Wie entsteht Shadow AI?

Shadow AI entsteht, wenn Mitarbeitende einer Organisation externe KI-Dienste, Chatbots oder generative KI-Tools für die Erledigung von Aufgaben verwenden, ohne dass es dafür eine offizielle Genehmigung oder Policy innerhalb der Organisation gibt. Häufig erfolgt die Nutzung von Shadow AI aus aus Effizienzgründen, jedoch ohne Einhaltung interner Sicherheits- oder Datenschutzvorgaben. Dies kann zum Abfluss sensibler Daten, Kontrollverlust über Geschäftsprozesse und ungewollten Compliance-Risiken führen. Ein klassisches Beispiel ist die Nutzung privater Accounts von ChatGPT am Arbeitsplatz.

Zentrale Risiken von Shadow AI

Neben der unkontrollierten Datenabfluss oder unklarer interner Rahmenbedingungen für die Nutzung von KI bringt Shadow AI eine weitere Reihe an zentralen Risiken mit sich:

• Datenschutz- und DSGVO-Verstöße: unbeabsichtigtes Hochladen personenbezogener oder vertraulicher Daten in Daten-verarbeitende Systeme außerhalb der Organisation
• Fehlende Transparenz: keine Nachvollziehbarkeit, welche Daten wohin übermittelt wurden
• Fehlender rechtlicher Rahmen: keine klaren rechtlichen Rahmbedingungen, wie z.B. das Vorhandensein konkret Auftragsverarbeitungsverträge (AVV-Verträge)
• Sicherheitsrisiken: Nutzung unsicherer oder manipulierbarer KI-Dienste
• Fehlende Governance: Modelle werden genutzt, ohne dass Richtlinien, Schulungen oder Kontrollprozesse existieren

Damit kann die unkontrollierte Entstehung von Schatten KI durchaus als elementarer Risikofaktor in einer AI-getriebenen Welt darstellen, der für Unternehmen ohne die richtigen, klar und verständlich formulierten KI-Leitlinien nur schwer in den Griff zu bekommen ist. Umso wichtiger ist es, dass sich Unternehmen, Behörden und sonstige Organisationen frühzeitig gegen das Entstehen von Schatten KI wappnen: Durch einen transparenten und offenen Umgang mit KI.

Praxisrelevanz

Shadow AI betrifft nahezu alle Organisationen, die KI im Alltag einsetzen. Unternehmen und Behörden benötigen klare KI-Richtlinien, technische Kontrollen, Schulungen und Transparenzmechanismen, um eine sichere und regelkonforme Nutzung zu gewährleisten.

Beratung zu Shadow AI in Behörden und Unternehmen durch Elsen GRC

Elsen GRC hilft Unternehmen und Behörden dabei, Risiken unkontrollierter KI-Nutzung zu identifizieren, Richtlinien für sicheren KI-Einsatz einzuführen, Datenschutzanforderungen umzusetzen und Governance-Strukturen aufzubauen, die eine kontrollierte, transparente und verantwortungsvolle Verwendung von KI-Tools ermöglichen. Vereinbaren Sie ein unverbindliches Beratungsgespräch.

Bild: © David Werbrouck – Unsplash.com

Quellen: IBM – Shadow AI

Der Beitrag Shadow AI (Schatten-KI erklärt) – Definition und Erklärung erschien zuerst auf ELSEN GRC.

Was regelt die DSGVO und welche Bedeutung hat sie?

Die DSGVO (Verordnung (EU) 2016/679)  regelt vor allem, unter welchen rechtlichen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Transparenz- und Dokumentationspflichten Unternehmen haben und welche Rechte Betroffene gegenüber Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). Sie definiert ein umfassendes System aus Rechtsgrundlagen (Art. 6), Schutzmaßnahmen (Art. 25, 32), Risikoabwägungen (Art. 35) und Kontrollmechanismen (Art. 30, 33), das europaweit ein einheitliches Datenschutzniveau sicherstellen soll. Damit schafft die DSGVO nicht nur einen verpflichtenden Rechtsrahmen, sondern bildet auch die Grundlage für Vertrauen in digitale Geschäftsmodelle, Cloud-Anwendungen und datenbasierte Services. Die Verordnung gilt dabei für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Unternehmenssitz.

Wichtige Grundprinzipien der DSGVO

Die Grundprinzipien sind das Fundament der gesamten Verordnung: Sie geben vor, wie jede Verarbeitung (rechtlich) auszurichten ist, und dienen Aufsichtsbehörden als Maßstab, um die Rechtmäßigkeit und Angemessenheit datenschutzrelevanter Prozesse zu beurteilen. Allerdings geben die Grundprinzipien keine Hinweise auf konkrete technische Implementierungen oder die Art und Weise der genauen Datenverarbeitung.
(Grundprinzipien gemäß Art. 5 DSGVO):

• Rechtmäßigkeit, Transparenz und Fairness (Art. 5 Abs. 1 lit. a): Verarbeitung nur auf gültiger Rechtsgrundlage, nachvollziehbar für Betroffene.
• Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für klar definierte Zwecke verarbeitet werden.
• Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie notwendig dürfen verarbeitet werden.
• Richtigkeit (Art. 5 Abs. 1 lit. d): Daten müssen korrekt und aktuell sein.
• Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Löschung, sobald Daten nicht mehr benötigt werden.
• Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Sicherheit durch technische und organisatorische Maßnahmen.
• Rechenschaftspflicht (Art. 5 Abs. 2): Verantwortliche müssen jederzeit nachweisen können, dass sie die Grundsätze einhalten.

Die Betroffenenrechte

Die DSGVO stellt den Schutz personenbezogener Daten in den Vordergrund, die bereits nach definitorischer Weise auf natürliche Personen zurückzuführen sind, demnach sprechen wir von „Betroffenen“ der Datenverarbeitung. Die im Rahmen der Verordnung festgelegten Betroffenenrechte stellen sicher, dass jede Person Kontrolle über ihre Daten behält und gegenüber Unternehmen wirksame Ansprüche auf Transparenz, Korrektur, Einschränkung oder Löschung durchsetzen kann. Unternehmen sind entsprechend verpflichtet, klare interne Abläufe zur Bearbeitung solcher Anfragen einzurichten.

Betroffenenrechte (Art. 12–22 DSGVO):

• Auskunftsrecht: Art. 15
• Recht auf Berichtigung: Art. 16
• Recht auf Löschung („Recht auf Vergessenwerden“): Art. 17
• Recht auf Einschränkung der Verarbeitung: Art. 18
• Datenübertragbarkeit: Art. 20
• Widerspruchsrecht: Art. 21
• Recht auf Nichtunterworfenheit gegenüber automatisierten Entscheidungen: Art. 22

Pflichten für Unternehmen

Unternehmen müssen die ihnen von der Datenschutz-Grundverordnung auferlegten Pflichten nicht nur formal erfüllen, sondern auch laufend überprüfen und dokumentieren, ob ihre Prozesse den gesetzlichen Anforderungen entsprechen. Dazu gehören regelmäßige Audits, Überwachung von Dienstleistern, Aktualisierung technischer Maßnahmen bei neuen Risiken sowie der Nachweis, dass Mitarbeitende angemessen geschult und Datenschutzrichtlinien im Alltag tatsächlich angewendet werden. Unternehmen haben dabei insbesondere die folgenden Pflichten:

• Verzeichnis von Verarbeitungstätigkeiten: Art. 30
• Datenschutz-Folgenabschätzung (DSFA): Art. 35
• Meldung von Datenschutzverletzungen: Art. 33 (72-Stunden-Regel)
• Benachrichtigung der Betroffenen: Art. 34
• Technische und organisatorische Maßnahmen (TOMs): Art. 32
• Datenschutz durch Technikgestaltung („Privacy by Design“): Art. 25
• Auftragsverarbeitung: Art. 28 (AV-Verträge)
• Bestellung eines Datenschutzbeauftragten: Art. 37–39

Rechtliche Einordnung

• Rechtsakt: EU-Verordnung 2016/679
• In Kraft: seit 25. Mai 2018
• Unmittelbar geltendes EU-Recht in allen Mitgliedstaaten (Art. 288 AEUV)
• Sanktionsrahmen: Art. 83 (bis 20 Mio. € oder 4 % Weltjahresumsatz)
• Regelungen zu Rechtsbehelfen und Haftung: Art. 77 – 82
• Ergänzt durch nationale Gesetze wie das BDSG in Deutschland

DSGVO im Vergleich zu ISO 27001

Auch wenn die Verordnung im direkten Vergleich mit der ISO27001 (international anerkannter Standard für Informationssicherheits-Managementsysteme) einige Gemeinsamkeiten aufweist, unterscheiden sich diese beiden Regelwerke dennoch erheblich. Im Vergleich zur DSGVO bietet ISO 27001 einen strukturierten Sicherheitsrahmen, während die DSGVO verbindlich vorgibt, was geschützt werden muss – ISO 27001 hingegen definiert wie dieser Schutz organisatorisch und auch technisch umgesetzt werden kann.

Ausrichtung:

• DSGVO: Verpflichtendes Datenschutzrecht (Art. 1–2)
• ISO 27001: Freiwilliger Sicherheitsstandard (ISMS)

Inhalte:

• DSGVO: Personenbezogene Daten, Betroffenenrechte (Art. 12–22), Rechtsgrundlagen (Art. 6)
• ISO 27001: Informationssicherheit, Risikoanalyse, Maßnahmenkatalog (Annex A)

Verbindlichkeit:

• DSGVO: Gesetz, Bußgelder gemäß Art. 83
• ISO 27001: Zertifizierung möglich, aber nicht vorgeschrieben

Beratung zur DSGVO durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der rechtssicheren Umsetzung der DSGVO und dem Aufbau nachhaltiger Datenschutzstrukturen. Dazu gehören die Erstellung von Verarbeitungstätigkeiten (Art. 30), die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35), die Entwicklung geeigneter technischer und organisatorischer Maßnahmen (Art. 32), die Bewertung von Auftragsverarbeitern (Art. 28), interne Richtlinien, Mitarbeiterschulungen rund um das Thema Datenschutz (auch im Kontext des EU AI Act) und Begleitung bei Datenschutzvorfällen gemäß Art. 33–34.

Auf Wunsch übernimmt Elsen GRC die Funktion des externen Datenschutzbeauftragten gemäß Art. 37–39.

Sprechen Sie mich gerne direkt an!

Bild: Immo Wegmann – Unsplash.com

Quellen:

1. Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
2. Europäische Kommission – Data Protection
3. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der Beitrag DSGVO (Datenschutz Grundverordnung) – Definition & Bedeutung erschien zuerst auf ELSEN GRC.

Was regelt SOC 2 genau und welche Bedeutung hat es?

SOC 2 ist kein gesetzliches Regelwerk, sondern ein Audit-Standard des American Institute of Certified Public Accountants (AICPA). Er beschreibt, wie externe Prüfer (Certified Public Accountant, kurz CPAs) die internen Kontrollen eines Dienstleisters bewerten, die relevant für Sicherheit und Datenschutz seiner Kunden sind. Der Schwerpunkt liegt auf der Wirksamkeit von Prozessen und der verlässlichen Betriebsführung von Cloud-, SaaS- oder IT-Services. SOC 2 richtet sich daher an Unternehmen, die Kundendaten verarbeiten oder speichern und ihren Kunden einen Nachweis über ihre Sicherheitskontrollen liefern müssen.

Wichtige Grundprinzipien von SOC 2

Ein Grundprinzip von SOC 2 sind die sog. Trust Services Criteria (TSC). Denn TSC sind der zentrale Kontrollrahmen, auf dem SOC 2 basiert. Sie definieren die Anforderungen, anhand derer die Sicherheits- und Datenschutzmaßnahmen eines Unternehmens beurteilt werden. Die Kriterien gliedern sich in fünf Bereiche – Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz – und beschreiben jeweils, welche organisatorischen, technischen und prozessualen Kontrollen ein Dienstleister implementieren muss, um ein verlässliches und sicheres Systemumfeld im Sinne von SOC 2 zu gewährleisten.

Fünf Kriterien von SOC 2:

• Security (Pflichtkriterium): Schutz vor unbefugtem Zugriff.
• Availability: Systeme sind wie zugesagt verfügbar.
• Processing Integrity: Daten werden korrekt und vollständig verarbeitet.
• Confidentiality: Schutz vertraulicher Informationen.
• Privacy: Umgang mit personenbezogenen Daten gemäß definierten Richtlinien.

SOC 2 Typ I vs. Typ II:

SOC 2 unterscheidet zwei Prüfformen: Typ I bewertet, ob die definierten Kontrollen eines Unternehmens zu einem bestimmten Stichtag angemessen gestaltet sind. Typ II geht einen Schritt weiter und prüft zusätzlich, ob diese Kontrollen über einen längeren Zeitraum, typischerweise sechs bis zwölf Monate, wirksam umgesetzt wurden. Während Typ I also eine Momentaufnahme darstellt, liefert Typ II den deutlich höheren Aussagewert, da er die tatsächliche Betriebspraxis und Verlässlichkeit der Sicherheitsmaßnahmen nachweist.

• Typ I: Bewertung des Kontroll-Designs zu einem bestimmten Stichtag.
• Typ II: Bewertung der Wirksamkeit der Kontrollen über einen Zeitraum (typisch: 6–12 Monate).

Weitere Aspekte:

• Individuelle Kontrollevaluierung: Unternehmen legen selbst fest, welche internen Kontrollen Bestandteil des SOC 2-Audits sind.
• Berichtsfokus: Der SOC 2-Bericht dient als Vertrauens- und Compliance-Nachweis für Kunden, Partner und interne Managemententscheidungen.

Praxisrelevanz

SOC 2 ist besonders für SaaS-Anbieter, Cloud-Plattformen, Hosting-Provider, IT-Dienstleister und alle Unternehmen relevant, die personenbezogene oder vertrauliche Daten für Kunden verarbeiten. Der Standard wird oft bei Ausschreibungen oder im B2B-Geschäft verlangt und dient als Qualitäts- und Risikonachweis (primär in den USA). Unternehmen nutzen SOC 2-Berichte, um Vertrauen zu schaffen, regulatorische Anforderungen abzudecken und die eigene Sicherheitslage dokumentiert zu verbessern.

Rechtliche Einordnung von SOC 2

SOC 2 ist kein Gesetz und keine regulatorisch vorgeschriebene Zertifizierung, sondern ein freiwilliger Audit- und Prüfstandard des amerikanischen Berufsverbands AICPA. Er besitzt daher keinen verbindlichen Rechtsstatus wie europäische Verordnungen (z. B. DSGVO, NIS-2). Dennoch hat SOC 2 weltweit hohe Bedeutung, weil viele Unternehmen – insbesondere Cloud- und SaaS-Anbieter – ihn als effektiven Compliance-Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden nutzen. SOC 2 kann damit Teil einer umfassenden Compliance-Strategie sein, ist jedoch formal ein vertraglich getriebener Prüfrahmen und kein gesetzlicher Pflichtstandard.

Zusammengefasst:

• Kein Gesetz, sondern ein Prüfrahmen des AICPA (USA).
• Wird weltweit genutzt, besonders im Cloud- und SaaS-Umfeld.
• Ergänzt regulatorische Anforderungen wie DSGVO, NIS-2 oder branchenspezifische Compliance-Vorgaben.

SOC 2 im Vergleich zu ISO 27001

Obwohl SOC 2 und ISO 27001 häufig gemeinsam genannt werden, unterscheiden sie sich in Zielsetzung und Prüfmechanik zwischen SOC2 und der ISO-Norm 27001 zum Teil erheblich:

Ausrichtung:

• ISO 27001: Internationaler Managementsystem-Standard (ISMS), verbindlich strukturiert, umfassend auf Prozess- und Governance-Ebene.
• SOC 2: Prüf- und Berichtstandards, die die Wirksamkeit einzelner interner Kontrollen bewerten – kein Managementsystem.

Geltungsbereich:

• ISO 27001: Global anerkannt; branchenübergreifend einsetzbar.
• SOC 2: Vor allem in den USA verbreitet, besonders im SaaS- und Cloud-Bereich.

Audit-Tiefe:

• ISO 27001: Betrachtet das gesamte Informationssicherheitsmanagementsystem eines Unternehmens.
• SOC 2: Bewertet ausgewählte Kontrollen im Rahmen der Trust Services Criteria.

Audit-Form:

• ISO 27001: Zertifizierung durch akkreditierte Zertifizierungsstellen.
• SOC 2: Prüfung durch einen lizenzierten Wirtschaftsprüfer (CPA) mit individuellem Bericht.

Zusammenfassung des Vergleichs

ISO 27001 schafft ein strukturiertes, dauerhaften Sicherheitsrahmen (ISMS). SOC 2 liefert darüber hinaus einen kundenorientierten, detaillierten Prüfbericht, der die tatsächliche Wirksamkeit der Sicherheitskontrollen zeigt. Viele Unternehmen kombinieren beide Standards: ISO 27001 als Governance-Grundlage, SOC 2 als operativen Kontrollnachweis.

SOC2-Beratung durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der Vorbereitung auf SOC 2-Audits, der Definition geeigneter Kontrollen sowie der Abstimmung auf ISO 27001 und andere Sicherheitsstandards. Dazu gehören Gap-Analysen, Aufbau eines strukturierten Kontrollrahmens, Dokumentation relevanter Prozesse und die enge Begleitung im Austausch mit Auditoren. Melden Sie sich für ein unverbindliches Beratungsgespräch.

Bild: © Paul Hanaoka – Unsplash.com

Quellen:

• AICPA – Trust Services Criteria
• AICPA – SOC for Service Organizations: SOC 2
• ISO/IEC 27001:2022 – International Organization for Standardization

Der Beitrag SOC 2 (Service Organization Control 2) – Definition & Bedeutung erschien zuerst auf ELSEN GRC.