Kategorie: Allgemein

Die Nutzung von KI-Tools wie ChatGPT ist in vielen Unternehmen längst Teil des Arbeitsalltags. Doch sobald personenbezogene Daten verarbeitet werden, ist besondere Vorsicht geboten – denn dann greift die DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter ist in solchen Fällen zwingend erforderlich.

Wir zeigen Ihnen, wie Sie einen AVV mit OpenAI, dem Anbieter von ChatGPT, rechtskonform abschließen – und worauf Sie zusätzlich achten sollten.

🔍 Warum ist ein AVV notwendig?

Sobald personenbezogene Daten in ChatGPT eingegeben werden, liegt eine Verarbeitung durch einen externen Dienstleister vor – in diesem Fall OpenAI. Gemäß Art. 28 DSGVO ist in solchen Fällen ein AVV erforderlich, um die datenschutzrechtlichen Anforderungen zu erfüllen.

⚠️ Wichtiger Hinweis zur kostenlosen Version von ChatGPT

Wir empfehlen ausdrücklich, nicht die kostenlose Version von ChatGPT im Unternehmenskontext zu verwenden. In dieser Variante werden Nutzereingaben in der Regel für Trainingszwecke verarbeitet, was datenschutzrechtlich problematisch sein kann. Ein AVV ist zudem nur mit einem kostenpflichtigen Team- oder API-Zugang möglich.

🧾 So schließen Sie den AVV mit OpenAI ab:

1. Nutzung eines Team- oder API-Accounts
   Einen AVV können Sie nur abschließen, wenn Sie einen ChatGPT Team-Account oder einen API-Zugang verwenden.
2. Deaktivierung der Datenverarbeitung zu Trainingszwecken
   In den Einstellungen Ihres OpenAI-Kontos sollten Sie die Option zur Verwendung Ihrer Eingaben für Trainingszwecke deaktivieren – insbesondere, wenn sensible oder vertrauliche Daten verarbeitet werden.
3. AVV online ausfüllen und abschließen

• Rufen Sie das Data Processing Addendum von OpenAI auf.
• Scrollen Sie nach unten und klicken Sie auf „Execute Data Processing Agreement“.
• Tragen Sie Ihre Unternehmensdaten sowie Ihre Organization ID ein (diese finden Sie in Ihrem OpenAI-Konto).
• Senden Sie das Formular ab – Sie erhalten anschließend eine Bestätigung.

📘 Neu: Pflicht zur KI-Kompetenz nach der EU-KI-Verordnung

Mit Inkrafttreten der EU-KI-Verordnung (Verordnung (EU) 2024/1689) gelten neue Anforderungen für Unternehmen, die KI-Systeme einsetzen. Dazu gehört unter anderem, dass Mitarbeitende, die mit KI arbeiten, über ausreichende Kenntnisse und Kompetenzen im Umgang mit KI verfügen müssen.

👉 Wir unterstützen Sie gerne bei der Schulung Ihrer Mitarbeitenden und beim Nachweis der erforderlichen KI-Kompetenz – sprechen Sie uns einfach an!

✅ Unser Fazit

Ein Auftragsverarbeitungsvertrag mit OpenAI ist ein unverzichtbarer Schritt, um ChatGPT datenschutzkonform in Ihrem Unternehmen zu nutzen. Ebenso entscheidend ist es, Ihre Mitarbeitenden im verantwortungsvollen Umgang mit Künstlicher Intelligenz zu schulen und für mögliche Risiken zu sensibilisieren. Darüber hinaus sollten Unternehmen klare KI-Richtlinien einführen, um den sicheren, transparenten und ethischen Einsatz von KI-Anwendungen im Arbeitsalltag zu gewährleisten.

Bei Fragen oder Beratungsbedarf stehen wir Ihnen jederzeit gerne zur Verfügung.

Inzwischen gibt es viele Tools und Möglichkeiten, künstliche Intelligenz (KI) zu nutzen. Eines dieser Tools ist ChatGPT, ein Chatbot des US-Unternehmens OpenAI. Die Einsatzmöglichkeiten von ChatGPT sind unzählig: Texterstellung, Übersetzung oder Beantwortung von Fragen sind nur einige. ChatGPT nutzt dabei Bücher, Enzyklopädien oder Webseiten. Außerdem sammelt ChatGPT durch Nutzereingaben eine große Menge an Daten, um die KI für weitere Abfragen zu trainieren und sich so zu verbessern.

Je nach Nutzung kann es sich dabei auch um personenbezogene Daten handeln, z. B. wenn Nutzer diese an ChatGPT weitergeben oder von ChatGPT generierte Texte mit diesen verwenden. Aus Datenschutzsicht ist dies problematisch, da dies meist ohne die Einwilligung der betroffenen Personen erfolgt.

Doch neben der fehlenden Rechtsgrundlage für die Datenverarbeitung ist auch der US-Datentransfer, der nach derzeitiger Rechtslage ohne den Abschluss entsprechender Vereinbarungen datenschutzrechtswidrig erfolgt, problematisch. Werden mit ChatGPT personenbezogene Daten verarbeitet, kann es im beruflichen Kontext somit schnell zu einer Datenschutzverletzung kommen.

Nutzer müssen sich bewusst sein, dass OpenAI gemäß den Nutzungsbedingungen die E-Mail-Adresse und Telefonnummer des Nutzers mit den eingegebenen Fragen zusammenführen, die Daten für eine Vielzahl von Zwecken verwenden und an Dritte weitergeben kann. Kennen Nutzer die Gefahren und speisen keine personenbezogene Daten in ChatGPT ein, kann ChatGPT durchaus eine nette Spielerei im Alltag sein.

Zertifizierte Datenschutzbeauftragte – Joelle Hirsch

Endlich dürfen wir es verkünden, wir haben die DNS um einen weiteren Standort erweitert.

Zeitgleich begrüßen wir unsere 3 neuen erfahrenen Kollegen Jan Welhöner, Natascha Matz und Lukas Berg, die ab sofort für unsere Kunden vor Ort in Leipzig sind.

Wir stehen Ihnen rund um DATEV zur Verfügung:

Karl-Liebknecht-Straße 12
04107 Leipzig
+49 341 339 784 0
leipzig@systempartner.de

Am 20.09.2022 feiern wir eine Eröffnungsfeier in unserer Niederlassung Leipzig. Ein Event mit neuen innovativen Vorträgen, Überraschungsgast und After-Show-Party.

Lassen Sie sich dieses Event nicht entgehen.

Anmeldung unter: Events | dns GmbH (dns-systempartner.local/).

Unser Sommerfest und Teamevent 2022.

Alles begann mit einer lustigen und entspannten Busfahrt.

Gefolgt von einem starken Drachenbootrennen.

Niemand hätte gedacht, dass es so viel Spaß macht.

Nachdem das Siegerteam feststand, ging es auf das Schiff “Queen”

und das war der Start in einen unvergesslichen Abend.

Das Sommerfest hat uns einmal wieder bewiesen, was wir für ein tolles Team sind!

Einer für alle, alle für einen!

Wir freuen uns Sie ab sofort auch in Leipzig und Umgebung betreuen zu dürfen.

Wie Sie uns finden?

“Wünschmann-Haus” 

Karl-Liebknecht-Straße 12 

04107 Leipzig

Telefon: +49 341 3397840

leipzig@systempartner.de

Neben unserem DATEV Solution Partner Status sind wir nun offizieller DATEV Corporate Partner.

HILFE , WIR WURDEN GEHACKT! Auch wenn Sie solche Erfahrungen noch nicht gemacht haben, sicherlich werden Sie in den Medien bereits einiges darüber gehört haben. Viele Unternehmen trifft dann der bittere Schlag. Nicht nur Imageprobleme ziehen diese Misere mit sich, sondern auch ernsthafte Existenzschäden. Die meisten Unternehmen beginnen erst dann zu handeln, wenn es zu spät ist!

In nur wenigen Schritten sichern Sie Ihre Systeme ab:

1. E-Mail-System: Sichern Sie Ihre E-Mail-Infrastruktur ab. Eine zuverlässige Firewall überwacht den E-Mail-Verkehr von ein- und ausgehenden Nachrichten. Verdächtige Inhalte werden direkt herausgefiltert und sind für den Empfänger nicht mehr gefährlich. Halten Sie die Firewall stets aktuell.
2. Microsoft 365 Business Pakete wie Basic oder Standard reichen in dieser komplexdenkenden Hackerwelt nicht mehr aus. Wechseln Sie zu Microsoft 365 Business Premium. Warum? Der integrierte Antivirenschutz „Defender“ wird zentral auf allen Geräten bereitgestellt. Zusätzlich können Sie mit der Anwendung „Intune“ mobile Geräte (z. B. Diensthandy oder iPad) zentral von überall aus managen. Achten Sie darauf, dass sämtliche Antivirenprogramme sowie Softwarelösungen auf allen Endgeräten aktuell sind. Mit einer Monitoringsoftware lässt sich dies problemlos überwachen.
3. Überprüfen Sie die Datensicherung. Diese muss physikalisch vom System getrennt und an einem anderen Ort aufbewahrt werden. Auch Daten, die sich in der Cloud befinden, müssen zusätzlich gesichert werden! Nur so haben Sie die Garantie, dass sich ein Hackerangriff mit seinen möglichen Folgen wie Verschlüsselung nicht auf die komplette Datensicherung auswirken kann. Sind Sie bereits in der Terracloud, müssen Sie sich darum keine Sorgen machen.
4. Richten Sie auf allen Geräten eine 2-Faktor-Authentifizierung ein. Neben der Passworteingabe bestätigen Sie den Login zusätzlich auf einem weiteren Gerät (Diensthandy). Wenn Passwörter offengelegt werden, erlangen Hacker dennoch keinen Zugang zum System.
5. Testen Sie Ihre Mitarbeiter! Ein weiteres Feature von Microsoft 365 sind Fake-E-Mails an Mitarbeiter. Über den Test erhalten Sie eine Auswertung, welcher Mitarbeiter die E-Mail geöffnet, welcher Mitarbeiter auf den Link geklickt und welcher Mitarbeiter sogar seine Zugangsdaten eingegeben hat.

Wenn Sie noch nicht alle Schritte umgesetzt haben, ist jetzt der richtige Zeitpunkt. Ein Unternehmen in der heutigen Zeit kann und darf nicht mehr auf eine vollumfängliche IT-Sicherheit verzichten.

Denn sonst stellt sich bald die Frage: nicht ob, sondern wann!

Wir unterstützen Sie, melden Sie sich mit Terminvorschlägen zur Beratung bei uns.

Aus DATEV-System-Partner und DATEV-Lösungs-Partner wird nun DATEV Solution Partner für die Bereiche:

• DATEV Rechnungswesen
• DATEV Dokumentenmanagementsysteme (DMS)
• DATEV Cloud Anwendungen (DATEV Unternehmen online)

– Wir bilden uns für Sie weiter –

Unsere grandiosen Techniker haben in der letzten Woche fleißig die Schulbank gedrückt, um ihr DATEV-Wissen auf den aktuellen Stand zu bringen. Wir gratulieren zu den bestandenen DATEV-Prüfungen.

Aktuell kümmern sich:

• 10 zertifizierte DATEV-Techniker um Ihre Fehlerbehebungen und DATEV-Updates
• 6 Mitarbeiter im Consulting um die Einrichtung, Schulung und Hilfestellung

Als zertifizierter DATEV-System- und -Lösungs-Partner bekommen Sie alles aus einer Hand!

Unser Portfolio:

• DATEV Rechnungswesen
• DATEV Dokumentenmanagementsystem
• DATEV Eigenorganisation
• DATEV Unternehmen online​ 
• Arbeitnehmer online + Digitale Personalakte​ 
• DATEV Meine Steuern​ 
• Stammdatenbereinigung ​ 
• Kostenrechnung​ 
• Anlagenbuchführung​ 

Folgen Sie uns auf Facebook: DNS Datentechnik, Netzwerk und Systemhaus GmbH und Instagram: dns GmbH (@dns_gmbh)

Ihr DNS-Team

Sicherheitslücken bei Microsoft Exchange-Mail-Servern alarmieren derzeit Datenschützer und Behörden weltweit. Bereits Anfang März warnte Microsoft vor den Sicherheitslücken, dann das Bundesamt für Sicherheit in der Informationstechnik (BSI) und anschließend auch die Aufsichtsbehörden. Gleichzeitig veröffentlichte Microsoft Sicherheitsupdates und verkündete, dass die Sicherheitslücken bereits ausgenutzt worden seien.

Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Betroffen sind die Exchange-Server-Versionen 2013, 2016 und 2019. Lediglich Exchange Online und solche Server, die ausschließlich über vertrauenswürdige Verbindungen erreicht werden können (VPN), sind von den Attacken nicht betroffen.

Trotz Rundschreiben BSI und sofortiger Sicherheitsupdates durch Microsoft dürften noch bei einer Vielzahl von Unternehmen die Mail-Server weiterhin akut gefährdet sein. Das BSI geht davon aus, dass verwundbare Systeme mit hoher Wahrscheinlichkeit auch bereits attackiert und mit Schadsoftware infiziert sind. Das BSI hat bislang rund 10.000 betroffene Unternehmen angeschrieben und Gegenmaßnahmen empfohlen. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte aber deutlich höher liegen.

Wir empfehlen Ihnen dringend das Einspielen der bereitgestellten Sicherheitsupdates. Angesichts des hohen Schadenspotentials prüfen Sie anschließend bitte, ob die Maßnahme zu spät erfolgte und bereits Schadcode installiert wurde. Zur Analyse stellt Microsoft ein eigenes Prüf-Script zur Verfügung, anhand dessen Systemadministratoren Anhaltspunkte für Angriffe auf die Systeme erhalten können.

Gerne unterstützen wir Sie bei der Analyse – sprechen Sie uns einfach an.

Bitte beachten Sie, dass festgestellte Datenschutzverletzungen der zuständigen Aufsichtsbehörde gemeldet werden müssen. Auch hier unterstützen wir Sie gerne.

Weitere Informationen finden Sie unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html