Am 24.07.2024 hat das Bundeskabinett einen Gesetzesentwurf verabschiedet, der für viele Unternehmen erhöhte Investitionen in IT-Sicherheitsmaßnahmen verlangt. Damit setzt Deutschland die EU NIS 2 Direktive ( Directive (EU) 2022/2555) um. Sie wurde bereits Ende 2022 verabschiedet und verlangt die Umsetzung in nationales Recht bis zum 18. Oktober diesen Jahres.   

Während das bisherige IT-Sicherheitsgesetz vorwiegend größere Unternehmen im Scope hatte, können nun schon Firmen ab 50 Mitarbeitern und 10 Millionen € Umsatz unter das Gesetz fallen, vorausgesetzt sie sind in bestimmten Branchen tätig. Dazu zählen beispielsweise das Gesundheitswesen, die Chemie-Industrie sowie IT- und Telekommunikationsdienstleistungen. Dazu kommen noch viele öffentliche Einrichtungen. 

Neu sind die erhöhten Strafen bei Nicht-Compliance (bis zu 2% vom weltweiten Jahresumsatz) sowie die explizite Haftung von Geschäftsführungen.  

Auch wenn Investitionen in IT-Sicherheit bei der aktuell zunehmenden Bedrohungslage grundsätzlich zu begrüßen sind, so gibt es doch Kritik; sowohl an der EU Directive selbst, als auch dem deutschen Gesetzesentwurf, da mache Anforderungen interpretationsbedürftig sind. Auch die Frage, ob man als Unternehmen überhaupt unter das Gesetz fällt ist nicht immer leicht zu beantworten. 

Wir unterstützen Firmen bei der Implementierung angemessener IT-Sicherheitsmaßnahmen und bei der Implementierung von Information Security Management Systemen, mit denen die Anforderungen der neuen gesetzlichen Vorgaben abgedeckt werden können und die gleichzeitig einen guten Schutz gegen Cyber Angriffe gewährleisten. 

Der Beitrag Umsetzung der EU NIS 2 Directive erschien zuerst auf ACENT AG.

Der Einsatz Künstlicher Intelligenz („KI“) hat bereits viele Firmen erreicht. Manche sehen sie als Fluch, manche als Segen. Wie einst in Machu Picchu der Inkas, hängt derzeit die rechtliche Nebelwolke über dem Einsatz der neuen Technologie. Erste Stellschrauben, was Firmenlenker beachten sollten, liefert aber eine Checkliste der Hamburger Aufsichtsbehörde. Die haben wir uns angesehen – und für nicht schlecht befunden. 

Kein Gesetz und versauter Tag 

„Nervige Aufgaben können einem schon mal den Tag versauen“ – so der Volksmund. Kein Wunder also, dass sich Mitarbeiter nach Tools umsehen, die mal schnell die Tasks erledigen. Sei es das Protokoll des letzten Meetings, sei es die Power-Point-Präsentation für die Chefin oder sei es die Übersetzung eines Angebots. Die zahlreich im Web kostenfrei zugänglichen KI-Anwendungen verarbeiten natürlich auch personenbezogene Daten. Folglich gilt es insbesondere die Datenschutzgrundverordnung (DSGVO) und die deutschen Datenschutzgesetze (vornehmlich das Bundesdatenschutzgesetz – BDSG) einzuhalten. Hier wird es für Unternehmen, aber auch für Verbraucher, schwierig. Schließlich gibt es noch kein eigenes Gesetz. Die derzeit laufenden Verhandlungen für eine KI-Verordnung auf Ebene der Europäischen Union und somit auch für Deutschland helfen da nicht weiter – sie sind eben noch nicht in Kraft.  

Erster Anker – Checkliste der Aufsichtsbehörde Hamburg 

Der heutige rechtliche Stand gleicht für Nichtjuristen einer „Black-Box“. Das sollte aber keine Firma davon abhalten, sich mit den Tools zu befassen und sie zu nutzen. Einen ersten Anker für den Umgang mit KI im Unternehmen hat nunmehr die Aufsichtsbehörde für den Datenschutz in Hamburg in Form einer Checkliste geworfen. 

Ebenso wie jeder kompetenter Datenschutzberater immer wieder die Verabschiedung von Richtlinien empfiehlt, sieht auch die Aufsichtsbehörde als ersten Baustein die Festlegung von Standards für die Beschäftigten. Die Geschäftsführung sollte sich somit Gedanken machen, ob die Nutzung zulässig ist, welche Tools eingesetzt werden dürfen und was nicht in die Prompts (in die Befehle an die KI) eingegeben werden darf. Der Datenschutzbeauftragte, ob interner oder externer, ist dabei der wichtigste Ansprechpartner. Sind die Vorgaben formuliert, gilt folgendes: Kommunikation, Kommunikation, Kommunikation. Neben dem Intranet, Aushängen am „Schwarzen Brett“ und Schulungen zum Datenschutz haben sich dabei Team-Meetings in der Praxis als äußert zielführend erwiesen, in denen klar mitgeteilt wird, was geht und was nicht geht.  

Zwei absolute „No-Go´s“ – Eingabe personenbezogener Daten und von Geschäftsgeheimnissen 

Was ferner nicht in einer Richtlinie fehlen darf, ist die klare Ansage: Keine Eingabe personenbezogener Daten (So etwa: „Hallo, meine E-Mail-Adresse lautet: „meyer.müller.schulze @ unternehmenXYZ.de“). Essenziell in den Vorgaben ist des Weiteren die Wahrung von Geschäftsgeheimnissen. Dazu folgendes Beispiel: Herr Müller-Meier-Schulze vom Treasury Departement muss eine Präsentation zu den Quartalszahlen für den Vorstand erstellen. Er nutzt dafür beispielsweise ChatGPT und gibt bei den Prompts die tatsächlichen Finanzdaten ein. Das zweite „No-Go“ (auch wenn es nichts mit dem Schutz personenbezogener Daten zu tun hat). 

Datenschutzbeauftragter ist gefordert; Geschäftsführung aber auch 

Bei der Nutzung Künstlicher Intelligenz gibt es natürlich zahlreiche, weitere Aspekte des Datenschutzes zu beachten. Hier ist der Datenschutzbeauftragte am Zug. Er muss für sein Unternehmen die maßgeblichen Fakten analysieren, die Anforderungen für die Zulässigkeit formulieren und der Geschäftsführung mitteilen (das ist sein Job). Dann ist es an den Firmenlenkern zu handeln. Werden sie tätig, bestehen zwar immer noch Risiken beim Einsatz von KI. Die sind aber dann regelmäßig vertretbar. Und die Kunden werden es honorieren. Und die Mitarbeiter auch. 

Der Beitrag KI und Datenschutz im Unternehmen erschien zuerst auf ACENT AG.

Der Beitrag CIOs: Was heute für morgen wichtig ist  erschien zuerst auf ACENT AG.

Der Beitrag Wie KI und DSGVO zusammenfinden erschien zuerst auf ACENT AG.