Kategorie: Datenschutz

Jeder Unternehmer muss sich irgendwann mit der Frage nach den technisch und organisatorischen Fragen auseinandersetzen (kurz TOM), denn diese sind unerlässlich, wenn man personenbezogene Daten vor unbefugter Offenlegung, Veränderung oder Verlust schützen möchte.

Was sind technisch und organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen (TOM) sind Sicherheitsvorkehrungen, die gemäß der Datenschutzgrundverordnung (Art. 32 DS-GVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)) ergriffen werden müssen, um den Schutz von personenbezogenen Daten gewährleisten zu können. Von diesem Oberbegriff sind sowohl technische als auch organisatorische Maßnahmen umfasst. Durch die Umsetzung von technisch und organisatorischen Maßnahmen sollen folgende Ziele erreicht werden:

• Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang bei der Datenverarbeitung
• Rasche Wiederherstellung der Daten und Zugänge, falls es zu einem physischen oder technischen Zwischenfall kommt

Durch die Umsetzung von technischen und organisatorischen Maßnahmen stellen Sie sicher, datenschutzkonform zu arbeiten. Zudem vermeiden Sie das Risiko von Bußgeldern, denen Sie unweigerlich ausgesetzt sind, sollte es zu einen Datenschutzvorfall kommen und sie keine der in der DS-GVO genannten Vorgaben umgesetzt haben.

Technische Maßnahmen

Doch was versteht man unter technischen Maßnahmen? Im Folgendem zeigen wir Ihnen einige Beispiele für technische Maßnahmen, die Sie entsprechend der DS-GVO umsetzen sollten:

• Zutrittskontrolle: regeln Sie den physischen Zugang zu Ihren Räumlichkeiten, in denen Sie personenbezogene Daten verarbeiten, z.B. durch die Einrichtung von Zugangskontrollsystemen.
• Zugangskontrolle: Vermeiden Sie den unbefugten Zugriff durch Dritte, indem Sie sichere Passwörter verwenden, und eine Authentifizierung der Nutzer einrichten. Hierbei ist die Erstellung eines Berechtigungskonzeptes unerlässlich.
• Zugriffskontrolle: Beschränken Sie den Zugriff auf personenbezogene Daten auf autorisierte Personen. Legen Sie Berechtigungen, Rollen und Zugriffsrechte genau fest und pflegen Sie dies in Ihrem Berechtigungskonzept mit ein.
• Weitergabekontrolle: Legen Sie genau fest, wie personenbezogene Daten innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. Bedienen Sie sich hierfür z.B. einer sicheren Verschlüsselungsmethode und nutzen Sie sichere Übertragungsprotokolle
• Eingabekontrolle: Eingabekontrolle bedeutet, dass Sie die Eingaben von Benutzern überprüfen, um sicherzustellen, dass diese korrekt sind.
• Auftragskontrolle: schließen Sie mit externen Dienstleistern, die für Sie personenbezogene Daten verarbeiten, einen Auftragsverarbeitungsvertrag und überprüfen Sie ob auch beim Dienstleister entsprechende Kontrollmechanismen existieren.

Die Auswahl der geeigneten Maßnahmen, hängt letztendlich von der Art der Datenverarbeitung und den individuellen Gegebenheiten in Ihrem Unternehmen ab.

Organisatorische Maßnahmen

Bei organisatorischen Maßnahmen handelt es sich um nichttechnische Vorkehrungen, um die Datensicherheit zu gewährleisten. Diese betreffen in der Regel Abläufe und Personen im eigenen Unternehmen. Zur besseren Veranschaulichung sollen auch hier einige Beispiele genannt werden, wie Sie organisatorische Maßnahmen in Ihrem Unternehmen umsetzen können:

• Protokollierung von Besuchern: Erfassen Sie, wer Ihre Räumlichkeiten betritt oder Zugriff auf Ihre Systeme hat.
• Verpflichtung der Beschäftigten auf das Datengeheimnis: Verpflichten Sie Ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses, falls Sie dies nicht bereits im Arbeitsvertrag geregelt haben sollten. Aber auch in diesem Fall schadet es nicht im Rahmen von regelmäßigen Schulungen zum Thema Datenschutz auch hierauf nochmals hinzuweisen.
• Bereitstellung von Datenschutzhinweisen: Teilen Sie z.B. Nutzern Ihrer Webseite in Ihrer Datenschutzinformation mit, welche externen Dienstleister Sie zur Datenerfassung nutzen. Falls Sie eine Videoüberwachung im Einsatz haben, sollten Sie sicherstellen, dass entsprechende Hinweisschilder angebracht worden usw.
• Bearbeitung von Anfragen Betroffener: Integrieren Sie Prozesse, beispielsweise, wie man auf Datenschutzanfragen (z.B. Auskunftsanfragen) reagieren sollte.
• Notfallmanagement für Datenpannen: Auch hier bietet es sich an, einen klaren Prozessablauf festzulegen und Mitarbeiter darin zu unterweisen, wie Sie in einem solchen Fall reagieren müssen.
• Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.

Was versteht man unter dem Stand der Technik?

Doch was ist eigentlich damit gemeint, wenn diese Maßnahmen dem Stand der Technik entsprechen sollen? Mit Stand der Technik, versucht der Gesetzgeber den aktuellen Entwicklungsstand von Technik, bzw. Technologien und Verfahren gerecht zu werden.

Das bedeutet, dass technisch und organisatorische Maßnahmen laut DS-GVO dem aktuellen Wissens- und Technologieniveau entsprechen sollten. Hierbei bezieht sich der Stand der Technik in der Regel auf bewährte Verfahren, Sicherheitsstandards und aktuelle Entwicklungen in der IT-Sicherheit. Technische und organisatorische Maßnahmen sollten also nicht deutlich veraltet sein, sondern sollten den besten verfügbaren Schutz bieten, um personenbezogene Daten vor unbefugten Zugriffen, Verlust oder Missbrauch zu schützen.

Weitere Informationen zum Thema „Stand der Technik“ finden sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter folgendem Link: BSI – Stand der Technik umsetzen (bund.de)

Sind TOM für ein Unternehmen verpflichtend?

Ja, technisch und organisatorische Maßnahmen sind für Unternehmen verpflichtend, um den Datenschutz gemäß der DS-GVO sicherzustellen zu können. Sie sollen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch schützen. Welche Maßnahmen Sie konkret in Ihrem Unternehmen umsetzen sollten, hängt davon ab, welche Art der Datenverarbeitung Sie vornehmen und welche individuellen Gegebenheiten vorliegen. Wir empfehlen Ihnen hierzu einen Datenschutzberater oder einen Rechtsberater zur Rate zu ziehen. Dies können Ihnen dabei helfen, die richtigen Maßnahmen für Ihr Unternehmen auszuwählen und umzusetzen.

Wer braucht TOM?

Technisch und organisatorische Maßnahmen sind für alle Organisationen verpflichtend, die personenbezogene Daten verarbeiten. Dazu gehören Unternehmen, Behörden, gemeinnützige Organisationen und auch Selbstständige. Unabhängig von der Größe oder Branche müssen alle sicherstellen, dass ihre TOMs dem aktuellen Stand der Technik entsprechen und den Datenschutz gewährleisten.

Wer erstellt die TOM?

Technisch und organisatorischen Maßnahmen werden in der Regel intern von der Organisation selbst erstellt. Zuständig dafür sind in der Regel der Datenschutzbeauftragte, IT-Sicherheitsexperten sowie der Verantwortliche selbst. Diese Fachleute analysieren die spezifischen Anforderungen der Organisation, bewerten Risiken und implementieren geeignete Maßnahmen, um ein datenschutzkonformes Arbeiten im Unternehmen sicherzustellen.

Regelmäßige Überprüfung und Aktualisierung von TOMs

Doch ist es damit getan die technisch und organisatorischen Maßnahmen einmal zu prüfen und dann hat man seine Schuldigkeit getan? Die Antwort hierauf lautet leider nein. Neben den Schutzzielen ist in Art. 32 Abs. 1 lit. d DSGVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)  zusätzlich ein Verfahren geregelt, welches sicherstellen soll, dass die TOM stets an die aktuellen Anforderungen und Entwicklungen angepasst werden. Die Verordnung fordert: „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Die regelmäßige Überprüfung und Aktualisierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um die Datensicherheit zu gewährleisten und um dem Stand der Technik zu entsprechen. Bleibt also noch die Frage zu klären, wie oft man nun diese Überprüfung vornehmen muss, um den Anforderungen der DS-GVO zu entsprechen. Eine genaue Vorgabe hierzu finden sich nicht im Gesetz. Leider kann hierzu auch keine pauschale Empfehlung gegeben werden, denn die wie oft und in welchen Abständen Sie ihre Auftragsverarbeiter prüfen sollten, hängt von den individuellen Faktoren ab. Die folgenden Faktoren sollen Ihnen helfen den für Sie richtigen Abstand zu finden:

• Verarbeitung von Sensiblen Daten: hier sind höhere Sicherheitsmaßnahmen notwendig, als bei der Verarbeitung von weniger sensible Daten und sollten daher häufiger überprüft werden.
• Das Feststellen von Sicherheitsvorfällen: Nachdem ein Sicherheitsvorfall festgestellt wurde, sollten die TOMs unter Umständen häufiger überprüft werden, um sicherzustellen, dass alle Schwachstellen behoben wurden.
• Der Kontext der Verarbeitung: Die Datenverarbeitung in einem dynamischen Umfeld kann häufigere Überprüfungen erforderlich machen.

Wir empfehlen Ihnen ihre technischen und organisatorischen Maßnahmen einmal im Jahr zu überprüfen, ggf. öfters, wenn einer der zuvor genannten Punkte auf Sie zutreffen sollte oder wenn Sie Änderungen in Ihrem Unternehmen vornehmen (z.B. Einführung neuer Software, etc).

Fazit

Technische und organisatorische Maßnahmen sind für Ihr Unternehmen unerlässlich, um ein datenschutzkonformes Arbeiten mit personenbezogenen Daten sicherzustellen, denn Sie schützen diese vor unbefugtem Zugriff, Verlust oder Missbrauch. Es ist jedem Fall nicht ausreichend, lediglich Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Die gewählten Maßnahmen müssen zudem regelmäßig und systematisch überprüft werden.

Die regelmäßige Überprüfung muss auch nachweisbar sein, denn nur so können Sie Bußgelder vermeiden, denn diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Daneben kann es auch zu Schadensersatzansprüchen von betroffenen Personen kommen und das Vertrauen von Kunden und Geschäftspartnern kann in Mitleidenschaft gezogen werden.

Wir empfehlen Ihnen daher folgendes Vorgehen:

• Routinemäßige Überprüfung: jährlich oder anlassbezogen (z.B. bei Änderungen im Unternehmen, Feststellen einer Sicherheitslücke)
• Anpassung an neue Technologien: Technologie entwickeln sich ständig weiter. Stellen Sie sicher, dass die TOMs an den aktuellen Stand der Technik angepasst werden. Ggf. sind Zusatzmaßnahmen erforderlich.
• Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.
• Dokumentation: Änderungen der TOMs sollten sorgfältig dokumentiert werden, um den Nachweis zu erbringen, dass Sie Ihrer Pflicht nachgekommen sind.

Weitere Informationen zu dem Thema und Hilfreiche Tipps gibt das Bayerische Landesamt für Datenschutzaufsicht in seiner Checkliste zum Good Practice bei technischen und organisatorischen Maßnahmen unter folgendem Link: baylda_checkliste_tom.pdf (bayern.de)

Die Nutzung von KI verspricht den Arbeitsalltag zu erleichtern und die Produktivität steigern. Doch der Einsatz von Ki im Unternehmen gestaltet sich vielfältig und komplex. Im Folgenden wird sich damit auseinandergesetzt, welche Vorteile und Nachteile die Nutzung des Microsoft Copilot im Arbeitsalltag mit sich bringt und welche datenschutzrechtlichen Anforderungen Sie dabei beachten müssen. 

Was ist der Microsoft Copilot? 

Bei dem Microsoft Copiloten handelt es sich um ein KI-gestütztes Tool. Microsoft verspricht dem Nutzer bei Verwendung des Microsoft Copilot einige Vorteile: 

• Effizienzsteigerung: Copilot kann Entwicklern helfen, schneller zu programmieren, indem es Codevorschläge macht und repetitiven Code automatisiert. 
• Qualitätsverbesserung: Durch die Bereitstellung von kontextbezogenen Codevorschlägen kann Copilot dazu beitragen, Fehler zu vermeiden und die Codequalität zu verbessern. 
• Lernfähigkeit: Copilot lernt kontinuierlich aus dem Code, mit dem er arbeitet, und kann so im Laufe der Zeit besser werden, indem er Muster erkennt und optimale Lösungen vorschlägt. 
• Entlastung von Routineaufgaben: Entwickler können sich auf anspruchsvollere Aufgaben konzentrieren, da Copilot einfache und repetitive Aufgaben übernehmen kann. 
• Erleichterung der Zusammenarbeit: Copilot kann als nützliches Werkzeug für Teams dienen, indem es Codevorschläge und Kontext für verschiedene Entwicklungsprojekte bereitstellt. 
• Einfachere Einarbeitung: Neue Entwickler können vom Copilot profitieren, indem sie Codebeispiele und Erklärungen erhalten, die ihnen helfen, sich schneller in neue Projekte einzuarbeiten. 

Welche Daten werden durch den Microsoft Copilot verarbeitet? 

Der Microsoft Copilot verarbeitet eine Vielzahl von Daten, um seine Funktionen auszuführen.  

Dabei handelt es sich hauptsächlich um Codes und die damit verbundene Metadaten, wie beispielsweise Codezeilen, Kommentare und Dokumentationen. Diese Daten sind größtenteils öffentlich zugänglich und enthalten normalerweise keine personenbezogenen Informationen. Es werden auch keine persönlichen oder sensiblen Daten der Entwickler verarbeitet, es sei denn, diese werden absichtlich im Code integriert.  

Zudem hat der Copilot Zugriff auf alle Inhalte, die ein Nutzer durch die Verwendung von Microsoft 365 eingibt. Sprich, durch Verwendung des Copilots, hat Microsoft Zugriff auf sämtliche Organisationsdaten innerhalb des Microsoft-Tenants.  

Microsoft versucht nach eigenen Angaben, Risken in der Verarbeitungstätigkeit zu minimieren, indem einzelne Kundeninhalte innerhalb der Mandanten der Organisation logisch getrennt werden. Die Vertraulichkeit und Integrität der Kundendaten sollen zudem durch strenge physische Sicherheitsmaßnahmen, Hintergrundprüfungen und eine mehrschichtige Verschlüsselung sichergestellt werden. 

Nähere Informationen finden Sie direkt bei Microsoft unter: https://learn.microsoft.com/de-de/microsoft-365-copilot/microsoft-365-copilot-privacy

Datenschutz und Microsoft Copilot 

Neben den oben bereits genannten Vorteilen kann es jedoch auch zu erheblichen Nachteilen bei der Nutzung des Copilots kommen.  

• Unerwünschte Offenlegung von sensiblen Informationen: Da der Copilot auf öffentlich verfügbaren Code zugreift und diesen analysiert, könnten sensible oder vertrauliche Informationen im Code enthalten sein, die versehentlich offengelegt werden. 
• Fehlende Kontrolle über Code-Übertragung: Entwickler haben möglicherweise Bedenken hinsichtlich der Übertragung ihres Codes an Microsoft und der damit verbundenen Datensicherheit, insbesondere wenn es um proprietäre oder sensible Projekte geht. 
• Abhängigkeit von externen Diensten: Die Nutzung des Copiloten bedeutet eine Abhängigkeit von einem externen Dienstleister (Microsoft), was Bedenken hinsichtlich der Kontrolle über den eigenen Entwicklungsprozess und potenzieller Auswirkungen auf die Projektsicherheit und -integrität aufwerfen kann. 
• Fehlende Transparenz über Datenverarbeitung: Einige Nutzer äußern Bedenken über die mangelnde Transparenz bezüglich der genauen Art und Weise, wie der Copilot Daten verarbeitet, analysiert und speichert, sowie darüber, wie lange diese Daten aufbewahrt werden. 
• Risiko von Datenschutzverletzungen: Trotz Bemühungen von Microsoft, die Privatsphäre zu schützen, besteht immer ein gewisses Risiko von Datenschutzverletzungen oder unbefugtem Zugriff auf die verarbeiteten Daten. 

Microsoft ist zwar bestrebt, die Datenschutz- und Sicherheitsbedenken zu berücksichtigen und den Copiloten im Einklang mit den geltenden Datenschutzbestimmungen zu betreiben. Diese Zusicherungen finden sich jedoch weder schriftlich festgehalten in den Supplemental Terms noch im Auftragsverarbeitungsvertrag von Microsoft.  

Problemtisch ist der für den Copilot geltenden Auftragsverarbeitungsvertrag selbst, da hier der Passus enthalten ist, dass Microsoft das Recht hat, zumindest Diagnose- und Metadaten zu eigenen Zwecken zu verarbeiten (vgl. Microsoft DPA, S. 7).  

Zumindest die Möglichkeit, dass Microsoft die Daten für eigene Zwecke nutzt, kann somit nicht ausgeschlossen werden, da es an einer vertraglichen Grundlage für dieser Zusicherung mangelt. Daher ist es ratsam, dass Nutzer sich bewusst sind, welche Daten sie mit dem Copiloten teilen, und gegebenenfalls zusätzliche Schutzmaßnahmen ergreifen. 

Microsoft Copilot – DS-GVO konform nutzbar? 

Die Frage, ob Microsoft Copilot DSGVO-konform genutzt werden kann, ist nicht mit einem einfachen „Ja“ oder „Nein“ zu beantworten. Die Antwort hängt von verschiedenen Faktoren ab. Die DS-GVO (https://dsgvo-gesetz.de/) regelt den Datenschutz und den Umgang mit personenbezogenen Daten innerhalb der Europäischen Union. Bei der Nutzung von Diensten wie Microsoft Copilot müssen verschiedene Aspekte berücksichtigt werden: 

• Datenverarbeitung: Microsoft Copilot verarbeitet Daten, darunter möglicherweise auch personenbezogene Daten wie Code, der personenbezogene Informationen enthalten könnte. Es ist wichtig sicherzustellen, dass die Verarbeitung dieser Daten den Anforderungen der DSGVO entspricht, insbesondere was die Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung betrifft. 
• Datensicherheit: Gemäß der DSGVO müssen angemessene Maßnahmen ergriffen werden, um die Sicherheit personenbezogener Daten zu gewährleisten. Microsoft muss sicherstellen, dass angemessene Sicherheitsmaßnahmen implementiert sind, um die Daten vor unbefugtem Zugriff, Verlust oder Diebstahl zu schützen. 
• Informationspflichten: Gemäß der DSGVO müssen Benutzer über die Verarbeitung ihrer Daten informiert werden, einschließlich darüber, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht. Microsoft muss sicherstellen, dass Benutzer angemessen informiert werden und ihre Zustimmung gegebenenfalls einholen, wenn dies erforderlich ist. 
• Datenübermittlung: Wenn personenbezogene Daten außerhalb der Europäischen Union übertragen werden, gelten besondere Anforderungen gemäß der DSGVO. Microsoft muss sicherstellen, dass angemessene rechtliche Mechanismen vorhanden sind, um die Übermittlung personenbezogener Daten in Länder außerhalb der EU zu legitimieren. 

Benutzer sollten sich bewusst sein, dass die Nutzung von Diensten wie dem Copiloten auch ihre eigenen Pflichten als datenschutzrechtlich Verantwortlicher mit sich bringt, insbesondere dann, wenn personenbezogene Daten im Unternehmen verarbeitet werden. Der Verantwortliche Unternehmer bestimmt selbst den Zweck, zu dem er den Copiloten verwenden will. Auch sollte nicht übersehen werden, Mitarbeiter genau zu informieren und die Nutzung des Copilots durch Festlegung eines Berechtigungskonzeptes zu begrenzen. 

Verantwortlichen ist zu raten, sich über die Datenschutzbestimmungen und -praktiken von Microsoft zu informieren und sich gegebenenfalls rechtlichen Rat einzuholen, bevor Sie mit der Umsetzung im Unternehmen beginnen. Nur so kann sichergestellt werden, dass die Nutzung des Copiloten den geltenden Datenschutzgesetzen entspricht. 

Hilfe für die Integration von KI finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in der veröffentlichten Checkliste für die datenschutzkonforme Nutzung von künstlicher Intelligenz unter: https://www.lda.bayern.de/media/ki_checkliste.pdf

Datenschutzfolgeabschätzung (DSFA) 

Bevor Sie sich für die Nutzung des Copilots entscheiden, sollten Sie zunächst prüfen, ob die KI, die Sie einsetzen wollen, die Erstellung einer Datenschutzfolgeabschätzung (DSFA) erforderlich macht. In der Bayerischen Blacklist (erstellt durch den Bayerischen Landesbeauftragten für Datenschutz) werden Fallgruppen aufgeführt, in welchen eine Datenschutzfolgenabschätzung erforderlich ist. Ob Sie für die von Ihnen ausgewählte KI tatsächlich eine Datenschutzfolgeabschätzung durchführen müssen, hängt maßgeblich von dem Zweck ab, für den Sie die KI nutzen möchten. Die Bayerische Blacklist finden Sie unter folgendem Link: https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf

Im Rahmen der Datenschutzfolgeabschätzung werden die möglichen Risiken ermittelt und diesen mit geeigneten Maßnahmen zu begegnen. Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DS-GVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Die Nutzung des Microsoft Copiloten ist wie bereits dargestellt, komplex und kann gegebenenfalls ein erhebliches Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Die hängt aber wie bereits erwähnt von dem Zweck ab, für die Sie den Copilot im Unternehmen nutzen möchten. 

Nähere Informationen zur Datenschutzfolgeabschätzung finden Sie im Kurzpapier Nr. 5 der DSK (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf

Warum Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien in Deutschland ein Game-Changer sein könnte 

In der heutigen digitalen Ära sind Effizienz und Innovation die Schlüssel zum Erfolg. Dies gilt auch für Steuer- und Rechtsanwaltskanzleien. Mit der Einführung von Microsoft Copilot, einer fortschrittlichen künstlichen Intelligenz (KI), die speziell für Geschäftsanwendungen entwickelt wurde, eröffnen sich neue Horizonte für Kanzleien in Deutschland. Trotz derzeitiger Kritik kann der Microsoft Copilot für Steuer- und Rechtsanwaltskanzleien von Interesse sein, um den Arbeitsalltag zu erleichtern und effizienter zu gestalten. Im Folgenden zeigen wir einige praktische Beispiele für den Einsatz in Excel, Teams und Word. 

• Excel: Automatisierte Datenanalyse und Berichterstattung 

Sie könnten komplexe Finanzdaten mit einfachen Sprachbefehlen analysieren und visualisieren. Microsoft Copilot macht dies möglich, indem es die Erstellung von Berichten, die Analyse von Trends und sogar die Vorhersage zukünftiger Finanzentwicklungen vereinfacht. Steuerberater könnten Copilot beispielsweise bitten, „eine Prognose für die Umsatzentwicklung im nächsten Quartal basierend auf den letzten drei Jahren zu erstellen“, und innerhalb weniger Sekunden würde eine detaillierte Analyse direkt in Excel generiert. 

• Teams: Effiziente Kommunikation und Projektmanagement 

In Teams könnte Copilot als digitaler Assistent dienen, der Besprechungen zusammenfasst, Aufgaben zuweist und Fristen überwacht. Nach einer Teams-Besprechung könnte Copilot automatisch eine Zusammenfassung der besprochenen Punkte erstellen und die nächsten Schritte für jedes Teammitglied festlegen, wodurch die Produktivität gesteigert und Kommunikationslücken geschlossen werden. 

• Word: Schnelle Erstellung von Dokumenten 

Für Steuerkanzleien, die regelmäßig komplexe Berichte, Steuererklärungen oder Informationsbriefe erstellen, kann Copilot eine enorme Zeitersparnis bedeuten. Durch einfache Anweisungen kann Copilot Entwürfe erstellen, die den neuesten Steuervorschriften entsprechen, oder spezifische Steuerberatungsbriefe generieren, die nur noch einer finalen Überprüfung bedürfen. 

Die Nutzung von KI bietet Steuer- und Rechtsanwaltskanzleien in Deutschland die Möglichkeit, ihre Arbeitsprozesse zu revolutionieren, die Effizienz zu steigern und ihren Klienten einen Mehrwert zu bieten. Durch die Automatisierung routinemäßiger Aufgaben können Steuerberater mehr Zeit für hochwertige Beratung und strategische Planung aufwenden. Gleichzeitig müssen jedoch die datenschutzrechtlichen Aspekte sorgfältig berücksichtigt werden, um den Schutz personenbezogener Daten zu gewährleisten und regulatorische Anforderungen zu erfüllen. Mit der richtigen Vorbereitung und den geeigneten Maßnahmen, lassen sich KI wie der Microsoft Copilot im Arbeitsalltag integrieren. 

Fazit 

Die Entscheidung, den Microsoft Copiloten trotz datenschutzrechtlicher Bedenken zu nutzen, hängt von verschiedenen Faktoren ab und sollte sorgfältig abgewogen werden: 

• Überprüfen Sie den Nutzen des Dienstes im Vergleich zu den potenziellen Datenschutzrisiken 
• Bewerten Sie die Sensibilität der Daten, die Sie teilen möchten 
• Prüfen Sie die Datenschutzpraktiken des Anbieters 
• Erwägen Sie alternative Optionen, die Ihre Anforderungen erfüllen könnten 
• Stellen Sie sicher, dass die Nutzung des Copiloten mit den Compliance-Anforderungen Ihrer Organisation übereinstimmt (ggf. Anpassung Ihrer TOMs ua.) 
• Erstellen Sie ein Berechtigungskonzept und beschränken Sie die Zugriffe 
• Erstellen Sie eine Datenschutzfolgeabschätzung (DSFA), falls die Nutzung ein Hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten kann 
• Schulen Sie die Mitarbeiter, die Zugriff auf den Copiloten haben sollen im Umgang mit dem Copiloten 
• Einbeziehung Ihres Datenschutzbeauftragten 

Letztendlich liegt die Entscheidung bei Ihnen und sollte auf einer umfassenden Bewertung der Risiken und Vorteile basieren. Es kann auch hilfreich sein, mit Ihrem Datenschutzbeauftragten /- Berater oder rechtlichen Beratern (z.B. uns) zu sprechen, um eine fundierte Entscheidung zu treffen. Wir bieten eine umfassende Beratung für den datenschutzkonformen Einsatz von Microsoft-Produkten im Kanzlei- und Unternehmensumfeld.

Was ist der Google Consent Mode? 

Der Google Consent Mode ist eine Funktion, von Google, um Website-Betreibern zu helfen, die Datenschutzrichtlinien der Europäischen Union (EU) einzuhalten, insbesondere die Anforderungen der Datenschutz-Grundverordnung (DS-GVO).  

Website-Betreibern wird durch Nutzung des Consent Modes ermöglicht, die Verwendung von Cookies und anderen Tracking-Technologien auf ihrer Website gezielt zu steuern, damit diese den Datenschutzrichtlinien entsprechen. Gleichzeitig wird die Funktionalität von Google-Produkten wie Google Analytics und Google Ads unterstützt. 

Der Consent Mode von Google zielt darauf ab, dass Google-Dienste wie Analytics und Ads das Zustimmungsniveau des Benutzers zur Verwendung von Cookies berücksichtigen können. Wenn ein Benutzer seine Zustimmung zur Verwendung von Cookies verweigert oder widerruft, kann der Consent Mode die Datenübertragung an Google entsprechend einschränken. Auf diese Weise können Website-Betreiber sicherstellen, dass sie die Datenschutzbestimmungen einhalten werden. 

Bewertung des Google Consent Mode aus Datenschutzsicht 

Die derzeitigen Meinungen und Bewertungen zum Google Consent Mode in Bezug auf Datenschutz und Compliance mit der DSGVO fallen unterschiedlich aus. Einige Datenschutzexperten und Organisationen begrüßen die Initiative von Google als einen Schritt in die richtige Richtung, um Website-Betreibern dabei zu helfen, die Datenschutzbestimmungen einzuhalten, während sie weiterhin Google-Dienste nutzen können. Sie sehen den Consent Mode als eine Möglichkeit, die Einwilligung der Benutzer zur Verwendung von Cookies und zur Datenerfassung besser zu verwalten. 

Allerdings gibt es auch kritische Stimmen, die Bedenken hinsichtlich der tatsächlichen Effektivität des Consent Mode äußern. Einige Datenschutzexperten führen an, dass der Consent Mode von Google nicht ausreicht, um die Anforderungen der DS-GVO vollständig zu entsprechen. Dies wird damit begründet, dass der Consent Mode sich hauptsächlich auf die Verwaltung von Cookies konzentriert und nicht auf andere Aspekte des Datenschutzes, wie zum Beispiel die Transparenz bei der Datenerfassung und -verarbeitung. 

Darüber hinaus gibt es Bedenken hinsichtlich der Möglichkeit von Google, Daten auch dann zu sammeln, wenn die Einwilligung des Benutzers nicht vorliegt, insbesondere im Hinblick auf die Verwendung von Conversion-Tracking in Google Ads. Es bestehen zudem Bedenken, dass der Consent Mode möglicherweise nicht ausreicht, um die rechtlichen Anforderungen zu erfüllen. Daher wird empfohlen, zusätzliche Maßnahmen zur Einhaltung der Datenschutzbestimmungen zu treffen. 

Kann man den Google Consent Mode datenschutzkonform nutzen? 

Der Google Consent Mode ist in jedem Fall ein Instrument zur Unterstützung der Datenschutzkonformität, der es Website-Betreibern ermöglicht, die Einhaltung der Datenschutzrichtlinien, insbesondere der DSGVO, zu verbessern. Dies gilt jedoch ausschließlich für Produkte der Google Familie und deckt somit nicht externe Technologien von anderen Anbietern mit ab. Der Einsatz des Consent Mode allein reicht folglich nicht aus, um die Einhaltung der Datenschutzgesetze sicherzustellen, sobald Sie auch Technologien anderer Anbieter auf Ihrer Webseite nutzen. 

Die Verwendung des Consent Mode stellt damit nur einen Teil eines umfassenderen Datenschutzkonzepts dar. 

Welche Einstellungen müssen Nutzer treffen? 

Die Einstellungen, die Nutzer vornehmen müssen, hängen von den Datenschutzpräferenzen und den Anforderungen der jeweiligen Website ab. Wenn eine Website den Google Consent Mode implementiert hat, können Nutzer in der Regel ihre Präferenzen in Bezug auf die Verwendung von Cookies und anderen Tracking-Technologien angeben. Hier sind einige mögliche Einstellungen, die Nutzer treffen können: 

• Zustimmung zur Verwendung von Cookies: Nutzer können entscheiden, ob sie der Verwendung von Cookies auf der Website zustimmen oder nicht. Je nach den Datenschutzbestimmungen der Website kann dies bedeuten, dass die Nutzer der Verwendung aller Cookies zustimmen müssen oder die Möglichkeit haben, bestimmte Arten von Cookies auszuwählen oder abzulehnen. 
• Feineinstellungen für bestimmte Arten von Cookies: Einige Websites bieten Nutzern die Möglichkeit, ihre Zustimmung für bestimmte Arten von Cookies zu verwalten. Dies könnte beinhalten, dass Nutzer entscheiden können, ob sie Marketing-Cookies, Analyse-Cookies oder funktionale Cookies zulassen möchten. 
• Änderung der Zustimmung: Nutzer sollten in der Lage sein, ihre Zustimmung zur Verwendung von Cookies jederzeit zu ändern. Dies könnte bedeuten, dass Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen in den Datenschutzeinstellungen der Website anzupassen oder ihre Zustimmung über ein Cookie-Banner oder eine ähnliche Benutzeroberfläche zu widerrufen. 
• Opt-out von Tracking-Diensten: In einigen Fällen können Nutzer die Möglichkeit haben, sich gegen die Verwendung bestimmter Tracking-Dienste zu entscheiden, wie z.B. Google Analytics oder Google Ads. Dies könnte separat von der Zustimmung zur Verwendung von Cookies verwaltet werden. 

Es ist zudem weiterhin wichtig, dass Nutzer klare und verständliche Informationen darüber erhalten, welche Auswirkungen ihre Cookie-Einstellungen auf ihre Erfahrung auf der Website haben, und dass sie leicht auf die entsprechenden Einstellungen zugreifen können. Dies trägt dazu bei, sicherzustellen, dass die Nutzer die volle Kontrolle über ihre Datenschutzpräferenzen haben und ihre Zustimmung gemäß den geltenden Datenschutzgesetzen wirksam ist. 

Was ist zu tun? 

Es ist wichtig für Website-Betreiber, sich umfassend über den Google Consent Mode zu informieren und die entsprechende Konfiguration der Google Dienste vorzunehmen, damit der Consent Mode datenschutzkonform nutzbar ist. 

Website-Betreiber sollten jedoch zusätzlich eine umfassende Prüfung Ihrer Website vornehmen, um festzustellen, welche externen Technologien Sie insgesamt auf Ihrer Webseite im Einsatz haben. Denn bei Verwendung von weiteren externen Technologien, die nicht zur Google Familie gehören, ist wie gewohnt die Zustimmung des Nutzers über einen Cookie-Banner einzuholen, wenn diese Einwilligungspflichtig sind.  

Wir empfehlen Ihnen daher eine Website-Analyse durchführen zu lassen, um alle externen Technologien lückenlos zu erfassen und auch zu prüfen, ob diese korrekt in Ihren Cookie-Banner mit eingebunden sind. Alle verwendeten externen Technologien sind auch weiterhin in Ihrer  Datenschutzinformation zu benennen.  

In seinem Urteil 25.01.2024, Rs. C‑687/21 beschäftigte sich der Europäische Gerichtshof (EuGH) mit der Frage, ob dem Kläger gemäß Art. 82 DS-GVO gegen den Verantwortlichen ein Schadensersatzanspruch zusteht. Der EuGH setzte sich in seinem Urteil damit auseinander, wann ein immaterieller Schaden geltend gemacht werden kann und ob dafür eine gewisse Erheblichkeit vorliegen müsse. 

Allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, reichen nicht aus, um einen immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen. Dies gilt jedoch nur dann, wenn nachweislich ausgeschlossen werden kann, dass es zu keiner missbräuchlichen Verwendung der Daten gekommen ist. Eine Erheblichkeitsschwelle besteht nicht, jedoch muss ein Schaden nachgewiesen werden können. 

Leitsatz des Urteils 

Zum Sachverhalt 

Bei dem Kläger handelte es sich um einen Kunde des Elektronikfachhändlers Saturn. Dem Mitarbeitenden passierte bei der Warenausgabe ein Fehler. Das vom Kläger erworbene Haushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen war durch die Mitarbeitenden versehentlich einem Dritten ausgehändigt worden, der sich in der Schlange zur Warenausgabe wohl vorgedrängelt hatte. Der Kläger machte daraufhin gegenüber Saturn einen immateriellen Schadensersatzanspruch geltend. Er begründete dies damit, dass durch den Fehler einem Dritten gegenüber seinen Namen, seine Anschrift, sein Arbeitgeber und seine Einkünfte offengelegt worden wären. 

Obwohl dem Mitarbeitenden der Fehler schnell bemerkte und der Kläger die Unterlagen zurückerhielt, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte, forderte er nach Art. 82 DSGVO Schadensersatz von Saturn. 

Der Kläger war der Ansicht, dass er aufgrund des Fehlers der Mitarbeitenden und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben. Hieraus begründe sich ein immaterieller Schaden seinerseits. 

Das ganze Urteil können sie unter folgendem Link einsehen: 

Die Entscheidung des Gerichts bei immateriellen Schaden

Das Gericht war der Ansicht, ein immaterieller Schaden grundsätzlich schon dann vorliegen könnte, wenn der Betroffene befürchten müsse, dass durch einen Verstoß gegen die DSGVO ein Dritter die eigenen personenbezogenen Daten missbräuchlich verwenden könnte. Der EuGH bezog sich hier auf den Wortlaut des Art. 82 Abs. 1 DSGVO und legte diesen im Licht der Erwägungsgründe 85 und 146 aus. Hiernach ist der Begriff „immaterieller Schaden“ weit auszulegen. Auch sei es laut EuGH gerade das Ziel der DSGVO ein hohes Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. 

Dies gelte allerdings nur dann, wenn die betroffene Person tatsächlich den Nachweis eines tatsächlich eingetretenen Schadens vorbringen könne. Der bloße Verstoß gegen die Bestimmungen der DSGVO reiche nicht aus, um einen Schadensersatzanspruch begründen zu können. Folglich reicht in rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht aus, um einen Schadensersatzanspruch begründen zu können. Wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat, kann auch kein Schaden entstanden sein. 

Zum Urteil 

Der EuGH nennt also hier die Voraussetzungen, die für die Begründung eines Schadensersatzanspruchs vorliegen müssen: 

1. Es muss ein Verstoß gegen die DS-GVO vorliegen 

2. Es muss ein Schaden entstanden sein 

3. Der Verstoß gegen die DS-GVO muss kausal für den eingetretenen Schaden sein. 

Ausreichend für die Begründung des Schadens ist die Darlegung, sowie der Beweis einer subjektiven Beeinträchtigung. Es ist nicht entscheidend, worin diese Beeinträchtigung letztlich gelegen hat oder ob diese erheblich war. 

Was ist zu tun? 

Möchte man also einen Schadensersatzanspruch geltend machen, so muss ein nachweisbarer Schaden entstanden sein, wobei eine Erheblichkeit des Schadens nicht erforderlich ist. Ein rein hypothetisches Risiko, dass ein Schaden hätte entstehen können, reicht nicht aus. 

Ein Datenschutzvorfall lässt nicht zwingend den Schluss zu, dass dieser auch zu einer Verletzung der Sicherheitsanforderungen der DS-GVO geführt hat. 

Datenverarbeitern können jedoch dann haftbar gemacht werden, wenn Unbefugte Dritte Zugang zu den Daten erhalten und sie sich nicht exkulpieren können. Den Verantwortlichen trifft also eine Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO. Er trägt die Beweislast, dass er auszureichende Sicherungsmaßnahmen getroffen hat. 

Konkret heißt das, Datenbearbeitern ist zu raten, geeignete Sicherheitsmaßnahmen zu ergreifen, um sich im Fall eines eingetretenen Schadens wegen fehlenden Verschuldens exkulpieren zu können. 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte eine anlasslose, teils automatisierte Überprüfung von Webseiten (und deren Cookie-Banner) bei rund 350 bayerischen Webseitenbetreibern und 15 Apps durch. 

Auch Zugriffe, die im Rahmend er Nutzung von Apps stattfinden unterliegen dem Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) und der Datenschutzgrundverordnung (DS-GVO). Für diese Prüfung hat das BayLDA eigens ein Tool zur automatisierten Prüfung von Cookie-Bannern entwickelt. 

Was war Ziel der Prüfung der Cookie-Banner? 

Ziel dieser Prüfung war es, Webseiten und Apps auf die Einhaltung der datenschutzrechtlichen Anforderungen zu prüfen. Hierbei wurde geprüft, ob der jeweilige Cookie-Banner neben der Option „Alle Akzeptieren“ auch die Möglichkeit beinhaltete in den Gebrauch von externen Technologien wie z.B. Tracking-Cookies einzuwilligen. Zudem musste es auch möglich sein, den Cookie-Banner zu schließen, wenn keine Einwilligung durch den Nutzer erfolgte. 

Bereits im Dezember 2021 wurde durch die Datenschutzbehörden des Bundes und der Länder (DSK) für das Gesetz zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) und die Datenschutz-Grundverordnung (DSGVO) eine Orientierungshilfe für Webseitenbetreiber herausgegeben. Darin heißt es, dass Cookie-Banner, die nur die Option „Alles Akzeptieren“, „Einstellungen“ oder „Weitere Hinweise“ vorsehen, sind als nicht rechtskonform einzustufen sind. 

Die gesamte Orientierungshilfe können sie direkt über die Website der datenschutzkonferenz-online.de herunterladen. 

Die deutschen Datenschutzaufsichtsbehörden vertreten die Auffassung, dass die Option, keine Einwilligung zu erteilen dem Nutzer zwingend auf erster Ebene von Cookie-Bannern angeboten werden muss, heißt also bei Betreten der Webseite. Dies gelte laut DSK zumindest dann, sofern die Webseite nicht ohne Interaktion mit dem Einwilligungs-Banner beeinträchtigungsfrei vom Nutzer genutzt werden könne. 

Bei fast allen geprüften Apps und Webseiten wurden einwilligungspflichtige Vorgänge festgestellt, ohne dass jedoch die Einwilligung des Nutzers eingeholt wurde. Betreiber der auffällig gewordenen Apps und Webseiten haben derzeit die Möglichkeit erhalten, sich zu den datenschutzrechtlichen Mängeln zu äußern und die entsprechenden Anpassungen vorzunehmen. 

Anforderungen an die Einwilligung des Nutzers bei einem Cookie-Banner

Die Anforderungen die an eine Einwilligung zur Informationsverarbeitung gemäß § 25 TTDSG geknüpft sind, beschreibt die Datenschutzkonferenz (DSK) wie folgt: “Einwilligung der Endnutzer:innen des Endgeräts, Zeitpunkt der Einwilligung, Informiertheit der Einwilligung, unmissverständliche und eindeutig bestätigende Handlung, bezogen auf den bestimmten Fall, Freiwilligkeit der Willensbekundung, Möglichkeit zum Widerruf der Einwilligung, die ebenso einfach sein muss wie die Erteilung“. 

Der Nutzer muss also aktiv Handeln und auswählen können, welche Option er wählen möchte.  

Daher müssen dem Nutzer weitere Optionen zur Verfügung gestellt werden, wie „Alles Akzeptieren“, „Alles Ablehnen“ und „Weitere Informationen“. Auch muss der Nutzer die einmal getroffenen Einstellungen jederzeit leicht wieder ändern können. Zudem ist das Wegklicken des Cookie-Banners nicht als stillschweigendes Einverständnis zu werten. 

Weitere Informationen 

Den Status der Prüfung können sie unter https://www.lda.bayern.de/de/kontrollen_stabsstelle.html) einsehen. Die offizielle Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) finden sie hier: 

Was ist zu tun? 

Nutzen sie externe Technologien auf ihrer Webseite, sollten sie umgehend überprüfen, ob ihr Cookie-Banner seine Funktion erfüllt und die Einwilligung des Nutzers rechtskonform einholt. Ist das nicht der Fall, sollten sie die nötigen Anpassungen vornehmen. 

Gerne sind wir ihnen dabei behilflich ihre Webseite hin auf Datenschutzkonformität zu überprüfen. Kontaktieren Sie uns direkt per Telefon, E-Mail oder über unser Kontaktformular: 

Die Änderungen, die Google an seinen Diensten vorgenommen hat und die ab Januar 2024 in Kraft getreten sind, betreffen die Consent Management Plattformen (CMPs) und die Einhaltung der Datenschutz-Grundverordnung (GDPR) der Europäischen Union. 

Eine CMP ist eine Software, die Website-Betreibern hilft, die Einwilligung der Nutzer zur Datenverarbeitung gemäß Datenschutzbestimmungen einzuholen und zu verwalten (auch bekannt als sogenannter Cookie-Banner). 

Was soll durch die Änderung erreicht werden? 

Die GDPR legt strenge Regeln für den Schutz personenbezogener Daten fest und erfordert, dass Unternehmen transparent darüber informieren, wie sie personenbezogene Daten verarbeiten und welche Rechte Nutzer in Bezug auf ihre Daten haben. 

CMPs spielen eine wichtige Rolle dabei, dass Nutzer ihre Zustimmung zur Verarbeitung ihrer Daten geben können. Zweck der Änderung ist es somit sicherzustellen, dass die Einwilligung des Nutzers in Übereinstimmung mit den Bestimmungen der GDPR eingeholt wird. Der Nutzer muss stets klar darüber informiert werden, wie seine Daten verwendet werden und welche Wahlmöglichkeiten ihm zustehen. So soll die Benutzerfreundlichkeit und die Transparenz vom CMPs verbessert werden. 

Welche Änderungen werden vorgenommen? 

Publisher, die Google AdSense, Ad Manager oder AdMob verwenden, müssen eine von Google zertifizierte CMP einsetzen, die mit dem IAB’s Transparency and Consent Framework (TCF) integriert ist. Bei einer CMP-Bewertung prüft Google, ob die CMPs, die Anforderungen zur zusätzlichen Einwilligung unterstützen und dies auch korrekt umgesetzt wird. Nach erfolgreicher Prüfung einer CMP wird diese in die Liste der von Google zertifizierten CMPs aufgenommen. 

An wen richtet sich die Änderung? 

Die Änderungen gelten für alle Publisher, die Anzeigen schalten, welche an Nutzer im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich gerichtet sind und eines der oben genannten Produkte von Google nutzen. 

Was ist zu tun? 

Fallen sie in den genannten Geltungsbereich, sollten sie überprüfen, ob sie eines der genannten Google Produkte nutzen und die geforderten Anpassungen durchführen: also ein von Google zertifiziertes CMP einsetzen! Nutzen sie kein von Google zertifiziertes CMP, sollten Sie zu einer zertifizierten CMP wechseln, denn bei Verwendung einer nicht von Google zertifiziertes CMP können Anzeigen nur eingeschränkt ausgeliefert werden. Alternativ können Publisher mit einer eigenen CPM ihr Interesse an der Zertifizierung bei Google anmelden. 

Das bislang geltende NetzDG und das Telemediengesetz werden abgeschafft und ersetzt durch das Gesetz über digitale Dienste (kurz DDG). Hiermit setzt die Bundesregierung eine Vorgabe der EU um, um mit dem neuen Gesetz ein einheitliches gemeinsames Regelwerk für die gesamte Europäische Union einzuführen. Das neue DDG tritt ab dem 17. Februar 2024 in allen EU-Staaten in Kraft. 

Was soll durch das neue Digitale-Dienste-Gesetz (DDG) erreicht werden? 

Durch ein neues Digitale-Dienste-Gesetz sollen die rechtlichen Vorgaben für Internetplattformen einheitlicher geregelt werden. Ziel ist es, Provider mehr in die Verantwortung zu nehmen, ein höheres Maß an Transparenz zu schaffen und die Rechte von Nutzern und Nutzerinnen zu stärken. 

Für wen gilt das Digitale-Dienste-Gesetz (DDG)? 

Das neue Digitale-Dienste-Gesetz (DDG) besteht aus 31 Paragrafen und gilt “für alle Anbieter digitaler Dienste“. Darunter versteht man “jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Hierunter fallen beispielsweise Hosting-Dienste wie Cloud- und Webhosting, Online-Marktplätze, App-Stores oder auch Social-Media-Plattformen. 

Sonderregelungen gelten für “sehr große Online-Plattformen” oder “sehr große Online-Suchmaschinen“, da diese ein besonderes Risiko für die Verbreitung illegaler Inhalte und für Schäden in der Gesellschaft darstellen. 

Der Umfang der Pflichten für den jeweiligen Diensteanbieter gestaltet sich demnach abhängig von der Größe, Rolle und den Auswirkungen im Online-Umfeld.  Die neuen Regelungen gelten ab Februar 2024. 

Was sind die wichtigsten Änderungen im DDG? 

Erweiterung des Kreises der Anspruchsadressaten 

Gemäß DDS wird “der Kreis der Anspruchsadressaten auf sämtliche digitale Dienste erweitert, die von einem Nutzer bereitgestellte Informationen in einem Kommunikationsnetz übermitteln oder den Zugang zu einem Kommunikationsnetz vermitteln”. Dies hat zur Folge, dass Netzsperren bei allen Access-Providern künftig möglich sein können. 

Meldung von Rechtsverletzungen 

Gemäß § 7 DDG kann bei Urheberrechtsverletzungen der Rechteinhaber vom Diensteanbieter “die Sperrung der Nutzung von Informationen verlangen, um die Wiederholung der Rechtsverletzung zu verhindern”. 

Abmahngebühren werden nur dann fällig, wenn der Internetdienst bewusst mit den Personen zusammenarbeitet, die das Urheberrecht verletzt haben. Das soll sicherstellen, dass die Dienste nicht mit denjenigen zusammenarbeiten, die illegal Inhalte teilen. 

Änderungen der zuständigen Behörde 

Statt des Bundesamtes für Justiz (BfJ) übernimmt nun bei Meldungen zu Verstößen eine “Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur” die Kontrolle der Einhaltung der gesetzlichen Vorgaben. Sollte es sich jedoch um Straftaten handeln, die eine Gefahr Leib oder Leben einer Person/Personen darstellen, ist die Zuständigkeit des Bundeskriminalamts (BKA) gegeben. 

Keine Löschfrist mehr bei offensichtlich rechtswidrigen Inhalten 

Anbieter eines Internetauftritts sind nun nur noch dazu verpflichtet, “zeitnah, sorgfältig, frei von Willkür und objektiv über die gemeldeten Informationen” zu entscheiden. 

Die Erstellung eines Verfahrensverzeichnisses ist gar nicht so aufwendig und bringt viele Vorteile

So gut wie jede Organisation muss laut EU-Datenschutzgrundverordnung (Art. 30 DS-GVO) ein Verzeichnis der Verarbeitungstätigkeiten erstellen und laufend aktualisieren. Auch die Kanzleien sind von dieser Pflicht betroffen. Deshalb möchte ich Ihnen in meinem heutigen Blog-Beitrag kurz und knapp die wichtigsten Informationen rund um das Verzeichnis der Verarbeitungstätigkeiten – das Herzstück der Datenschutzdokumentation – zur Verfügung stellen.

Überblick: Verzeichnis der Verarbeitungstätigkeiten Art. 30 DS-GVO

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Sammlung der Verarbeitungen, aus welchem hervorgeht, in welchen Prozessen personenbezogene Daten in der Kanzlei verarbeitet werden. Aufgrund der Unterschiede bei den eingesetzten Verfahren, besteht das Verzeichnis in der Praxis oft aus einer Reihe von Einzelbeiträgen. Solch ein Verfahrensverzeichnis stellt somit die Summe der einzelnen Verfahrensbeschreibungen dar. Es kann sowohl schriftlich als auch elektronisch erfasst werden.

Wann muss eine Organisation (Kanzlei) ein Verzeichnis der Verarbeitungstätigkeiten anfertigen?

Aus Art. 30 Abs. 5 DS-GVO geht hervor, dass jede Organisation, die weniger als 250 Mitarbeiter beschäftigt, nicht verpflichtet ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen – es sei denn, die Kanzlei führt Verarbeitungen personenbezogener Daten durch:

1. die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen)
2. die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Mandanten- oder Beschäftigtendaten)
3. die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen

Von diesen drei Kriterien muss lediglich eines erfüllt sein – und schon greift die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie nun in Ihrer Kanzlei Prozesse wie Rechnungsstellung, Finanzbuchhaltung, Lohnbuchhaltung, Einkommensteuererklärung usw. betrachten, sind dies zum einen regelmäßig stattfindende Prozesse und zum anderen werden in ihnen Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z.B. Religionsdaten wegen der Kirchensteuer) verarbeitet. Das heißt also – Sie sind verpflichtet, in Ihrer Kanzlei für gewisse Prozesse ein Verzeichnis anzulegen.

Warum ist es wichtig, ein Verzeichnis der Verarbeitungstätigkeiten zu führen?

Dafür gibt es drei Gründe: Erstens spielt das Verzeichnis der Verarbeitungstätigkeiten eine wesentliche Rolle dabei, datenschutzrechtliche Vorgaben überhaupt einhalten zu können. Denn nur wer die eigenen Verarbeitungsprozesse kennt, kann gezielt Maßnahmen ergreifen, um eine rechtmäßige Verarbeitung personenbezogener Daten sicherstellen zu können. Zweitens ist das Verzeichnis der Verarbeitungstätigkeiten auch deshalb wichtig, weil die DS-GVO das Führen eines solchen in der Regel von Ihnen verlangt. Sollte kein Verzeichnis vorhanden sein, kann die Aufsichtsbehörde laut Art.83 Abs. 4 DS-GVO hierfür ein Bußgeld verhängen. Und drittens ist das Verzeichnis der Verarbeitungstätigkeiten Grundlage für eine Prüfung durch die Aufsichtsbehörde.

Welche Informationen müssen in einem Verzeichnis der Verarbeitungstätigkeiten erfasst werden?

Art. 30 Abs. 1 DS-GVO macht den Kanzleien eine genaue Vorgabe, welche Informationen in einem Verzeichnis vorhanden sein müssen:

1. Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen
2. Name und Kontaktdaten eines Datenschutzbeauftragten (falls vorhanden)
3. die Zwecke der Verarbeitung
4. eine Beschreibung der Kategorien betroffener Personen
5. eine Beschreibung der Kategorien personenbezogener Daten
6. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
7. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
8. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
9. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Auf den ersten Blick erweckt die Vielzahl dieser Punkte den Eindruck, dass die Erstellung eines solchen Verzeichnisses mit sehr viel Aufwand verbunden sein muss. Das ist jedoch nicht der Fall! Denn für die meisten Kanzleien handelt sich dabei um geläufige Geschäftsprozesse, die rasch und einfach in einem Verarbeitungsverzeichnis abgebildet werden können.

Wer ist für das Führen eines Verzeichnisses von Verarbeitungstätigkeiten verantwortlich?

In erster Linie ist die Geschäftsführung der Kanzlei verpflichtet, ein Verarbeitungsverzeichnis zu führen. Grund hierfür ist die Tatsache, dass die Geschäftsführung die oben genannten Punkte, die in Art. 30 Abs. 1 DS-GVO gefordert werden, in der Regel am besten beantworten kann.

Tipp: Damit Sie ganz unkompliziert ein DS-GVO-konformes Verzeichnis der Verarbeitungstätigkeiten erstellen können, empfehlen wir Ihnen, unser zertifiziertes Tool Data Security Manager zu nutzen. Wählen Sie darin aus über 50 Verarbeitungstätigkeiten die passenden für Ihre Kanzlei aus und erstellen Sie Ihr individuelles Verzeichnis der Verarbeitungstätigkeiten entsprechend der DS-GVO.

Fazit:

Das Verzeichnis der Verarbeitungstätigkeiten ist eine wesentliche Grundlage für eine strukturierte Datenschutzdokumentation. Zudem zeigt eine Kanzlei damit gegenüber der Aufsichtsbehörde, dass sie sich an die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO hält.

Wie sieht es eigentlich mit der Datenschutzdokumentation im Bereich Ihrer Dienstleister aus? Wissen Sie, welche Dienstleister zum Kreis der Auftragsverarbeiter gehören und was Sie bei einer Auftragsverarbeitung beachten müssen? Alles Wissenswerte zu diesem Thema lesen Sie in einem meiner nächsten Blog-Beiträge.

Quelle:

• DSK Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten