Gestern fand der Europäische Datenschutztag 2024 statt. Seit 2007 wird der Aktionstag um den 28. Januar begangen, um Bürgerinnen und Bürger an die Relevanz des Datenschutzes zu erinnern. Der „Privacy Day“ ist eine Initiative des Europarates und für Institutionen und Behörden meist Anlass für Veranstaltung rund um die Sensibilisierung zum Thema Datenschutz. Wir haben diese Gelegenheit genutzt, um mit unserem IT Security-Experten Sören Schaaf über die wichtigsten To Do’s zu sprechen, mit denen wir uns als Unternehmen und Privatpersonen in diesem Jahr beschäftigen sollten. Dass das Thema KI auch hier natürlich ganz weit vorn steht, wird niemanden überraschen. Doch auch darüber hinaus, gibt Sören spannende Tipps u.a. zur Whistleblower-Richtlinie, zu Cybersecurity und mehr.
Sören, du bist Experte im Bereich IT-Security. Was sind gerade die absoluten Schlagworte in deinem Job?
Ein IT-Security-Buzzword-Bingo würde ich aktuell wahrscheinlich schnell gewinnen mit: Whistleblower-Richtlinie, Künstliche Intelligenz und Cybersecurity.
Das Hinweisgeberschutzgesetz bzw. die Whistleblower-Richtlinie hat uns schon im letzten Jahr beschäftigt. Welche Aufgaben werden dazu noch an Unternehmen gestellt?
Richtig, die Whistleblower-Richtlinie gilt seit Dezember 2023 nun auch für Unternehmen mit 50 Mitarbeitenden und mehr. Die Einführung einer internen Meldestelle, bei der Verstöße gegen Gesetze oder Regelungen anonym oder nicht-anonym aufgezeigt werden können, ist das eine. Wichtig ist, dass bei allen Prozessen diesbezüglich im Sinne der Hinweisgebenden auch die Vorschriften der Datenschutzgrundverordnung (DSGVO) eingehalten sind. Außerdem wird den Beschäftigten hier sehr viel Vertrauen abverlangt, dass ihre Hinweise korrekt bearbeitet und behandelt werden. Hier sind Arbeitgeber eindeutig in der Pflicht, Aufklärungsarbeit zu leisten und den Datenschutz abzusichern.
Du hast das Thema Cybersecurity angesprochen und wir lesen inzwischen regelmäßig Schlagzeilen über Hackerangriffe, die ganze Firmen lahmlegen. Wie können sich Unternehmen besser gegen Cyberattacken schützen?
Cybersecurity war und wird immer eine wichtige Aufgabe für Unternehmen sein. Gerade in kleinen und mittelständischen Unternehmen fehlen dazu jedoch oft die Ressourcen und vielleicht sogar das Wissen. Wer keine eigene Position dafür schaffen kann, könnte die IT-Security auslagern. Unternehmen können außerdem mehr in Weiterbildung der IT-Verantwortlichen investieren. Hauptpunkt sind leider auch oft die Anwender*innen selbst, die auf noch so verführerisch lautende Links und Anhänge in Mails klicken. Zukünftig könnte ich mir vorstellen, dass hier Technologien mit künstlicher Intelligenz unterstützen, doch das wird Fluch und Segen zugleich sein. KI kann uns helfen, Cyberattacken schneller zu erkennen und rechtzeitig zu handeln, aber der Einsatz birgt natürlich immer auch Risiken.
Dann sind wir schon beim Top-Thema KI: 2026 soll der der AI Act der Europäischen Union in Kraft treten, damit die Verarbeitung personenbezogener Daten darüber sicher geregelt ist. Bis dahin kommen wir an KI-Technologien jedoch kaum mehr vorbei. Was können Unternehmen deshalb heute schon tun?
Die größte Herausforderung ist, bei der Nutzung von KI-Technologien besonnen zu bleiben. Die Begeisterung zu den neuen Möglichkeiten lassen uns über mögliche Risiken hinwegsehen. Damit wir nichts verpassen, sind wir schnell bereit, mit unseren Daten zu bezahlen. Besonders im geschäftlichen Kontext kann die Nutzung von KI weitreichende Folgen haben. Natürlich ist es verlockend, Texte, Codes und mehr von ChatGPT & Co. schreiben zu lassen, doch wie schnell sind im Prompt Interna oder schützenswerte Unternehmensdaten eingegeben und was passiert dann damit? Auch habe ich während meiner Arbeit schon KI-generierte Texte gesehen, die man ungeprüft als bare Münze nehmen darf. Unternehmen sollten deshalb schon heute Regeln für die Nutzung von künstlicher Intelligenz aufstellen und klar definieren, für welche Zwecke und mit welchen Daten sie intern genutzt werden darf. Außerdem rate ich in meinen Audits immer, den Einsatz neuer Technologien vorab von Datenschutzbeauftragten prüfen und freigeben zu lassen, den Einsatz gut zu dokumentieren sowie Mitarbeitende regelmäßig zu sensibilisieren.
Für die Umsetzung der DSGVO hatten Unternehmen jetzt einige Jahre Zeit. Siehst du diesbezüglich noch Schwächen bei den Unternehmen, mit denen du arbeitest?
Ich bin der Ansicht, dass vor allem Awareness-Maßnahmen einen höheren Stellenwert haben sollten. Wie schon beim Thema Cybersecurity ist das Angriffsobjekt im KMU-Umfeld nicht unbedingt die Firma selbst, sondern ungeschulte Mitarbeitende, die den Schadcode durch Fehlbedienungen ins Unternehmen holen. Die technologischen und gesetzlichen Anforderungen werden meist erfüllt, aber die Aufklärung der Mitarbeitenden ist leider oft nur ein nice-to-have nach Mindestmaß. In meinen Vorträgen empfehle ich allen Verantwortlichen beispielweise regelmäßige Sensibilisierung im Intranet, kleine E-Learnings und Transparenz zum Umgang mit Daten.
Vor ein paar Wochen hast du einen sehr spannenden Vortrag für unsere Fach- und Führungskräfte gehalten. Demnach sind wir alle ganz schön freizügig mit unseren Daten, besonders in sozialen Netzwerken. Was können wir als Privatpersonen tun, um unsere Daten besser zu schützen?
Es wird schwieriger, Phishing-Methoden und Betrugsversuche eindeutig als solche zu identifizieren. Gerade bei E-Mails sollten wir wachsam bleiben und auf Nummer sicher gehen, sobald der geringste Zweifel besteht. Sobald von großen Gewinnen ohne adäquaten Gegenwert die Rede ist, werde ich immer skeptisch. Außerdem sollten wir bewerten, welche Daten wir wirklich in sozialen Medien der Öffentlichkeit preisgeben wollen. Das Geburtsdatum ist mein beliebtestes Beispiel: Unbefugte könnten damit schnell jede Menge Vorgänge auslösen und verifizieren. Hunderte Glückwünsche von Freunden und Fremden auf Facebook sind das sicher nicht wert.
Du berätst neben Deiner Tätigkeit als IT-Security Auditor auch zahlreiche Unternehmen zu Datenschutz und Informationssicherheit, welche Treiber nimmst du aktuell in deinem Alltag verstärkt war?
Im IT-Security Consulting nehme ich aktuell großen Bedarf im Gesundheitswesen wahr. Mit dem elektronischen Rezept und der digitalen Patientenakte (ePA) wird ein wesentlicher Teil des Gesundheitssystems digitalisiert, was die Anforderungen an den Datenschutz für Arztpraxen, Krankenhäuser, Pflegeheime und Gesundheitseinrichtungen natürlich erhöht. Für mein Gefühl geht die Handhabung des eRezeptes zum Teil an der Wirklichkeit vorbei. Noch bringt es für Ärzte aufwändigere Routinen mit sich und später können in der Apotheke die Dinge doch nicht so einfach gelöst werden, wie es gedacht war. Hier wird meines Erachtens auch die Zeit zeigen, ob wir hier wirklich schon so digital sind. Die ePA bietet zwar Möglichkeiten zum Datenschutz, aber es fehlt weiterhin an genügend Aufklärung für Behandelnde und Patient*innen.
Außerdem steht der Beschäftigtendatenschutz immer wieder auf dem Programm. Dieser betrifft jedes Unternehmen, die Digitalisierung spielt eine große Rolle und es gibt dazu meist noch zu viel Interpretationsspielraum.
Sören Schaaf ist Chief Information Security Officer der TAS AG und zertifizierter IT-Security Auditor. Mit mehr als 20 Jahren Erfahrung berät er Unternehmen aller Branchen zu den Themen Informationssicherheit und Datenschutz, begleitet Zertifizierungen nach ISO 27001 und ist als externer Datenschutzbeauftragter im Einsatz. Er gehörte bereits zu den Top 50 CIOs im deutschsprachigen Raum und wurde von der Zeitschrift COMPUTERWOCHE ausgezeichnet.