MeineBerater

KI und Compliance – Freund oder Feind?

Posted 30. Oktober 2023 by Birgit von Maurnböck

Künstliche Intelligenz – das Buzzword, das die Welt im Sturm erobert hat! Einst nur ein Traum der Science Fiction, ist KI heute allgegenwärtig. Sie ist der stille Held hinter den Kulissen, der unsere Welt verändert. Von ChatGPT, dem Textkünstler und Ideenentwickler, über Siri, die mit uns plaudert bis zu Alexa, die unser Zuhause steuert, KI ist überall.

Aber was hat das alles mit Compliance zu tun und ist KI ein Geschenk des Himmels oder ein veritables Minenfeld?

Ein Blick auf die KI: Was steckt dahinter?

Künstliche Intelligenz ist im Grunde genommen der Versuch, menschliche Intelligenz in einer Maschine nachzubauen. KI-Systeme können lernen und eigenständig Entscheidungen treffen, und sie nutzen magische Technologien wie Maschinelles Lernen und Neuronale Netze. Aber bevor wir von künstlicher Superintelligenz träumen, die uns überflügelt, haben wir noch einen weiten Weg vor uns.

KI und Compliance: Ein Traumpaar?

Aber warum sollten sich Compliance-Verantwortliche überhaupt für KI interessieren? Ganz einfach: KI kann dort glänzen, wo riesige Datenmengen bewältigt werden müssen. Was Menschen Stunden kosten würde, erledigen KI-Algorithmen in Sekunden. Das bedeutet Effizienz und Entlastung der Mitarbeitenden.

Für die Compliance-Welt bedeutet das:

Schnellere Aufdeckung von Verstößen: KI kann bekannte und neue Muster erkennen, um Compliance-Verstöße aufzudecken – ein Segen für Banken bei der Betrugserkennung.
Verbesserte Risikoanalyse: KI kann Daten aus verschiedenen Quellen analysieren und korrelieren, um Compliance-Risiken zu bewerten.
Zeitersparnis bei der Dokumentation: Compliance-Manager können dank KI-Dokumentenanalyse mehr Zeit sparen und wichtige Informationen schneller finden.
Klare Kommunikation: Ein KI-gestützter Chatbot kann Compliance-Richtlinien verständlich vermitteln und ist immer zur Stelle, um Fragen der Mitarbeiter zu beantworten.

Vorsicht vor KI-Stolperfallen

Aber Vorsicht! KI ist nicht ohne Risiken. Was passiert, wenn ein KI-Chatbot Bewerber diskriminiert? Die Entscheidungen der KI basieren auf den Daten, mit denen sie gefüttert wird. Schlechte Daten oder Hacker-Manipulationen können zu Fehlern führen. Blindes Vertrauen in KI kann gefährlich sein.

Und dann ist da noch die Datenschutzfrage. KI-Systeme verarbeiten riesige Datenmengen, oft auch personenbezogene Informationen. Die Einhaltung der DSGVO ist entscheidend, aber es gibt noch viele ungeklärte Fragen.

Der EU AI Act: Ein Game-Changer

Aber die EU hat reagiert! Der EU AI Act soll die KI regulieren und die Entwicklung von verantwortungsbewusster KI fördern. Mit vier Risikostufen von minimal bis inakzeptabel werden Anwendungen geregelt. Verstöße können mit empfindlichen Geldstrafen geahndet werden. Dieses Gesetz wird Unternehmen ähnlich wie die DSGVO aufwirbeln.

Fazit: KI ist gekommen, um zu bleiben

Die KI-Revolution ist nicht aufzuhalten, und Compliance-Manager müssen sich anpassen. Der EU AI Act macht KI-Compliance zur Pflicht. Unternehmen müssen in dieser sich schnell ändernden Landschaft navigieren und auf Veränderungen vorbereitet sein.

Die Verbindung von KI und Compliance ist eine komplexe Reise. Aber eines ist sicher: Wir sollten uns darauf einstellen, denn die KI-Zukunft steht vor der Tür, und sie hält sowohl Chancen als auch Herausforderungen bereit.

MeineBerater-Tipp

Kommen Sie schon vor dem Einsatz von KI auf uns zu, damit wir für Sie die DSGVO-Konformität checken können und Sie das Wundermittel beruhigt einsetzen können 😉

Die unsichtbare Bedrohung: DDoS-Angriffe und wie Sie sich schützen können!

Posted 10. Oktober 2023 by Birgit von Maurnböck

Willkommen zu einem Blick hinter die Kulissen der digitalen Bedrohungen, die uns aufgrund ihrer Schnelligkeit fast den Atem nehmen. In einer Ära, in der jede Klickspur ein potenzielles Ziel ist, enthüllen wir heute die gefährliche Welt der DDoS-Angriffe. Aber keine Sorge, wir stehen bereit, um Sie mit den neuesten Erkenntnissen und Schutzmaßnahmen zu versorgen – und das spannend und leicht verständlich!

Was genau ist eigentlich ein DDoS-Angriff?

DDoS, oder „Distributed Denial of Service,“ ist eine Attacke, bei der Cyberkriminelle versuchen, eine Website, ein Netzwerk oder einen Dienst zu überlasten, indem sie eine Flut von Anfragen gleichzeitig senden. Stellen Sie sich vor, Sie sind in einem überfüllten Restaurant, und plötzlich strömen hunderte Gäste gleichzeitig herein, sodass der Service zusammenbricht. Genau das passiert bei einem DDoS-Angriff online.

Anstieg der DDoS-Angriffe im Jahr 2023

Netscout hat im ersten Halbjahr 2023 die Ergebnisse seines DDoS Threat Intelligence Reports veröffentlicht, aus denen folgende Erkenntnisse hervorgehen:

In der ersten Jahreshälfte 2023 verzeichneten Sicherheitsexperten einen alarmierenden Anstieg von DDoS-Angriffen. Ganze 7,9 Millionen solcher Angriffe wurden registriert, was einen deutlichen Anstieg um 31 Prozent im Vergleich zum Vorjahr darstellt. Die Gründe für diesen Anstieg sind vielfältig, darunter globale Ereignisse wie der Russland-Ukraine-Krieg und die NATO-Beitrittsverhandlungen.

DDoS-Angriffe und geopolitische Ereignisse

Besonders interessant ist, wie DDoS-Angriffe mit geopolitischen Ereignissen zusammenhängen. Schweden, zum Beispiel, sah sich einem massiven DDoS-Angriff ausgesetzt, als das Land eine NATO-Mitgliedschaft in Betracht zog. Der Angriff erreichte beeindruckende eine enorme Datenübertragungsrate von 500 Gbit/s! Das bedeutet, dass der DDoS-Angriff über eine beträchtliche Menge an Ressourcen und infizierten Geräten verfügte, um solch eine massive Datenflut zu erzeugen. Ähnliche Angriffe ereilten Finnland, die Türkei und Ungarn im Zusammenhang mit der finnischen NATO-Bewerbung.

Weltweit im Visier

Diese Angriffe sind nicht auf bestimmte Länder beschränkt. Ideologisch motivierte DDoS-Angriffe zielen auf verschiedene Länder weltweit ab, darunter die Vereinigten Staaten, die Ukraine, Finnland, Schweden, Russland und viele andere.

Experten warnen vor weiteren Entwicklungen

Experten warnen jedoch davor, dass die Angreifer ihre Taktiken weiterentwickeln. Weltgeschehnisse und der Ausbau von 5G-Netzen haben DDoS-Angriffe angeheizt. Cyberkriminelle nutzen maßgeschneiderte Infrastrukturen wie kugelsichere Hosts oder Proxy-Netzwerke, um Angriffe dynamischer und schwerer nachvollziehbar zu gestalten. Richard Hummel, Senior Threat Intelligence Lead bei Netscout, betonte die Beharrlichkeit der Angreifer bei der Suche nach neuen Angriffsmethoden.

Branchen im Fadenkreuz

Diese Angriffe treffen eine Vielzahl von Branchen, darunter Telekommunikation, Datenverarbeitung, elektronischer Handel, Versandhandel und Versicherungswesen. Unternehmen im Versicherungs- und Finanzwesen sind besonders anfällig für DDoS-Angriffe, da sie wertvolle finanzielle und persönliche Informationen verwalten.

DDoS-Abwehr: Ihre Verteidigungstaktik in sechs Schritten

Hier sind einige Schritte, die Sie in Erwägung ziehen sollten, um Ihre Organisation zu schützen:

DDoS-Schutzlösungen implementieren: Investieren Sie in leistungsstarke DDoS-Schutzlösungen, die den Datenverkehr analysieren und schädliche Aktivitäten erkennen können. Dies ermöglicht es Ihnen, Angriffe frühzeitig zu erkennen und abzuwehren.
Notfallplan entwickeln: Erstellen Sie einen Notfallplan, der klar definiert, wie Ihr Unternehmen auf einen DDoS-Angriff reagieren soll. Dies sollte die Kommunikation mit Mitarbeitenden, Kunden und Behörden einschließen.
Mitarbeiter schulen: Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahren von DDoS-Angriffen und schulen Sie sie im Umgang mit verdächtigem Verhalten und Phishing-Versuchen.
Regelmäßige Sicherheitsüberprüfungen: Führen Sie regelmäßige Sicherheitsüberprüfungen durch, um Schwachstellen in Ihrer IT-Infrastruktur aufzudecken und zu beheben.
Kooperation mit Sicherheitsdienstleistern: Arbeiten Sie mit externen Sicherheitsdienstleistern zusammen, die über Fachwissen und Ressourcen verfügen, um Ihre Organisation vor DDoS-Angriffen zu schützen.
Bereitschaft für geopolitische Ereignisse: Beachten Sie, wie geopolitische Ereignisse die Bedrohungslage beeinflussen können, und passen Sie Ihre Sicherheitsstrategie entsprechend an.

MeineBerater-Tipp

Die Sicherheit aller ihrer (technischen, finanziellen und personenbezogenen) Daten muss höchste Priorität haben, um die Existenz des Unternehmens nachhaltig zu sichern. Mit einer starken Cyberabwehr und proaktiven Sicherheitsmaßnahmen können Sie Ihre digitale Integrität bewahren und nicht zuletzt auch das Vertrauen Ihrer Kunden stärken.

Unser Chief Information Security Officer (CISO) steht Ihnen gerne zur Verfügung, um Unterstützung und Beratung bei der Umsetzung aller Maßnahmen anzubieten. Ihre Sicherheit liegt uns am Herzen, und wir sind für Sie da, um gemeinsam an Ihrer Cyberverteidigung zu arbeiten.

Die Geldwäsche-Verhinderung: Verstehen und richtig Handeln mit unserem Webinar

Posted 10. Oktober 2023 by Birgit von Maurnböck

Die Verhinderung von Geldwäsche und Terrorismusfinanzierung sind reale Herausforderungen, die nicht nur globale Unternehmen, sondern auch kleine und mittelständische Betriebe durchaus fordern.
Für Finanzdienstleister und Versicherungsmakler stellen sie eine besonders wichtige Angelegenheit dar, die gesetzlichen Vorgaben werden immer komplexer und komplizierter.

Sie kennen diese Begriffe, wissen aber nicht genau, wie der Fragebogen der Gewerbebehörde auszufüllen ist? Müssen Sie ihn an die Behörde schicken oder nur abspeichern? Was bedeutet die Abkürzung RW und wer zum Beispiel sind bekanntermaßen PEPs nahestehende Personen?

Um Licht ins Dunkel zu bringen laden wir Sie herzlich zu unserem bevorstehenden Webinar in Kooperation mit meine-weiterbildung.at ein:

Geldwäsche – Launiger Praxisdialog mit Birgit von Maurnböck und Sabine Wacek

In diesem Webinar werden wir gemeinsam die Definitionen von Geldwäsche und Terrorismusfinanzierung enträtseln und einen Blick auf die betroffenen Gewerbe und Rechtsgrundlagen werfen. Aber das ist noch nicht alles. Wir werden auch alle gesetzlich vorgeschriebenene Maßnahmen zur Verhinderung erörtern, den Prozess der Verdachtsmeldung an die Geldwäschemeldestelle aufdecken und darüber sprechen, wie Sie Ihre Aufzeichnungs- und Aufbewahrungspflichten effizient erfüllen können. Darüber hinaus werden wir die Rolle der Gewerbebehörde bei der Risikoerhebung näher beleuchten.

Wir sind fest davon überzeugt, Ihnen die Werkzeuge und das Wissen an die Hand zu geben, damit Ihnen in Sachen Einhaltung von Geldwäschevorschriften niemand mehr was vormachen kann.

Zielgruppe: Jede interessierte Person, vor allem jedoch Finanzdienstleister und Versicherungsmakler.

Datum: 04.12.2023
Uhrzeit: 09:30 Uhr
Dauer: 1 Stunde (anrechenbar)
Ort: Online

Anrechenbar gemäß MiFID II, IDD, Rechtskompetenz und Berufsrecht (Versicherungsmakler und Versicherungsagenten), Fachwissen: Wissensvertiefung – Allgemein, Berufs- und Verbraucherschutzrecht (gew. Vermögensberater).

Wir freuen uns auf Ihre Anmeldung über office@meineberater.at oder auf meine-weiterbildung.at.

Rekordstrafen im Datenschutz: Millionenstrafen für Google und TikTok

Posted 10. Oktober 2023 by Birgit von Maurnböck

Die Welt des Datenschutzes ist in Aufruhr, und zwei Tech-Giganten stehen im Rampenlicht. Google und TikTok wurden mit Rekordstrafen belegt, die so manche bisherigen Bußgelder in den Schatten stellen. Lassen Sie uns einen Blick auf die Hintergründe und die Bedeutung dieser Entscheidungen werfen.

Rekordstrafe 1: Google – Versteckte Standortverfolgung

Bußgeld: 86.672.879 EUR
Land: USA

Haben Sie sich jemals gefragt, wie Ihre Standortdaten von Unternehmen genutzt werden, selbst wenn Sie die Standortverfolgung deaktiviert haben? Google sah sich mit dieser Frage konfrontiert und musste nun erneut erhebliche finanzielle Mittel in Höhe von rund 86,7 Mio. Euro an Strafe abdrücken. Ja auch in den USA gibt es den Datenschutz!

Wiederholungstäter

2022 hat Google bereits 379,4 Mio. Euro in einem Vergleich mit über 40 US-Bundesstaaten bezahlt. Dieses Mal geht es um den Bundesstaat Kalifornien und die unerwünschte Standortverfolgung.

Zurück im Jahr 2018 beschuldigten Journalisten Google, den Standort von Benutzern aufzuzeichnen, obwohl diese die Standortverfolgung deaktiviert hatten. Nach langwierigen Untersuchungen kam der Generalstaatsanwalt zu dem Schluss, dass Google Benutzer getäuscht hat, indem persönliche Daten ohne Einwilligung für Profiling-Zwecke gesammelt und verwendet wurden. Bis 2019 war die Standortverfolgung sogar automatisch aktiviert, wenn man die Standard-Web- und Appaktivitäten von Google nutzte. Für personalisierte Werbung analysierte Google Bewegungsmuster. Die Verletzung des kalifornischen Verbraucherschutzgesetzes wurde aus kommerziellen Gründen begangen.

Verpflichtung zu mehr Datenschutz und Transparenz

Obwohl Google kein Fehlverhalten zugibt, hat das Unternehmen einer Reihe von Auflagen zugestimmt. Dazu gehört eine größere Transparenz bezüglich der Standortverfolgung und der allgemeinen Verarbeitung personenbezogener Daten. Die Botschaft ist klar: Datenschutz und Transparenz sind wichtiger denn je. Auch in den USA.

Rekordstrafe 2: Tik Tok – Mangelnder Datenschutz für minderjährige Nutzer

Bußgeld: 345.000.000 EUR
Land: Irland

Das beliebte Videoportal TikTok hat tief in die Tasche gegriffen und eine saftige Strafe von 345 Millionen Euro aufgebrummt bekommen. Der Grund? Eine Untersuchung zur Datenverarbeitung von Minderjährigen, die von der irischen Datenschutzbehörde durchgeführt wurde.

Untersuchung zur Datenverarbeitung von Minderjährigen

Besonders ins Visier genommen wurden Einstellungen, die vor drei Jahren in Kraft waren. Zum Beispiel konnten Beiträge von 13- bis 17-Jährigen standardmäßig von jedem gesehen werden, und die Kommentarfunktion war für alle zugänglich. Zusätzlich zur Geldbuße wurde TikTok aufgefordert, seine Datenverarbeitung innerhalb von drei Monaten der DSGVO anzupassen.

Bei schwerwiegenden Verstößen zeigen Datenschutzbehörden keine Gnade: Oder hat jemand etwa die Rekordstrafe von 1,2 Milliarden Euro, die Meta (ehemals Facebook) im Mai auferlegt wurde, vergessen?

Project Clover: TikTok kämpft um Vertrauen

Wie ernst das Thema Datenschutz genommen wird, beweisen auch die EU-Kommission und mehrere europäische Regierungen, die die Nutzung der TikTok-App auf Diensthandys ihrer Mitarbeiter verboten haben. TikTok kontert mit „Project Clover“, um das Vertrauen in Europa zurückzugewinnen. Dabei sollen der Zugriff auf persönliche Daten europäischer Nutzer strikt geregelt und transparent gemacht werden, indem es europäische Nutzerdaten in neue Rechenzentren verlagert und strenge Regeln für Datenschutz einführt.

MeineBerater-Tipp

Der Umgang mit Daten von Minderjährigen ist besonders heikel. Wenn Ihr Unternehmen mit solchen Daten arbeitet, stellen Sie sicher, dass Sie robuste Altersverifikationsmechanismen implementieren. Dies ist entscheidend, um sicherzustellen, dass minderjährige Nutzer angemessen geschützt werden. Erfüllen Sie die hohen rechtliche Anforderungen um Datenschutzverstöße und Strafen zu vermeiden.

Ihr Datenschutzpartner

Möchten Sie sicherstellen, dass Ihr Unternehmen in Datenschutzfragen auf dem richtigen Weg ist?
Wir sind in jeder Lebenslage Ihr Datenschutzpartner – Kontaktieren Sie uns jederzeit für Beratung und Schulungen 🙂

Neue Datenschutzregelung für den transatlantischen Datenaustausch: Was Unternehmen beachten müssen

Posted 31. August 2023 by Birgit von Maurnböck

Eine bedeutsame Veränderung im Datenschutz ist eingetreten – wir nehmen sie genauer unter die Lupe.

Data Privacy Framework

Das frisch eingeführte Datenschutzabkommen zwischen der EU und den USA, das unter dem Namen „Data Privacy Framework“ bekannt ist, hat die Bühne betreten und sorgt für Aufsehen. Dieses Abkommen, das von der Europäischen Kommission mit den USA abgeschlossen wurde, hat das Ziel, Datenschutzstandards zu wahren und ein solides Fundament für Datenschutz und Rechtssicherheit zu legen.

Datenübertragung in die USA

Aber was bedeutet das konkret für Unternehmen, die Daten an Unternehmen in den USA übertragen möchten?

Hier sind die essenziellen Punkte, die es zu beachten gilt:

Teilnahme am Datenschutzrahmen EU-USA: Unternehmen, die personenbezogene Daten von der EU an Unternehmen in den USA übertragen möchten, müssen dem sogenannten Framework in den USA beitreten. Dieser Schritt bedeutet, dass sie sich dazu verpflichten, die darin festgelegten Datenschutzpflichten gemäß EU-Standards einzuhalten.
Verantwortung für Datenschutzpflichten: Dies schließt verschiedene Verpflichtungen ein, darunter die Löschung von Daten, wenn der ursprüngliche Zweck ihrer Speicherung nicht mehr gegeben ist, sowie den Schutz der Daten beim Weitergeben an Dritte.
Beschränkter Zugriff durch US-Nachrichtendienste: Der Zugriff von US-Nachrichtendiensten auf Daten aus der EU wird auf das notwendige und angemessene Maß begrenzt. Unternehmen müssen sicherstellen, dass der Zugriff auf ihre übermittelten Daten im Einklang mit den vorgegebenen Beschränkungen steht.
Datenschutzüberprüfungsgericht: Ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC) wird eingerichtet, an das Einzelpersonen in der EU Beschwerden im Zusammenhang mit der Erhebung und Nutzung ihrer Daten durch US-Nachrichtendienste richten können. Unternehmen sind angehalten, bei der Zusammenarbeit mit diesem Gericht zu kooperieren, wenn Beschwerden eingehen.
Regelmäßige Überprüfung: Die Einhaltung des Datenschutzabkommens wird regelmäßig von der Europäischen Kommission, europäischen Datenschutzbehörden und zuständigen US-Behörden überwacht. Unternehmen sollten sich auf potenzielle Überprüfungen vorbereiten und sicherstellen, dass sie die Rahmenbedingungen kontinuierlich erfüllen.

Gibt es Zertifizierungen und Verträge?

Es ist wichtig zu betonen, dass für den Datenaustausch keine zusätzlichen Maßnahmen erforderlich sind, sofern das empfangende Unternehmen in den USA gemäß dem EU-US-Datenschutzrahmen zertifiziert ist UND entsprechende Verträge zwischen den Unternehmen abgeschlossen wurden (Controller to Controller, Controller to Processor). Unternehmen in der EU müssen vor der Datenübermittlung prüfen, ob das US-Unternehmen sich dem Framework unterworfen hat. Die Liste der zertifizierten Organisationen wird vom U.S. Department of Commerce veröffentlicht.

Verantwortung der EU-Unternehmen

Insgesamt liegt es in der Verantwortung der EU-Unternehmen, sicherzustellen, dass sie mit zertifizierten US-Unternehmen zusammenarbeiten, die die erforderlichen Datenschutzstandards einhalten. Die Zertifizierung und Überwachung dienen dazu, die Daten der EU-Bürger angemessen zu schützen und den transatlantischen Datenaustausch auf eine vertrauenswürdige Grundlage zu stellen.

Ein Tipp zum Abschluss

Nehmen Sie das Thema ernst. Nicht alle US-Software-Provider haben sich bisher dem Framework unterworfen, hier muss man sorgfältig prüfen. Entsprechende Datenverarbeitungsverträge müssen trotzdem abgeschlossen werden (Stichwort Auftragsverarbeitervertrag!). Wir unterstützen Sie auch bei diesem Thema selbstverständlich jederzeit gerne und monitoren permanent die „Mitglieder“ des Frameworks.

Aufgepasst: Die Umsetzung der internen Whistleblowing-Meldestelle ist fällig!

Posted 31. August 2023 by Birgit von Maurnböck

Wir möchten Ihnen hiermit in Erinnerung rufen, dass die Verpflichtung zur Umsetzung eines internen Meldekanals für viele Unternehmen bereits in Kraft getreten ist. Diese Entwicklung ergibt sich aus dem neuen „HinweisgeberInnenschutzgesetz“ (HSchG), das vom österreichischen Parlament am 25. Februar 2023 verabschiedet wurde, um die EU-Whistleblowing-Richtlinie auf nationaler Ebene umzusetzen.

Welche Unternehmen sind verpflichtet?

Gemäß den Bestimmungen des Gesetzes sind Unternehmen (vor allem mit Rechtsform AG, GmbH, OG und KG), im privaten und öffentlichen Sektor, die über 50 Mitarbeitende beschäftigen, dazu verpflichtet, interne Meldewege für anonyme Hinweisgeber einzurichten und auf eingehende Meldungen angemessen zu reagieren.

Wichtige Stichtage

Für die Umsetzung eines DSGVO-konformen internen Meldesystems sind zwei Stichtage relevant:

Stichtag: 25. August 2023

Unternehmen und öffentliche Einrichtungen, die eine Gesellschaft (AG, GmbH, OG, KG) sind, und mehr als 250 Mitarbeitende beschäftigen.
Unternehmen mit Tätigkeiten in „heiklen Bereichen“ wie Finanzdienstleistungen, Finanzprodukte und -märkte, Verhinderung von Geldwäsche und Terrorismusfinanzierung, Sicherheit in der Zivilluftfahrt, Schifffahrt sowie Sicherheit von Offshore-Erdöl und -Erdgasaktivitäten, unabhängig von der Mitarbeiteranzahl.

Stichtag: 17. Dezember 2023

Unternehmen und öffentliche Einrichtungen mit 50-249 Mitarbeitenden haben eine verlängerte Umsetzungsfrist.

Wir übernehmen gerne den Betrieb der Meldestelle für Sie. Unsere jahrelange Expertise in den Bereichen Compliance und Datenschutz schafft dafür die besten Voraussetzungen.

Die Vorteile einer externen Stelle sind vielfältig

Von der objektiven und sachlichen Bearbeitung der Hinweise bis zur Entlastung Ihrer internen Ressourcen. Zudem ermöglicht die Auslagerung eine firmenübergreifende Nutzung der gewonnenen Erkenntnisse für einen kontinuierlichen Verbesserungsprozess. Durchgehende Erreichbarkeit sowie ständige Fortbildung sind ohnehin Selbstverständlichkeiten für uns.

Noch eine Überlegung

Bietet man als Unternehmen keine interne Meldestelle an, wenden sich die Whistleblower künftig an externe Stellen: FMA, Datenschutzbehörde, Bundeskriminalamt, Staatsanwaltschaft, etc. Wenn eine Meldung einmal bei einer Behörde eingelangt ist, lässt sich (fast) nichts mehr reparieren.

Fazit

Das Aufklären von Unregelmäßigkeiten muss der Wunsch und das Ziel jedes Geschäftsführungsorgans sein – viele wertvolle Informationen kommen nur über anonyme Hinweisgeber in den obersten Ebenen an. „Anschwärzen“ kam über unsere Kanäle bisher so gut wie nie vor.

Kontaktieren Sie uns jederzeit – wir bieten für jede Unternehmensgröße attraktive Servicepakete an.

DSGVO-Update noch diesen Sommer?

Posted 28. April 2023 by Birgit von Maurnböck

Die DSGVO ist eine der bekanntesten europäischen Verordnung zur Regulierung des Datenschutzes. Nun soll aber bei eben jener Verordnung nachgebessert werden, um die Durchsetzung länderübergreifend effizienter zu gestalten.

Kritik an nationalen Behörden

Aktuell gibt es ein Problem bei der Bearbeitung von grenzüberschreitenden Fällen im Rahmen der aktuellen Regelung. Insbesondere bei größeren Fällen, die Unternehmen wie Meta, Google, Apple oder Amazon betreffen, werden die Verfahren von Behörden in zwei Ländern abgewickelt: der irischen Datenschutzbehörde und der luxemburgischen Behörde. Dies hat immer wieder zu Kritik geführt, da die Strafen für Verstöße als zu lasch empfunden werden. Die aktuelle Zuständigkeit ist durch das sogenannte „One Stop Shop“ Verfahren geregelt, was bedeutet, dass nur die Behörde in dem Land für Verstöße zuständig ist, in dem das betroffene Unternehmen seinen Hauptsitz hat. Da die Hauptsitze von vielen Tech-Giganten in Irland oder Luxemburg liegen, sind die irische und luxemburgische Behörde für die meisten Fälle zuständig.
Jedoch gibt es Bedenken hinsichtlich der Effektivität dieses Verfahrens, da es in der Vergangenheit zu Verzögerungen und Uneinigkeit zwischen den nationalen Behörden gekommen ist. Es wurde daher von vielen Seiten gefordert, dass die Zuständigkeit für grenzüberschreitende Fälle besser geregelt wird, um eine effektivere Strafverfolgung sicherzustellen. Der Europäische Datenschutzausschuss hat in diesem Zusammenhang eine „Wunschliste“ mit Forderungen zur Verbesserung grenzüberschreitender Verfahren vorgelegt.
Es bleibt abzuwarten, wie die neue Regelung aussehen wird und ob sie tatsächlich zu einer Verbesserung führt. Die Kommission plant, das kommende Gesetz gezielt und limitiert zu halten, um kontroverse Debatten mit Datenschützern, Aktivisten und Tech-Giganten zu vermeiden. Die Umsetzung soll jedoch bereits im 2. Quartal 2023 stattfinden, so dass wir bald mehr Klarheit über die neuen Regelungen und ihre Auswirkungen haben werden.

Wunschliste

Die Europäische Kommission plant eine „Harmonisierung“ des Verwaltungsverfahrens, um ein länderübergreifendes „reibungsloses Funktionieren der Kooperations- und Streitbeilegungsmechanismen“ zu gewährleisten. Genauere Details zu den neuen Regelungen sind noch nicht bekannt, aber im Oktober letzten Jahres hat der Europäische Datenschutzausschuss eine „Wunschliste“ vorgelegt, die Forderungen zur Verbesserung grenzübergreifender Verfahren enthält.
Die Kommission plant, das kommende Gesetz gezielt und begrenzt zu halten, da sie sich auf große Debatten mit Datenschützern, Aktivisten und Big-Tech-Lobbyisten einstellt. Oliver Micol, der Leiter der Kommission, sagt dazu in Politico: „Wie immer wird niemand mit dem Vorschlag der Kommission zufrieden sein, denn die Datenschutzbehörden sind sich über das Problem einig, nicht aber über die Lösungen.“ Die Tech-Giganten werden sich voraussichtlich gegen das neue Gesetz aussprechen, da es das System für mehr Vollzug effizienter machen wird.
Es ist jedoch auch klar, dass die Umsetzung neuer Regelungen nicht ohne Herausforderungen sein wird. Datenschützer und Aktivisten werden möglicherweise die Unzulänglichkeiten der neuen Regelungen aufzeigen und ihre Bedenken in Bezug auf den Schutz der Privatsphäre und der persönlichen Daten der Nutzer zum Ausdruck bringen. Auf der anderen Seite könnten Tech-Giganten argumentieren, dass die neuen Regelungen zu weitreichend sind und ihre Fähigkeit, Daten zu sammeln und zu nutzen, einschränken.
Letztendlich wird es eine Balance zwischen dem Schutz der Privatsphäre und der persönlichen Daten der Nutzer sowie der Förderung von Innovationen und der wirtschaftlichen Entwicklung geben müssen. Wir werden gespannt darauf warten, wie die neuen Regelungen konkret aussehen werden und wie sie sich auf die Zukunft des Datenschutzes in der Europäischen Union auswirken werden.

Unsere Praxistipps

Bleiben Sie „up-to-date“ um DSGVO-konform zu bleiben!

Daher: Abonnieren Sie am besten gleich unseren Newsletter, um „up-to-date“ zu sein! 😉

Schadenersatz für nicht beantwortetes Auskunftsbegehren

Posted 3. April 2023 by Birgit von Maurnböck

Eine richtungsweisende Entscheidung aus Deutschland? Mitte Februar gab es eine Entscheidung des Arbeitsgerichts Oldenburg, welche das betroffene Unternehmen verpflichtete, 10.000€ immateriellen Schadenersatz an einen ehemaligen Mitarbeiter zu zahlen.

Wie kam es dazu?

Der Arbeitnehmer stellte ein Auskunftsbegehren, welches ihm der Arbeitgeber zunächst verweigerte. Ganze 20 Monate später bekam der Arbeitnehmer dann vereinzelt Unterlagen, was natürlich nicht ausreichend war, denn der Arbeitnehmer hatte Kopien der gesamten Unterlagen verlangt (was dem Arbeitnehmer laut Art. 15 Abs. 3 DSGVO auch zusteht). Der Arbeitnehmer klagte den Arbeitgeber daher auf Schadenersatz und bekam Recht: Für jeden verstrichenen Monat muss der Arbeitgeber 500€ an Schadenersatz zahlen – in Summe also 10.000€.
Besonders spannend: Der Kläger musste dem ihm entstandenen Schaden nicht näher definieren, denn allein die Verletzung der DSGVO führe zu einem auszugleichenden immateriellen Schaden, befand das ArbG. Begründet wurde das mit dem präventiven Charakter des Schadenersatzanspruches, der abschreckend wirken soll.

Was kann man daraus lernen?

Unternehmen müssen unbedingt innerhalb der gesetzlich geregelten Fristen die Erfüllung von Betroffenenrechten sicherstellen. Das bedeutet, wie in diesem Fall deutlich gezeigt wurde, Auskunftsbegehren pünktlich zu beantworten. Dafür hat man einen Monat ab Eintreffen der Anfrage Zeit. Bei besonders hohem Aufwand oder bei besonders vielen Anfragen darf man als Unternehmen die Frist verlängern, muss den Betroffenen oder die Betroffene aber darüber aufklären.

Praxistipps

Beantworten Sie Auskunftsbegehren pünktlich und ausführlich. Übersenden Sie alle Unterlagen, in denen Daten der antragstellendenden Person vorkommen. Achten Sie aber auf Daten von Dritten, diese muss man schwärzen!
Vorsicht vor Strafen: Die Datenschutzbehörden verhängen immer mehr Strafen, wenn Betroffenenrechte nicht erfüllt werden!
Sie wissen nicht, wie Sie rechtskonform handeln? Kontaktieren Sie uns jederzeit. Wir haben mittlerweile dutzende Auskunfts- und Löschbegehren im Auftrag unserer Kunden erfüllt und sind darin echte Profis 🙂

Unglaubliche 1,64 Mrd. EUR an Strafen im Jahr 2022

Posted 14. Februar 2023 by Birgit von Maurnböck

Die international tätige Wirtschaftskanzlei DLA Piper veröffentlichte im Jänner dieses Jahres ihren jährlich erscheinenden Bericht zu DSGVO-Strafen und Datenpannen. Wir klären Sie dazu auf!

Jahr der höchsten Strafen

Im Jahr 2022 wurde ein Anstieg der Bußgelder und Strafen um insgesamt 50% verzeichnet – was bedeutet, dass es im EWR insgesamt rund 1,64 Mrd. EUR an Strafen wegen Verstößen gegen die DSGVO gegeben hat. Ein Großteil davon wurde in Irland vergeben, da dort viele der US-amerikanischen Tech-Konzerne ihren europäischen Sitz haben. Die höchste Einzelstrafe aus dem Vorjahr wurde auch in Irland vergeben, nämlich an die Meta-Tochter Instagram: stolze 405 Millionen EUR musste der Konzern wegen Datenschutzverstößen im Zusammenhang mit minderjährigen Usern zahlen. Auch die zweithöchste Strafe richtete sich gegen den Meta-Konzern, da mittels Scraping personenbezogene Daten von Facebook-Usern im Internet frei zugänglich gemacht wurden.
Auch in Österreich gab es mit 8 Millionen EUR eine sehr hohe Strafe, die den Rewe Konzern betraf – im speziellen das Kundenbindungsprogramm „Jö Bonus Club“. Noch ist diese Strafe nicht rechtskräftig, der Rewe-Konzern legte bereits Berufung dagegen ein.

Zielsetzung der Behörde

Neben der weiteren Verfolgung und Überprüfung von Datentransfer in Drittländer und verhaltensbasierter Werbung, setzten sich verschiedene europäische Datenschutzbehörden auch mit KIs auseinander. So gab es gleich in mehreren Ländern Millionenstrafen gegen Clearview AI, das ein KI-Programm ist, mit dem biometrische Profile von Personen erstellt werden können. Dafür wurden Milliarden an Fotos aus dem Internet gesammelt – weswegen diese KI auch unter die Zuständigkeit der europäischen Datenschutzbehörden fiel. Insgesamt beliefen sich die Strafen gegen Clearview AI auf 69 Millionen Euro, doch auch in Zukunft werden KIs und fortgeschrittene Algorithmen Thema der Datenschutzbehörden, da für die Funktion dieser unweigerlich personenbezogene Daten verwendet werden müssen. Der Datenschutz wird also weiter spannend bleiben!

Unsere Praxistipps

Der Datenschutz verändert sich ständig – bleiben Sie auf dem Laufenden!
Unser erklärtes Ziel ist, dass das Thema Strafen nie eines für Sie wird – daher unbedingt dran bleiben und nicht ignorieren.
Uns ist keine Frage zu klein und keine zu groß: Kommen Sie lieber einmal zu oft, als einmal zu selten auf uns zu – wir sind jederzeit für Sie da.

Author Archive

Ein Blick auf die KI: Was steckt dahinter?

KI und Compliance: Ein Traumpaar?

Vorsicht vor KI-Stolperfallen

Der EU AI Act: Ein Game-Changer

Fazit: KI ist gekommen, um zu bleiben

MeineBerater-Tipp

Was genau ist eigentlich ein DDoS-Angriff?

Anstieg der DDoS-Angriffe im Jahr 2023

DDoS-Angriffe und geopolitische Ereignisse

Weltweit im Visier

Experten warnen vor weiteren Entwicklungen

Branchen im Fadenkreuz

DDoS-Abwehr: Ihre Verteidigungstaktik in sechs Schritten

MeineBerater-Tipp

Rekordstrafe 1: Google – Versteckte Standortverfolgung

Wiederholungstäter

Verpflichtung zu mehr Datenschutz und Transparenz

Rekordstrafe 2: Tik Tok – Mangelnder Datenschutz für minderjährige Nutzer

Project Clover: TikTok kämpft um Vertrauen

MeineBerater-Tipp

Ihr Datenschutzpartner

Kritik an nationalen Behörden

Wunschliste

Unsere Praxistipps

Wie kam es dazu?

Was kann man daraus lernen?

Praxistipps

Jahr der höchsten Strafen

Zielsetzung der Behörde

Unsere Praxistipps