürfen Impressum und Datenschutzerklärung nicht verdeckt sein und der Verantwortliche muss dem User die Pflichtinformationen nach Art. 13 zur Verfügung stellen, zum Beispiel durch die Datenschutzhinweise auf der Website.

Die Welt braucht Standards und Normen. Auch wenn es kaum jemand zugeben will, ist es doch gut, wenn man sich darauf verlassen kann, dass Dinge einfach so sind wie sie sind, weil es mal jemand so festgelegt hat. Ich weiß, niemand möchte ein standardisiertes Leben führen und das ist auch gut so. Schließlich sind wir alle Individuen. Aber ganz so einfach ist es nicht. Unser Leben wäre nämlich unendlich komplizierter, wenn es keine Standards gäbe. Zeiteingaben, Steckdosen, Netzwerkverbindungen. Standards können das Leben leichter machen. Beim Datenschutz ist es ähnlich. Die Herangehensweise der Unternehmen an den Datenschutz variiert stark. Um bei einer Zusammenarbeit ein gemeinsames Verständnis zu erlangen bedarf es einer einheitlichen Grundlage. Die DSGVO sieht z.B. in Artikel 42 Zertifizierungsverfahren, Datenschutzsiegel- und prüfzeichen vor, “die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.” Hier wird eine Produkt- oder Prozesszertifizierung für Verarbeitungsvorgänge beschrieben. Sie kann dazu dienen Vertrauen zu schaffen, dass Daten entsprechend den Vorgaben der DSGVO verarbeitet werden.

Read More

Der Begriff “Managementsystem” ist aus vielen Bereichen der Unternehmensorganisation bereits bekannt. Es gibt Managementsysteme z. B. für Qualität (ISO 9001) oder Informationssicherheit (ISO 27001). Managementsystem bezeichnet dabei die Gesamtheit all dessen, was ein Unternehmen benötigt um einen Aspekt des Unternehmens zu steuern.

Zu einem Managementsystem gehören typischerweise:

Read More

Die DSGVO verfolgt zwei Ziele:

1. Den Menschen davor zu schützen, dass ihm durch die Verarbeitung seiner Daten Schaden entsteht.
2. Den freien Fluss personenbezogener Daten in der EU sicherstellen.

Um dieses Ziel zu gewährleisten definiert die DSGVO ein Gerüst aus Grundsätzen der Datenverarbeitung. Diese Grundsätze werden konkretisiert als Rechte betroffener Personen und Anforderungen, die derjenige zu erfüllen hat, der die Daten verarbeitet. Diese Anforderungen können inhaltlich, organisatorisch und technisch sein.

Read More

Der Datenschutz basiert auf dem Grundsatz der informationellen Selbstbestimmung. D. h. jeder Mensch muss selbst entscheiden können, was ein Anderer über ihn wissen darf und wie der Andere dieses Wissen nutzen darf. Daher legt Artikel 8 der Charta der Grundrechte der Europäischen Union fest, dass „jeder Mensch das Recht auf den Schutz sie betreffender Daten hat. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“

Read More