Einen Lagebericht für ein Unternehmen von einer KI wie ChatGPT erstellen zu lassen, kann verlockend sein. Doch Vorsicht: Welche Informationen verlassen dabei die Kanzlei? Das Verschwiegenheitsgebot und der Schutz personenbezogener Daten gelten auch bei der Nutzung neuer Medien, inklusive KI und Suchmaschinen wie Google. Doch dies ist nicht die einzige Risikoquelle.
Neue Medien – von sozialen Netzwerken über Cloud-Dienste bis zu mobilen Apps – bieten zahlreiche Möglichkeiten für Kommunikation, Unterhaltung und Arbeit. Mit ihrer Verbreitung steigen jedoch auch die Risiken, insbesondere durch Cyberangriffe. Sensible persönliche Informationen können durch Datenlecks, Hacking oder unzureichende Datenschutzeinstellungen in falsche Hände geraten und für Cyberangriffe genutzt werden. Unternehmen und Plattformen müssen zunehmend Datenschutzvorgaben und gesetzliche Anforderungen an die Informationssicherheit beachten und dies mit Testaten und Zertifikaten belegen (etwa ISO 27001, C5 u. v. m.).
Software und Anwendungen können Schwachstellen enthalten, die Cyberkriminelle ausnutzen, um auf Geräte oder Netzwerke zuzugreifen. Regelmäßige Updates und Patches sind entscheidend, um diese Lücken zu schließen. Auch Phishing und Scams sind ernst zu nehmende Bedrohungen: Soziale Medien und KI erleichtern betrügerische Praktiken, die Nutzerinnen und Nutzer dazu verleiten, sensible Informationen preiszugeben oder Schadsoftware herunterzuladen.
Auf europäischer Ebene gibt es zahlreiche regulatorische Vorgaben bezüglich Datennutzung, Marktregulierung, Vertrauen in Ergebnisse und Informationssicherheit sowie gesetzliche Aktivitäten und deren Relevanz für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte.
Digital Services Act (DSA)
Die Verordnung über Digitale Dienste (EU) 2022/2065 regelt die Betreiberpflichten von Online-Plattformen und – Marktplätzen im Hinblick auf rechtswidrige Inhalte. Sie ergänzt die E-Commerce-Richtlinie und verpflichtet große Anbieter innerhalb der EU zu Maßnahmen gegen rechtswidrige Inhalte sowie zum besseren Schutz und zur Information der Nutzer. In Deutschland wurde im Mai 2024 der Begriff „Telemedien“ im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) durch „Digitale Dienste“ ersetzt. Das Telemediengesetz (TMG) entfiel, und die Impressumspflicht findet sich nun im § 5 Digitale Dienste Gesetz (DDG). Informationen und Dokumentationen auf Webseiten müssen entsprechend angepasst werden.
Digital Markets Act (DMA)
Der Digital Markets Act (EU 2022/1925) richtet sich an Gatekeeper, also Betreiber zentraler digitaler Plattformen, und regelt zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen. Betroffen sind Betreiber systemrelevanter Plattformen sowie deren gewerbliche Nutzer und Wettbewerber.
Data Act
Der Data Act (EU 2023/2854) fördert einen wettbewerbsfähigen Datenmarkt außerhalb personenbezogener Daten, eröffnet Möglichkeiten für datengestützte Innovationen und erleichtert den Zugang zu Daten. Neue Dienstleistungen für Kundendienst und Reparaturen vernetzter Gegenstände sollen so zu wettbewerbsfähigeren Preisen ermöglicht werden.
AI Act (EU 2024/1689)
Die Verordnung über den Einsatz künstlicher Intelligenz (KI) gibt einen umfassenden Rechtsrahmen zur Nutzung von KI in Europa vor. Die Nutzung wird in verschiedene Risikoklassen unterteilt und richtet sich an Anbieter und Betreiber.
NIS2-Richtlinie
Die NIS2-Richtlinie (EU 2016/1148) erweitert den Anwendungsbereich der Cybersicherheitsmaßnahmen erheblich. Bestimmte Branchen wie Energie, Transport, Bankwesen und Lebensmittelproduktion werden mit detaillierten Schutzmaßnahmen, Nachweis- und Meldepflichten adressiert. Die Implementierung eines Cybersicherheits-Risikomanagements ist erforderlich, jedoch noch nicht in deutsches Recht umgesetzt.
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) befindet sich im Gesetzgebungsverfahren und legt EU-weite Cybersicherheitsstandards für Produkte mit digitalen Bestandteilen fest. Verbraucher und Unternehmen sollen durch verbindliche Cybersicherheitsanforderungen für Hersteller, Importeure und Einzelhändler solcher Produkte geschützt werden. Eine Veröffentlichung im Amtsblatt wird Ende 2024 erwartet, mit einer 36-monatigen Frist bis zur vollständigen Umsetzung.
Risiken minimieren
Mit dem zunehmenden Einsatz von IT-Systemen und ausgelagerten Datenverarbeitungen in der Cloud entstehen Risiken, die durch Cyberkriminelle ausgenutzt werden können. Neben Leitplanken, die marktregulatorische und sicherheitspolitische Ziele verfolgen, ist es unerlässlich, das Bewusstsein für sicheres Verhalten bei Beschäftigten und Führungsebenen zu fördern. Viele Sicherheitsmaßnahmen sollten aus eigenem Schutz umgesetzt werden und nicht nur aufgrund regulatorischer Vorgaben. Die zunehmende Perfektion von Angriffsszenarien durch den Einsatz von KI erhöht das Risiko, selbst Opfer eines Angriffs zu werden. Maßnahmen zur Awareness der Beschäftigten und des Managements können Risiken wesentlich minimieren.
BEISPIELE FÜR MASSNAHMEN
Leitfäden erstellen
in einfacher Sprache mit Beispielen für Mitarbeiter, um den Handlungsrahmen klar zu definieren.
Kanzleiprozesse überprüfen und anpassen
Interne Verarbeitungsprozesse und IT-Systeme auf ihre Gesetzeskonformität prüfen.
Spezialisten einbinden
für die Implementierung und Wartung von KI-Systemen.
Regelmäßige Audits durchführen,
sicherstellen, dass IT-Systeme ordnungsgemäß funktionieren und keine Sicherheitsrisiken darstellen.
Fortbildungen und Schulungen anbieten
Mitarbeiter und Kanzleiführung in verantwortungsvollem Umgang mit IT und den Risiken durch Cyberangriffe schulen.
Informationskampagnen durchführen,
über die Gefahren des Social Engineerings aufklären, zum Beispiel durch Artikel, Flyer, Newsletter, Kurzvideos, Poster.
Gamification nutzen,
um wichtige Inhalte zu vermitteln.
Zentrale Ansprechpartner bestimmen,
eine Atmosphäre des Vertrauens schaffen, damit sich Beschäftigte bei Unsicherheiten rückversichern können.
Netzwerken und austauschen
Zusammenarbeit mit anderen Berufsangehörigen und Spezialisten, um Erfahrungen auszutauschen und von Best Practices zu lernen.
Schutz des Berufsstands
Die Pflichten des Berufsstands zu Datenschutz und Informationssicherheit bleiben trotz der Entwicklung der künstlichen Intelligenz unverändert, müssen jedoch für neue Medien und Möglichkeiten adaptiert werden. Der Schutz der Vertraulichkeit und die Informationssicherheit erfordern ein mehrschichtiges Vorgehen, das sowohl von Einzelpersonen und Unternehmen als auch von Regierungen getragen wird. Je nach Kanzleigröße können die Maßnahmen unterschiedlich stark ausgeprägt sein, die Grundlagen bleiben jedoch gleich.
Starker Partner DATEV
Ein kritischer Umgang mit persönlichen Daten und das Wissen um Sicherheitsrisiken sind der erste Schritt zum Schutz. Nutzer und Anbieter sollten sich der Wertigkeit von Daten bewusst sein und diese sparsam und zielgerichtet einsetzen. Eine regelmäßige Anpassung der Datenschutzeinstellungen ist unerlässlich. DATEV bietet umfassende Unterstützung, etwa durch Folgeabschätzungen für neue Projekte, Datenschutzberatung und technische Lösungen wie Verschlüsselung, Firewalls und Antiviren-Software. DATEV investiert darüber hinaus in fortgeschrittene Sicherheitslösungen mit maschinellem Lernen und KI, um Bedrohungen proaktiv zu identifizieren und zu bekämpfen. Seminare und Consulting- Dienstleistungen zu gängigen Sicherheitsmaßnahmen ergänzen das Angebot. Alle Maßnahmen werden regelmäßig von externen Auditoren geprüft und testiert beziehungsweise zertifiziert. Durch ein bewusstes und informiertes Verhalten sowie die Nutzung spezialisierter Dienstleistungen und Technologien können Unternehmen und Kanzleien ihre Informationssicherheit erheblich verbessern und sich gegen die wachsenden Bedrohungen im digitalen Zeitalter wappnen.
MEHR DAZU
finden Sie auf der Überblicksseite go.datev.de/itundtechnik
Lernvideo (Vortrag) „Mobiles Arbeiten sicher umsetzen“
Zertifikate als Nachweis für Informationssicherheit unter www.datev.de/zertifizierungen
Online-Seminar (Vortrag) „Generative KI sicher verwenden – rechtlicher Handlungsrahmen für Steuerberater“
Präsenzseminar (Vortrag) „Datenschutz aktuell 2024 – die Datenschutz-Grundverordnung in der Praxis“
