Die EU-Kommission arbeitet derzeit intensiv daran, mehrere Gesetze, die teils erst in jüngerer Vergangenheit erlassen wurden, abzuschwächen. Damit soll angeblich bürokratischer Aufwand für die Wirtschaft und Bürger reduziert werden. Faktisch schwächt dies aber auch die Rechte der Bürger.

Die Umsetzungsfristen der KI-Verordnung sollen bspw. nun dynamisch gelten und KI-Modelle sollen fortan einfacher mit personenbezogenen Daten trainiert werden dürfen. Die Maßnahmen sollen dazu beitragen, dass die EU in Sachen KI nicht weiter abgehängt wird.

Der Begriff der „personenbezogenen Daten“ soll im Gesetz definiert werden. Hier beruft sich der Gesetzgeber auf ein Urteil des EuGH. Jedoch werden einige - vom EuGH vorgegebenen - wichtigen Details, zur Beurteilung, ob ein Personenbezug vorliegt oder nicht, weggelassen.

Die Kommission möchte darüber hinaus die Betroffenenrechte für die Bürger einschränken. Anträge auf Auskunft, Berichtigung und Löschung sollen abgelehnt werden dürfen, sofern sie „missbräuchlich“ sind. Dies ist im Falle des Auskunftsrechts bereits jetzt möglich. Jedoch war bisher ein Auskunftsersuchen nicht rechtsmissbräuchlich, wenn mit der Auskunft andere, als Datenschutzzwecke verfolgt wurden. Dies soll sich mit der Gesetzesänderung ändern. Dies könnte aber dazu führen, dass Verantwortliche die Ansprüche mit fadenscheinigem Missbrauchsverdacht erst einmal vermehrt ablehnen.

Darüber hinaus soll die Schwelle, wann eine Datenschutzverletzung an die Datenschutzaufsichtsbehörden zu melden sind, erhöht werden. Demnach müssten nur noch Datenschutzverletzungen mit einem „hohen Risiko“ für die Rechte und Freiheiten der betroffenen Personen gemeldet werden.

Auch beim Thema Cookies soll sich etwas ändern. Einmal getätigte Ablehnung von Tracking-Cookies müssten sechs Monate lang gespeichert und in der Zeit nicht erneut abgefragt werden dürfen. Dies klingt erstmal gut, Experten beklagen jedoch, dass dies eher Chaos als Klarheit bringt.

Es bleibt abzuwarten, ob der EU Rat diese Vorschläge nun durchwinkt und ob Europa im Bereich KI durch die vermeintliche Entbürokratisierung aufholt.

Mit dem Registrierungsprozess für ein Google-Konto verstößt Microsoft Datenschutzrecht. Es fehlt an einer freiwilligen und informierten Entscheidung und Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung. Bei der sogenannten „Express-Personalisierung“ gibt es keine Möglichkeit die Einwilligung nicht zu erteilen. Auch bei der „manuellen Personalisierung“ kann die Nutzung personenbezogener Daten im Bereich „Personalisierte Werbung“ nicht vollständig abgewählt werden. Zudem gibt es keine transparente Auflistung der Dienste der Beklagten, in welche man einwilligen solle, ebensowenig wie eine Benennung der „Google-Websites“, „Google-Apps” oder „Google Partner“. Zudem nutzt Microsoft das sogenannte „Nudging“ um Verbraucher zu einer bestimmten Handlung hinzuleiten. Darüber hinaus wird das Wort „Personalisierung“ hier für die Zustimmung zur Datenverarbeitung verwendet. Unter Personalisierung versteht man aber im Allgemeinen etwas anderes (deceptive design pattern).

Nach Auffassung des EuGH muss jede Verarbeitung personenbezogener Daten u.a. im Einklang mit den in Art. 5 DSGVO aufgestellten Grundsätzen zur Verarbeitung solcher Daten stehen und die In Art. 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen (EuGH, Urteil vom 11.7.2024 — C-757/22, Rn. 49). Werden Nutzer nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert oder werden gar zu viele Daten erhoben, die für den angestrebten Zweck nicht erforderlich sind, wird gegen die Anforderungen an die Grundsätze der Datenverarbeitung verstoßen und die Rechte der Nutzer verletzt. So auch im Fall, der vor dem Landgericht Berlin II verhandelt wurde (Az. 15 O 472/22).

Auf absehbare Zeit kommt offenbar niemand mehr an ihr vorbei: Künstliche Intelligenz (KI) und die mit ihr verbundenen Chancen sind das Thema dieser Zeit. Schon seit längerem beobachten wir eine immer schnellere Entwicklung in IT-Technologien. Insbesondere im Bereich der aktuellen noch relativ einfachen Sprach-KI-Modelle sehen wir gerade eine rasante Entwicklung, die dazu führt, dass die Analyse der damit einhergehenden Risiken nicht mithalten kann. Daher ist es Zeit, einmal einen kurzen Blick auf das Risikopotential zu werfen und dieses vor dem Einsatz abzuwägen.

Die gegenwärtig angebotenen relativ einfachen Sprach-KI-Modelle werden je nach Einsatzzweck mit Informationen aus dem Internet und ggf. weiteren Quellen aufgebaut. Aus diesen Informationen entstehen die „Produkte“ dieser KI-Modelle. Das bedeutet, dass diese Systeme nicht wirklich selbst schöpferisch tätig sind, sondern vorhandenes Wissen und vorhandene Werke verwenden. Und hier wird es knifflig: Die verwendeten Informationen und Werke können Rechten unterworfen sein, über die uns die KI-Modelle nichts mitteilen.

Welche Rechte kann der Einsatz von KI verletzen?  

In erster Linie handelt es sich hierbei um Urheber- und Persönlichkeitsrechte. Je nach verwendeter Datenbasis können auch Geschäftsgeheimnisse oder einer gesetzlichen Verschwiegenheitspflicht unterliegende Informationen betroffen sein. Nun stellt sich die Frage, wer hier den Verstoß begeht, wenn derartig rechtlich geschützte Informationen dem Ergebnis der KI zugrunde liegen. Bisher wird davon ausgegangen, dass Verstöße dem Verwender zugerechnet werden müssen. Die KI – bzw. deren Entwickler – trägt also keine Verantwortung dafür. Wenn also durch die KI beispielsweise Fotos, Grafiken, Musikstücke oder Texte erstellt werden, müsste der Verwender prüfen, ob derartige Rechte daran bestehen. Dies ist momentan kaum möglich, da die KI ja keine Angaben zu den verwendeten Informationen beifügt. Aus diesem Grund haben sich im Moment zahlreiche Unternehmen und Organisationen gegen eine Verwendung dieser Systeme entschieden.

Es kommt auf den Anwendungsfall an

In „geschlossenen Systemen“ – also für einen konkreten internen Zweck und ohne Zugriff auf andere als die selbst bereitgestellten Daten aus dem Unternehmen – werden einfache KI-Systeme bereits seit einigen Jahren für die Lösung zahlreicher Aufgaben erprobt. Meist geht es dabei um Mustererkennung und eine sichere und schnelle Bearbeitung von Formularen, Bildern oder Texten, etc. Aber auch in diesem Fall ist zu beachten, dass bei Verwendung personenbezogener Daten (z.B. Fotos) die Persönlichkeitsrechte beachtet werden müssen. Das bedeutet, dass die datenschutzrechtlichen Anforderungen wie bei jedem anderen System zu erfüllen sind.

Die größte Herausforderung dürfte hier darin bestehen, dass die Anwender zunächst selbst das notwendige Verständnis für die Verarbeitungsschritte der KI erwerben müssen – obwohl die Hersteller diese Informationen nicht bereitstellen. Erst dann wären die Anwender in der Lage, die Transparenzpflichten der DSGVO gegenüber betroffenen Personen und Aufsichtsbehörden überhaupt erfüllen zu können.

Auch Sicherheitslücken und Angriffe auf Unternehmen mittels KI denkbar!

Auch Sicherheitslücken sind durch diese KI-Systeme denkbar. So kann der Schutz der Unternehmensdaten ggf. nicht gewährleistet werden, wenn eine solche KI einen Zugriff auf das Unternehmensnetz hat. Und ob eine KI nur bereitgestellt wird, um solche Zugriffe möglich zu machen oder Firmengeheimnisse auszuspähen, kann im Zweifel auch nur ein Cyber-Security Experte feststellen. Die Sicherheitslücke oder die Haftung bspw. für einen Urheberrechtsverstoß treffen das Unternehmen.

Das sind die Gründe, weshalb zahlreiche Unternehmen hier zunächst ein Verbot des Einsatzes dieser KI-Anwendungen ausgesprochen haben, bis hier die notwendigen sicheren Standards entwickelt worden sind. Es empfehlen sich daher klare Regelungen zum Einsatz von KI-Systemen, wie diese auch für jedes andere System gelten, zu treffen. Der gegenwärtige Hype sollte nicht zu Sicherheitslücken oder Haftungsrisiken führen.

Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.

Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht. Den BSI-Lagebericht finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Mit dem Bericht informiert der BSI jährlich über die Bedrohungslage im Cyberraum.

Werden bei einem Cyberangriff beispielsweise personenbezogenen Daten gestohlen, handelt es sich um einen Datenschutzvorfall. Ist die Sache schwerwiegend, könnte dies einen Vorfall darstellen, der nach Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden ist.

Dann könnten Sie auch verpflichtet sein, Betroffene gem. Art. 24 DSGVO zu informieren. Dies verursacht regelmäßig Image- und Umsatzprobleme beim Unternehmen.

Mithilfe des Berichts können Sie Schwachstellen in Ihrem Unternehmen ausfindig machen und Gegenmaßnahmen treffen, um Schäden möglichst gering zu halten.

Phishing

Im Januar diesen Jahres wurden E-Mails versendet, in der Verbraucher aufgefordert wurden Ihre "photoTAN-App" zu aktualisieren. Angeblich ist dieser Vorgang erforderlich, um die Funktionen der App weiterhin nutzen zu können. Für die Aktualisierung wird eine Frist von 48 Stunden vorgegeben, ansonsten werde die Nutzung der App „Funktionsstörungen“ aufweisen.

Hierbei handelt es sich um Phishing und sollte unbedingt unbeantwortet in den Spam-Ordner verschoben werden! Wenn Apps aktualisiert werden müssen, geschieht dies über die Stores, von denen sie installiert wurden (z.B. App Store, Play Store). Suchen Sie nur dort nach einem Update!

Phishing können Sie insbesondere an folgenden Kriterien erkennen:

• unpersönliche Anrede,
• Verlinkung innerhalb der E-Mail,
• unseriöse Absenderadresse,
• kurze Fristsetzung,
• Drohung 

Phishing-Unterarten

1. Smishing
   Kunstwort “Smishing” setzt sich aus den Begriffen SMS und Fishing zusammen
   Derzeit erhalten Verbraucher SMS von angeblichen Paketdiensten in denen es um die Zustellung eines Pakets geht. In der SMS ist ein Link enthalten, auf den Sie klicken sollen.  Sofern Sie den Link anklicken, könnten jedoch schädliche Anwendungen und SMS auf Ihr Telefon installiert werden, Massen-SMS versendet werden, persönliche Daten erschlichen und Geld abgezockt werden oder Sie in Abofallen locken.
   Haben Sie versehentlich den Link in der Nachricht angetippt, erlauben Sie keine Installation einer neuen App! ↩︎
2. Quishing
   Kunstwort “Quishing” setzt sich aus den Begriffen QR-Code und Fishing zusammen
   In der Stadt Hannover wurden an mehreren Parkautomaten Aufkleber mit QR-Codes beklebt, die vorgeben, vom Bezahlanbieter easypark zu sein.  Dabei wurden originale Hinweisschilder des Anbieters überklebt. Die gefälschten Aufkleber auf Anhieb zu erkennen ist schwer. Meist gelingt dies nur, wenn diese schief aufgeklebt wurden oder andere Schriftfelder sichtbar überklebt wurden.
   Scannt man diesen QR Code, führt dieser zu einer Webseite (easypark.live.), auf der man zunächst aufgefordert wird, die passende Parkzone zu wählen und die Parkzeit zu bestimmen. Wenn es an die Bezahlung geht, wird die Eingabe der Kreditkartendaten gefordert. Dies führt dazu, dass die Täter Kreditkartendaten der Verbraucher abgreifen und für missbräuchliche Zwecke einsetzen können.
   Der „echte“ Anbieter verweist nicht auf eine Webseite, sondern fordert die Bezahlung für die auf dem Schild angegebene Höchstparkdauer in einer App an.
   Zudem sollten Kurzlinks nach dem Scannen des Codes genau geprüft werden. ↩︎
3. Vishing
   Kunstwort “Vishing” setzt sich aus den Begriffen Voice und Fishing zusammen
   Die Opfer werden telefonisch von einem Mitarbeiter einer Bank angerufen. IN dem Gespräch erklärt der Bankmitarbeiter, dass es auf dem Konto des Opfers unberechtigte Abhebeversuche mit einer kopierten Girocard beziehungsweise EC-Karte gegeben hat oder der Bank eine Überweisung für das Ausland vorläge.
   Dem Opfer wird erzählt, dass sein Konto gesperrt wurde und man nun die originale Bankkatze und PIN benötige. Noch während des Gesprächs erscheint ein angekündigter Bote der angeblichen Bank und lässt sich die Karte aushändigen.
   Die Betrüger tätigen umgehend eine Verfügung mit der erhaltenen Bankkarte.
   Wichtig zu wissen ist, dass kein Bankinstitut oder eine Behörde am Telefon persönlichen Informationen insbesondere Kontodaten, Bankleitzahlen oder Kreditkartennummern erfragt. ↩︎

Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.

Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.

Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.

Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.

Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.

Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.

Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.

Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.

Seit Februar dieses Jahres ist die KI-Kompetenz für alle Personen verpflichtend, die KI-Systeme im Arbeitsalltag einsetzen.

Die notwendige KI-Kompetenz ist abhängig von den technischen Kenntnissen, Vorerfahrungen, die Ausbildung und Schulung der jeweiligen Person und den Einsatzbereich des KI-Systems und letztlich der Rolle des Arbeitgebers (Betreiber oder Anbieter von KI).

Mit dieser Kompetenz soll sichergestellt sein, dass die Anwender die Risiken der Nutzung von KI für sich selbst und für diejenigen verstehen, die vom Einsatz der KI betroffen sind. Demnach benötigen beispielsweise Anwender aus dem Bereich HR und IT-Sicherheit mehr Kompetenz als ihre Kollegen aus anderen Bereichen.

KI-Kompetenz beinhaltet ein grundlegendes Verständnis von Künstlicher Intelligenz sowie deren Chancen und Risiken. Darüber hinaus benötigt der Anwender ein grundlegendes Wissen über das Gesetz zur Künstlichen Intelligenz, das Datenschutzrecht und über die zusätzlichen Anforderungen weiterer betroffener Rechtsbereiche, wie dem Urheberrecht und dem Geschäftsgeheimnisgesetz.

Wie alle anderen Schulungen, die aus Compliance-Gründen erfolgen, kann für die Schulung zur KI-Kompetenz ein Schulungskonzept erstellt werden. Zunächst sollte das Basiswissen für alle vermittelt werden und später themen- bzw. tätigkeitsspezifischen Vertiefungen angeschlossen werden.

Erster Schritt ist die Identifikation von KI im Unternehmen. Viele bereits im Unternehmen seit Jahren verwendete Anwendungen (wie zum Beispiel Microsoft Office) werden durch KI erweitert. Danach sollte ermittelt werden, welche Risiken diese Anwendungen bergen; welche Mitarbeitenden direkt mit dem System arbeiten und welches Vorwissen diese Mitarbeitenden haben.

Neben den Schulungen sollte eine Richtlinie für den Umgang mit KI-Systemen erstellt werden, in denen Standards definiert werden und Vorgehensweisen und Verhaltensregeln für die Nutzung von KI sowie ein zentraler Ansprechpartner für Fragen rund um KI festgeschrieben werden.