Strenge Regeln für die Nutzung von KI in Personalabteilungen

Human-Resources-Abteilungen nutzen zunehmend Künstliche Intelligenz – auch für Überwachungs- und Bewerbungsprozesse. Nun wollen das Bundesarbeits- und das Innenministerium mit einem Gesetz klären, in welchen Fällen Arbeitgebende mit KI die Daten ihrer Beschäftigten auswerten dürfen.

 

Bitte fragen Sie uns, wenn Sie den Einsatz von KI in Ihren Einstellungsprozessen planen!

Quelle (u.a.) die Zeit und Golem.

Phisching Welle mit Hosteurope

Warnung vor Phishing-Welle: Der Hosting-Anbieter Host Europe und das LKA Niedersachsen informieren darüber, dass eine massive Phishing-Kampagne die Host-Europe-Kundschaft im Visier hat.

Dabei sind die Mails die der Kunde der Kölner Firma bekommt täuschend echt. Es empfiehlt sich hier z.B. die Zahlungsmethoden auf „Einzug“ zu stellen, da die Betrüger sich in Ihrer Mail auf eine fehlende Zahlung beziehen. Dies ist bei „Einzug“ schon einmal auszuschließen.

Quelle: (u.a.) Heise und das Landeskriminalamt Niedersachsen.

Passkey gehört die Zukunft

Passkeys sind eine sichere Login-Methode. Sie lassen sich unkompliziert einrichten, einfach anwenden und stellen damit eine empfehlenswerte Alternative zu Nutzernamen-Passwort-Kombinationen und zur ergänzenden Zwei-Faktor-Authentisierung dar. Doch eine aktuelle Befragung des BSI zur Bekanntheit und Akzeptanz von Passkeys zeigt: Obwohl das Verfahren bei 72 Prozent der Nutzenden ein hohes Vertrauen genießt und insgesamt sehr positiv gesehen wird, verwendet lediglich ein Fünftel der Befragten die Login-Methode.

Zur Pressemitteilung des BSI

 

Quelle: „BSI“

Neue Betrugsmasche „Quisching“

Warnung vor Quishing: Die Polizei warnt aktuell vor dem sogenannten Quishing. Bei dieser Betrugsmasche kommen QR-Codes zum Einsatz, die beispielsweise per Briefpost versendet werden. Wer den QR-Code scannt, um zum Beispiel die persönlichen Daten zu aktualisieren, wird auf eine gefälschte Webseite geleitet. Die dort eingegebenen Daten fallen Cyberkriminellen in die Hände.

Quelle (u.a.) die Kölner Polizei

Folgen der Counterstrikepanne

Das BSI und der Digitalverband Bitkom haben in einer gemeinsamen Befragung von über 300 betroffenen Unternehmen die Folgen der Crowdstrike-Panne vom 19. Juli 2024 untersucht. Die Erhebung ist nicht repräsentativ, gibt aber ein Stimmungsbild: Knapp die Hälfte der direkt oder indirekt betroffenen Unternehmen musste vorübergehend den Betrieb einstellen. Im Schnitt dauerte es zwei Tage, bis die Störungen vollständig behoben waren. Ein Fünftel der direkt betroffenen Unternehmen litt aber drei Tage oder länger unter den Folgen. Zwei Drittel wollen angesichts der Crowdstrike-Panne einen IT-Notfallplan entwickeln bzw. den bestehenden nachbessern oder haben das bereits getan. BSI-Präsidentin Claudia Plattner unterstreicht die Relevanz solcher Maßnahmen: „Die vorliegenden Umfrageergebnisse zeigen, dass eingeübte IT-Notfallkonzepte wichtiger Bestandteil jeder Krisenvorsorge sein müssen!“

 

Quelle: „BSI“

Datenleck bei Lufthansa

Nutzende konnten im April 2024 via Website und App kurzzeitig auf die Buchungsdaten fremder Fluggäste zugreifen. Auch die Airlines Air Dolomiti und Swiss waren betroffen. Die Fehlkonfiguration wurde zwar rasch behoben – doch im Fall der Air Dolomiti wurden die Daten durch Apples KI-Assistent Siri fälschlicherweise in fremde Kalender-Apps importiert. Vereinzelt tauchten unbekannte Buchungen inklusive der damit verbundenen Daten auch Wochen später noch in den Kalendern von anderen Nutzenden auf, obwohl die Lufthansa das Datenleck längst geschlossen hatte.

 

Quelle: BSI

KI ermöglicht Phishing in nie dagewesener Qualität

Der Umfang, die Geschwindigkeit und Schlagkraft von Angriffen im digitalen Raum nehmen durch Künstliche Intelligenz (KI) zu: Mittels KI lassen sich spielend leicht hochwertige Phishing-Nachrichten erstellen. Sprachmodelle sind bereits heute in der Lage, einfache Schadprogramme zu schreiben. Und KI kann weitere Teile eines Cyberangriffs automatisieren. Doch auch die Cyberabwehr profitiert von der Technologie, etwa bei der Codegenerierung, bei der Analyse von Quellcode auf Schwachstellen, bei der Detektion von Malware oder bei der Erstellung von Lagebildern zur Abwehr von Cyberbedrohungen.

Einen Überblick über die Chancen und Risiken von KI in Sachen Cybersicherheit hat das BSI im Rahmen eines aktuellen Forschungsbeitrags untersucht.

Sie möchten mehr über den Einsatz, das Training und die Schwachstellen von KI erfahren?

Fragen Sie uns nach einem unverbindlichen Beratungstermin

Quelle: BSI

 

Cyberangriffe auf Gesundheitseinrichtungen

Kliniken, Arztpraxen und andere medizinische Einrichtungen geraten immer wieder ins Visier von Hackern. Aktuell sind die Universitätsmedizin Mainz, die Zentrale der Katholischen Jugendfürsorge der Diözese Augsburg (KJF Augsburg) sowie die Kassenärztliche Vereinigung Hessen (KVH) betroffen. Im Fall Mainz wurden E-Mail-Adressen von 280.000 Personen erbeutet und im Darknet veröffentlicht. In Augsburg sind nach einem illegalen Zugriff auf Teile der IT-Infrastruktur u.a. Personal-, Finanz-, Patienten- und Gesundheitsdaten von 18 zugehörigen und drei ehemals zur KJF gehörenden Einrichtungen und Kliniken abgegriffen worden.

Bei der KVH wurden Heise online zufolge im Rahmen eines Phishing-Angriffs die E-Mails eines Mitarbeitenden aus dem Beratungscenter entwendet.

Der Fall der Kassenärztlichen Vereinigung Hessen zeigt, wie Angreifende den „Faktor Mensch“ als schwächstes Glied der Sicherheitskette ausnutzen. Hier erfahrt ihr mehr zum sogenannten Social Engineering.

 

Quelle: BSI

Abschaffung von NetzDG und TMG

Abschaffung von NetzDG und TMG – Einführung des Digitale-Dienste-Gesetzes (DDG)

Das bislang geltende NetzDG und das Telemediengesetz werden abgeschafft und ersetzt durch das Gesetz über digitale Dienste (kurz DDG). Hiermit setzt die Bundesregierung eine Vorgabe der EU um, um mit dem neuen Gesetz ein einheitliches gemeinsames Regelwerk für die gesamte Europäische Union einzuführen. Das neue DDG tritt ab dem 17. Februar 2024 in allen EU-Staaten in Kraft.

Was soll durch das neue Digitale-Dienste-Gesetz (DDG) erreicht werden?

Durch ein neues Digitale-Dienste-Gesetz sollen die rechtlichen Vorgaben für Internetplattformen einheitlicher geregelt werden. Ziel ist es, Provider mehr in die Verantwortung zu nehmen, ein höheres Maß an Transparenz zu schaffen und die Rechte von Nutzern und Nutzerinnen zu stärken.

Für wen gilt das Digitale-Dienste-Gesetz (DDG)?

Das neue Digitale-Dienste-Gesetz (DDG) besteht aus 31 Paragrafen und gilt “für alle Anbieter digitaler Dienste“. Darunter versteht man “jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Hierunter fallen beispielsweise Hosting-Dienste wie Cloud- und Webhosting, Online-Marktplätze, App-Stores oder auch Social-Media-Plattformen.

Sonderregelungen gelten für “sehr große Online-Plattformen” oder “sehr große Online-Suchmaschinen“, da diese ein besonderes Risiko für die Verbreitung illegaler Inhalte und für Schäden in der Gesellschaft darstellen.

Der Umfang der Pflichten für den jeweiligen Diensteanbieter gestaltet sich demnach abhängig von der Größe, Rolle und den Auswirkungen im Online-Umfeld.  Die neuen Regelungen gelten ab Februar 2024.

Was sind die wichtigsten Änderungen im DDG?

Erweiterung des Kreises der Anspruchsadressaten

Gemäß DDS wird “der Kreis der Anspruchsadressaten auf sämtliche digitale Dienste erweitert, die von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermitteln oder den Zugang zu einem Kommunikationsnetz vermitteln”. Dies hat zur Folge, dass Netzsperren bei allen Access-Providern künftig möglich sein können.

Meldung von Rechtsverletzungen

Gemäß § 7 DDG kann bei Urheberrechtsverletzungen der Rechteinhaber vom Diensteanbieter “die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern”.

Abmahngebühren werden nur dann fällig, wenn der Internetdienst bewusst mit den Personen zusammenarbeitet, die das Urheberrecht verletzt haben. Das soll sicherstellen, dass die Dienste nicht mit denjenigen zusammenarbeiten, die illegal Inhalte teilen.

Änderungen der zuständigen Behörde

Statt des Bundesamtes für Justiz (BfJ) übernimmt nun bei Meldungen zu Verstößen eine “Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur” die Kontrolle der Einhaltung der gesetzlichen Vorgaben. Sollte es sich jedoch um Straftaten handeln, die eine Gefahr Leib oder Leben einer Person/Personen darstellen, ist die Zuständigkeit des Bundeskriminalamts (BKA) gegeben.

Keine Löschfrist mehr bei offensichtlich rechtswidrigen Inhalten

Anbieter eines Internetauftritts sind nun nur noch dazu verpflichtet, “zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen” zu entscheiden.

Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar

Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.

Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer heute veröffentlichen Warnung zur Verfügung.

Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen.

Dazu sagt Claudia Plattner, Präsidentin des BSI: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“

Rund 45.000 Microsoft-Exchange-Server in Deutschland sind derzeit ohne Beschränkungen aus dem Internet erreichbar. Nach aktuellen Erkenntnissen des BSI sind etwa zwölf Prozent davon so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden. Rund 25 Prozent aller Server werden zwar mit aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. In beiden Fällen sind die Server für mehrere kritische Schwachstellen anfällig. Damit sind mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar.

Für weitere 48 Prozent der Exchange-Server kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden. Diese Systeme sind noch verwundbar, sofern die Betreiber nicht die seit August 2022 zur Verfügung stehende Extended Protection aktiviert oder andere Schutzmaßnahmen getroffen haben. Inwieweit dies zutrifft, können nur die jeweiligen Betreiber beurteilen.

Darüber hinaus besteht eine weitere Schwachstelle in Microsoft Exchange, für die jüngst Sicherheitsupdates zur Verfügung gestellt wurden. Werden diese Updates nicht eingespielt, erhöht sich die Bedrohungslage weiter. Das CERT-Bund des BSI informiert Netzbetreiber in Deutschland bereits seit längerer Zeit tagesaktuell automatisiert per E-Mail zu IP-Adressen in ihren Netzen, unter denen sich bekannte verwundbare Exchange-Server befinden.

 

(C) Quelle BSI

ChatGPT-Texte: Wer besitzt die Rechte und wie kann ChatGPT Ihnen helfen?

ChatGPT hat zweifellos die Art und Weise verändert, wie wir mit KI-Technologie interagieren. Doch wer besitzt eigentlich die Rechte an den von ChatGPT generierten Texten?

Chat GPT selbst gibt folgende Antwort auf diese Frage:

„Als Entwickler von ChatGPT und führender Anbieter von KI-Technologie ist es uns wichtig, klarzustellen, dass die Rechte an den von ChatGPT generierten Texten bei den Nutzern liegen, die den Text eingeben oder verwenden. Wir respektieren das geistige Eigentum unserer Nutzer und behandeln die von ihnen eingegebenen Texte entsprechend.

Wenn Sie jedoch spezielle Texte benötigen, die auf Ihre Bedürfnisse zugeschnitten sind, können wir Ihnen helfen. Unser Team von erfahrenen Autoren und KI-Experten kann maßgeschneiderte Texte für Ihre spezifischen Anforderungen erstellen. Von Marketinginhalten über Produktbeschreibungen bis hin zu Blogbeiträgen – wir können Ihnen hochwertige Texte liefern, die genau auf Ihr Unternehmen zugeschnitten sind.“

Doch auch diese zugeschnittenen Texte sind Fragmente von vorhandenen Dokumenten. Wie sieht hier also das Urheberrecht aus?

Hierzu sagt ChatGPT:

Die Urheberrechte an den Texten, die von ChatGPT generiert werden, gehören in der Regel demjenigen, der den Text eingegeben oder erstellt hat. Dies bedeutet, dass die Person oder das Unternehmen, das den Text eingibt oder die Eingabeaufforderung bereitstellt, die Urheberrechte an dem generierten Text besitzt.

Es ist wichtig zu beachten, dass dies nur für die spezifischen Texte gilt, die von Benutzern in ChatGPT eingegeben werden, und nicht für den zugrunde liegenden Algorithmus oder die Software selbst. Die Rechte an der ChatGPT-Software gehören in der Regel dem Unternehmen oder der Organisation, die die Software entwickelt hat.

Es ist ratsam, die Nutzungsbedingungen und Datenschutzrichtlinien der ChatGPT-Plattform zu überprüfen, um sicherzustellen, dass Sie die Rechte und Einschränkungen im Zusammenhang mit der Verwendung von generierten Texten verstehen. In vielen Fällen kann die Plattform bestimmte Nutzungsrechte an den generierten Texten beanspruchen, aber im Allgemeinen behalten die Benutzer die Urheberrechte an den von ihnen eingegebenen Inhalten.

„Betroffen“ von der „Network and Information Security“-Richtlinie?

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.

Die NIS-2 Richtlinie gilt ab Oktober 2024. Sie ersetzt die NIS Direktive von 2016 und zielt auf ein gemeinsames und einheitliches Cybersicherheitsniveau ab.

Wer ist von der NIS-2 Richtline und der Umsetzung „betroffen“?

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Hier finden Sie die ganze Novelle als PDF

Zertifikate, Zertifikate, Zertifikate! Welches denn nun?

Auch hier gilt: Verschlüsselung ist ein „MUSS“. Die Entscheidung liegt nun bei bezahltem oder kostenfreiem Zertifikat. Kostenlose SSL-Zertifikate nutzen die gleichen Verschlüsselungsalgorithmen wie kostenpflichtige Zertifikate, um die verschlüsselten Daten zu übertragen. Die digitale Signatur besteht meist aus einer ebenfalls sicheren 4096-Bit-RSA-Schlüssel. Allerdings sind bei den kostenfreien Zertifikaten meist nur Domain-validierte SSL-Zertifikate kostenlos. Eine Überprüfung des Unternehmens ist somit nicht möglich. Bei bezahlten SSL-Zertifikaten prüft der Herausgeber die Antragsteller detaillierter. Beispielsweise rufen Mitarbeitende das Unternehmen an oder schauen sich die Einträge im Handelsregister an. Das hilft, Betrüger zu erkennen. Kostenlose SSL-Zertifikate haben dagegen gelegentlich auch Hacker erhalten. Darunter kann die Glaubwürdigkeit leiden. Das wäre der einzige Grund, warum ich ein bezahltes Zertifikat empfehlen würde.

Die DSGVO sagt dazu:

Art. 32 DSGVO Sicherheit der Verarbeitung

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
  3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
  4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Da gibt es also keine konkrete Aussage – wer hätte es gedacht.

Der BSI konkretisiert es  zwar aber schließt m.E. die kostenfreien  nicht aus:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

KI im Datenschutz – Analyse mit KI datenschutztechnisch relevant?

Aber JA!

Wir müssen uns der Bedeutung von KI in verschiedenen Bereichen des Lebens bewußt sein.

So kann KI, ohne dass es unsere Absicht ist, ein Scoring-ähnliches Ergebnis liefern. Z.B. bei der Verkehrüberwachung in den kommenden „Smart Cities“ im Bereich von Gefahren- und Kriminalitätsprevention Personen „kategorisieren“ und damit eine Bewertung durchführen.

Die EU hat sich im Dezember letzten Jahres auf die weltweit ersten Regeln für den Einsatz von Künstlicher Intelligenz geeinigt – den AI Act. Während die Mitgliedsstaaten des EU-Rats versucht hatten, insbesondere bei der Videoüberwachung, möglichst weitgehende Überwachungsmechanismen durchzusetzen, hielt das EU-Parlament lange an seiner bürgerrechtsfreundlicheren Position fest. Ein Kompromiss war die logische Konsequenz. Es bleibt abzuwarten, ob der AI Act letzten Endes tatsächlich zu einer angemessenen und einheitlichen Balance zwischen Sicherheit, Innovation und Grundrechten sowie der Stärkung von Betroffenenrechten beiträgt.

Werbe Email ohne Einwilligung – Nein danke

Und täglich grüßt das Murmeltier. Immer noch versenden Unternehmen unter dem Deckmantel des Umweltschutzes Werbe Emails ohne die Einwilligung des Kunden. Die Argumentation, dass es ja überhaupt nicht mehr möglich sei Werbung beim Kunden zu betreiben, ist hier nicht tauglich.

Dann zur Vermeidung einer E-Mail-Flut an belästigender Werbung i.S.d. § 7 UWG muss vor dem Versand einer Werbe-E-Mail eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt werden. Um eine Einwilligung rechtssicher zu generieren, muss diese im Double-Opt-in eingeholt werden und die Anforderungen an eine informierte Einwilligung gewahrt werden.

Auch hier kann die Kommunikation mit den Kunden und damit Betroffenen helfen. Ein nettes Telefongespräch kann ja beiläufig in der Frage münden, ob man schon von der ein oder anderen Neuerung gehört hat. Bei Verneinung ist ein Hinweis auf Newsletter oder Werbung erlaubt.

Anmelden muss sich der Kunde aber noch selbst!

Keine Reaktion ist auch eine Reaktion

Einem Betroffenenbegehr nicht oder zu spät Folge zu leisten ist selten eine gute Idee. Die „Vogel-Strauss-Methode“ sollte man sich hier verkneiffen, offen und kooperativ auf den Betroffenen und seine Anfrage reagieren.

Auch hier gab es in der Vergangenheit schon empfindliche Strafen, wenn die Betroffenenrechte nicht anerkannt, beantwortet oder bearbeitet wurden.

Ein Guter Stil im Unternehmen zeigt sich auch in der Kommunikationskultur und hilft auch wogen zu glätten.

Werbecookies und immer wieder Werbecookies

Ein Werbecookie allein, macht noch keine Einwilligung. Das Banner aufpoppen zu lassen und sich ohne weitere Erläuterung zunächst mal pauschal alles auf ausgewählt zu setzen reicht nicht aus, um den gesetzlichen Anforderungen genüge zu tun.

Bei der Einwilligung ist unter Anderem die Freiwilligkeit maßgebend. Und wenn ich bei einem Cookiebanner keine Auswahl auf direktem Wege bekomme kann das die Aufsichtsbehörde empfindlich ahnden. Denn nach der DSGVO liegt es in der rechtlichen Verantwortung der Eigentümer und Betreiber von Websites, sicherzustellen, dass personenbezogene Daten rechtmäßig erhoben und verarbeitet werden.

So muss auch die Änderung der Einwilligung sowie die Information über die Betroffenenrechte gegeben sein. Also Info, Info, Info und Änderungsmöglichkeiten sowie Transparenz machen ein gutes Werbecookie aus.

Videoüberwachung unzulässig bei Leistungs- und Verhaltenskontrollen

Eine Videoüberwachung kann empfindliche Strafen nach sich ziehen, wenn diese zur Leistungs- und Verhaltenskontrolle genutzt wird.

Addiert man dann noch eine Priese Scoring (z.b. die Zeit der Verarbeitung eines Arbeitsschritts oder die Ermittlung durchschnittlicher Durchlaufzeiten von Artikeln bei einem Mitarbeiter) hinzufügt, kann das ganz schnell mal eine 2-Stellige Millionensumme kosten.Je nach Jahresumsatz der betroffenen Firma.

Wir reden hier über Verstöße  gegen Art. 5 Abs. 1 lit. c, Art. 6, Art. 12, Art. 13, Art. 32 DSGVO

Die Aufsichtsbehörden überprüfen hier immer genauer. Bei Videoüberwachung sollte also die Auswahl der Erwägungsgründe genau überdacht werden. Mit einem „persönlichen“ Interesse kommen Sie in der Diskussion bei Verstößen maximal bis zum „Guten morgen“

Seiten gehen online

Willkommen bei Deine-Datenschützer.de Hier finden Sie in Zukunft die neuesten Informationen zur Beachtung von DSGVO-EU Themen, sowie Zertifizierungen, Infos rund um Sicherheitsthemen und natürlich unseren DSGVO-Podcast.