Datenschutz- und CompLiance-Notizen

Unsere Datenschutz-Plattform: OpenProject

Wir arbeiten mit unseren Kunden über OpenProject, eine Open-Source Plattform zusammen. Unsere Daten sind sind nicht in einer öffentlichen Cloud gespeichert, sondern auf einem eigenen Server, in einem Rechenzentrum bei Hetzner natürlich datenschutzkonform gehostet wird. Selbstverständlich können alle Kunden ihre Daten selbst exportieren und haben so jederzeit Zugriff auf alle Daten.

In OpenProject wird die gesamte Zusammenarbeit dokumentiert, das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellt, aber auch alle Verträge mit Dienstleistern und Partnern rund um den Datenschutz gespeichert. Alle Kunden haben Zugriff auf ein Informationsprojekt, in dem wir viele Vorlagen für die Nutzung in Unternehmen gespeichert haben.

Alle Kunden können auf Wunsch mehrere Accounts im System bekommen und können so verschiedene Datenschutz-Koordinatoren in die Datenschutz-Organisation einbinden.

Auch das Management kann natürlich eigene Accounts bekommen, um so ständig die Tätigkeiten beobachten zu können und um informiert zu bleiben.

Welcher Passwort-Manager?

Immer wieder werden wir gefragt, welchen Passwort-Manager sollen wir nutzen?

Die Antwort hängt ganz von Ihnen ab.

Privat ist alles besser als nichts!

Fallen Sie aber bitte nicht auf Lockangebote im App- oder Playstore herein sondern suchen sich einen vertrauenswürdigen Anbieter heraus.

Wir können für den privaten Einsatz Dashlane empfehlen, für die IT-affineren wäre Keepass (bzw. KeepassXC) zu empfehlen

Selbst die Passwort-Manager von Apple und Google sind besser, als überall das gleiche Passwort zu benutzen.

In der Organisation bzw. Firma wäre ein gemanagter Passwort-Manager sinnvoll.

Wir nutzen Passbolt, der als Open Source Passwortmanager auf einem Linux Ubuntu System gehostet ist.

Wir hosten übrigens alle Server bei Hetzner. So verlassen unsere und die Daten unserer Kunden nie die EU und werden datenschutzkonform verwaltet.

Wer nicht selbst hosten kann und will, bei Passbolt in Luxembourg kann man den Service in der Cloud bekommen.

Unsere TOP 10 der wichtigsten Sicherheitsmaßnahmen

– Nutzen Sie für alle Dienste unterschiedliche Kennwörter

– Nutzen Sie einen Passwort-Manager – oder auch für die IT: Geben Sie Ihren Beschäftigten einen Passwort-Manager

 – Nutzen Sie Mehrfaktor-Authentifikation, wo auch immer sie nutzbar ist

– Prüfen Sie die Links (URLs) von Links in E-Mails bevor Sie klicken und klicken nur auf korrekte Links

– Löschen Sie Phishing E-Mails gleich, so können Sie später nicht aus Versehen auf einen Link klicken

– Machen Sie – auch privat – Updates

– Für die IT: trennen Sie administrative und nicht-administrative Konten

– Für die IT: loggen Sie sich zum Troubleshooting immer mit einem Account mit möglichst niedrigen Privilegien ein

– Für die IT: benutzen Sie lokale Konto mit unterschiedlichen Kennwörtern für Endgeräte

– Für die IT: benutzen Sie nur personalisierte Konten

 

KI-Einsatz, aber richtig

Viele unserer Kunden haben KI im Einsatz, meistens viel mehr, als der IT und dem Management bekannt ist.

Daher ein paar Empfehlungen:

– Leisten Sie sich lizenzierte Zugänge zu den KI Providern und lassen Ihre Beschäftigten nicht mit den kostenlosen Versionen arbeiten. Warum? Weil sich in der Regel nur dann die Lernfunktion für alle Benutzer der KI abschalten lässt – d.h. die KI speichert Daten und lernt nur im Kundenkontext. Ansonsten laufen Sie in Gefahr, dass vertrauliche oder personenbezogene Daten in das „Allgemeinwissen“ der KI übergehen.

– Erstellen Sie eine KI-Richtlinie, die verbindlich für alle Beschäftigten gilt. Nur dann können Sie organisatorisch vorgeben, wie sich die Beschäftigten zu verhalten haben und welche KI(s) zu benutzen sind.

– Prüfen Sie die datenschutzrechtliche Vereinbarung mit dem KI Provider – eine Vereinbarung im Sinne des Art. 28 DSGVO ist Pflicht. Das funktioniert bei Microsoft Office365 bzw. Microsoft Copilot genauso wie bei ChatGPT bzw. OpenAI über ein entsprechendes DPA (Data Processing Addendum mit Standardvertragsklauseln der EU).