Datenschutz- und CompLiance-Notizen

Der DATA ACT ist da

Für alle Hersteller von vernetzten Geräten und Cloud-Diensten gibt es ab September 2025 neue Pflichten, die im DATA ACT konkretisiert sind. Der DATA ACT als europäische Verordnung gilt unmittelbar mit Gesetzeswirkung in den Mitgliedsstaaten der EU. Den Gesetzestext finden Sie hier.

Benutzer von vernetzten Geräten erhalten ein Auskunftsrecht darüber, was die Geräte – übrigens vom Smartphone über Smart-Watches bis zum zum vernetzten Automobil – an Daten sammeln und müssen diese auf Anfrage bereitstellen.

Natürlich ergibt sich hier eine große Überschneidungsmenge mit personenbezogenen Daten – aber den Auskunftsanspruch haben hier nicht nur natürliche Personen, sondern auch juristische.

Der deutsche Gesetzgeber hat (Stand 05.09.2025) noch keine Informationen darüber veröffentlicht, wie Beratung und Kontrolle des Gesetzes umgesetzt werden sollen – ob durch Landesbehörden, Bundesnetzagentur oder BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit). Aufgrund der Überschneidungsmenge mit personenbezogenen Daten werden (zumindest dafür) die Landesbehörden zuständig sein.

In jedem Falle müssen Hersteller (in der Verordnung Dateninhaber genannt) die Daten auf Anfrage bereitstellen (ab 12.09.2025) und für ab dem 12.09.2026 in den Verkehr gebrachte Produkte ab dem 12.09.2026 standardmäßig bereitstellen.

In der Benutzeroberfläche des Gerätes muss es also dann eine Funktion geben, die die Daten zum Download anbietet oder direkt anzeigt.

Viele Geräte zeigen heute nur einen Bruchteil der Daten an, die durch Sensoren gewonnen, gespeichert und an den Hersteller übertragen werden.

Hier möchte der europäische Gesetzgeber Transparenz schaffen.

  • Post

Unser Tip: Bleiben Sie informiert!

Auch für Verbraucher ist es wichtig, einen gewissen Kenntnisstand über IT-Sicherheit zu haben!

Darunter fallen alle Themen rund ums Smartphone, PC, Laptop und Tablet – aber natürlich auch die heimischen Geräte im eigenen Netzwerk, WLAN-Router, Home-Automatisierung und Drucker! Alle diese Geräte können potentiell Sicherheitsrisiken darstellen, wenn zum Beispiel wichtige Updates nicht gemacht werden.

Und natürlich ist auch wichtig, dass Sie wissen, wie Sie sich von Gefahren aus dem Internet schützen können, oder wie Sie Angriffe erkennen können.

Daher empfehlen wir den kostenlosen monatlichen Newsletter „Einfach – Cybersicher“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Einmal im Monat per E-Mail erhalten Sie wertvolle Informationen rund um Cyber-Sicherheit.

Die Homepage des Newsletters, wo Sie auch vergangene Exemplare aufrufen können, können Sie hier aufrufen: BSI – Newsletterseite – dort können Sie den Newsletter auch direkt bestellen: Newsletter Abo-Link.

  • Post

Unsere Datenschutz-Plattform: OpenProject

Wir arbeiten mit unseren Kunden über OpenProject, eine Open-Source Plattform zusammen. Unsere Daten sind sind nicht in einer öffentlichen Cloud gespeichert, sondern auf einem eigenen Server, in einem Rechenzentrum bei Hetzner natürlich datenschutzkonform gehostet wird. Selbstverständlich können alle Kunden ihre Daten selbst exportieren und haben so jederzeit Zugriff auf alle Daten.

In OpenProject wird die gesamte Zusammenarbeit dokumentiert, das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellt, aber auch alle Verträge mit Dienstleistern und Partnern rund um den Datenschutz gespeichert. Alle Kunden haben Zugriff auf ein Informationsprojekt, in dem wir viele Vorlagen für die Nutzung in Unternehmen gespeichert haben.

Alle Kunden können auf Wunsch mehrere Accounts im System bekommen und können so verschiedene Datenschutz-Koordinatoren in die Datenschutz-Organisation einbinden.

Auch das Management kann natürlich eigene Accounts bekommen, um so ständig die Tätigkeiten beobachten zu können und um informiert zu bleiben.

  • Post

Welcher Passwort-Manager?

Immer wieder werden wir gefragt, welchen Passwort-Manager sollen wir nutzen?

Die Antwort hängt ganz von Ihnen ab.

Privat ist alles besser als nichts!

Fallen Sie aber bitte nicht auf Lockangebote im App- oder Playstore herein sondern suchen sich einen vertrauenswürdigen Anbieter heraus.

Wir können für den privaten Einsatz Dashlane empfehlen, für die IT-affineren wäre Keepass (bzw. KeepassXC) zu empfehlen

Selbst die Passwort-Manager von Apple und Google sind besser, als überall das gleiche Passwort zu benutzen.

In der Organisation bzw. Firma wäre ein gemanagter Passwort-Manager sinnvoll.

Wir nutzen Passbolt, der als Open Source Passwortmanager auf einem Linux Ubuntu System gehostet ist.

Wir hosten übrigens alle Server bei Hetzner. So verlassen unsere und die Daten unserer Kunden nie die EU und werden datenschutzkonform verwaltet.

Wer nicht selbst hosten kann und will, bei Passbolt in Luxembourg kann man den Service in der Cloud bekommen.

  • Post

Unsere TOP 10 der wichtigsten Sicherheitsmaßnahmen

– Nutzen Sie für alle Dienste unterschiedliche Kennwörter

– Nutzen Sie einen Passwort-Manager – oder auch für die IT: Geben Sie Ihren Beschäftigten einen Passwort-Manager

 – Nutzen Sie Mehrfaktor-Authentifikation, wo auch immer sie nutzbar ist

– Prüfen Sie die Links (URLs) von Links in E-Mails bevor Sie klicken und klicken nur auf korrekte Links

– Löschen Sie Phishing E-Mails gleich, so können Sie später nicht aus Versehen auf einen Link klicken

– Machen Sie – auch privat – Updates

– Für die IT: trennen Sie administrative und nicht-administrative Konten

– Für die IT: loggen Sie sich zum Troubleshooting immer mit einem Account mit möglichst niedrigen Privilegien ein

– Für die IT: benutzen Sie lokale Konto mit unterschiedlichen Kennwörtern für Endgeräte

– Für die IT: benutzen Sie nur personalisierte Konten

 

  • Post

KI-Einsatz, aber richtig

Viele unserer Kunden haben KI im Einsatz, meistens viel mehr, als der IT und dem Management bekannt ist.

Daher ein paar Empfehlungen:

– Leisten Sie sich lizenzierte Zugänge zu den KI Providern und lassen Ihre Beschäftigten nicht mit den kostenlosen Versionen arbeiten. Warum? Weil sich in der Regel nur dann die Lernfunktion für alle Benutzer der KI abschalten lässt – d.h. die KI speichert Daten und lernt nur im Kundenkontext. Ansonsten laufen Sie in Gefahr, dass vertrauliche oder personenbezogene Daten in das „Allgemeinwissen“ der KI übergehen.

– Erstellen Sie eine KI-Richtlinie, die verbindlich für alle Beschäftigten gilt. Nur dann können Sie organisatorisch vorgeben, wie sich die Beschäftigten zu verhalten haben und welche KI(s) zu benutzen sind.

– Prüfen Sie die datenschutzrechtliche Vereinbarung mit dem KI Provider – eine Vereinbarung im Sinne des Art. 28 DSGVO ist Pflicht. Das funktioniert bei Microsoft Office365 bzw. Microsoft Copilot genauso wie bei ChatGPT bzw. OpenAI über ein entsprechendes DPA (Data Processing Addendum mit Standardvertragsklauseln der EU).

  • Post