anonym.legal
Zurück zum BlogDSGVO & Compliance

Remote-Arbeit hat ein neues GDPR-Risiko geschaffen: Plattforminkonsistenz. So schließen Sie es.

Büroteams nutzen voll ausgestattete Desktop-Software. Remote-Mitarbeiter verwenden Webanwendungen mit möglicherweise unterschiedlichen Einstellungen. Das EU-Gericht sagt, dass Richtlinien allein nicht ausreichen — technische Kontrollen müssen konsistent sein.

March 7, 20266 min Lesezeit
remote work GDPRplatform consistencyhybrid workplace privacytechnical controlsGDPR compliance

Das Problem der Plattforminkonsistenz nach COVID

Die Normalisierung von Remote- und Hybridarbeit hat eine GDPR-Compliance-Herausforderung geschaffen, die nur wenige Organisationen vorhergesehen haben: Mitarbeiter, die von verschiedenen Standorten aus arbeiten, nutzen jetzt unterschiedliche Tools mit unterschiedlichen Konfigurationen, unter derselben Compliance-Verpflichtung.

Der Standard vor COVID war einfach: Alle Mitarbeiter arbeiteten von verwalteten Arbeitsplätzen in kontrollierten Büroumgebungen. Unternehmenssoftware wurde einheitlich bereitgestellt. Die IT setzte dieselbe Konfiguration auf jedem Gerät durch. Die Compliance-Umgebung war relativ homogen.

Nach COVID ist die Compliance-Umgebung heterogen:

  • Büroangestellte nutzen verwaltete Arbeitsplätze mit von der IT bereitgestellter Unternehmenssoftware
  • Remote-Mitarbeiter verwenden Home-Workstations, manchmal vom Unternehmen verwaltet und manchmal BYOD
  • Mobile Mitarbeiter nutzen jedes verfügbare Gerät mit eingeschränkter Konfigurationskontrolle
  • Hybridmitarbeiter wechseln zwischen Büro- und Remote-Konfigurationen

Jede Umgebung kann unterschiedliche Tools, unterschiedliche Toolkonfigurationen und unterschiedliche technische Kontrollen haben. Die GDPR-Verpflichtung — dass personenbezogene Daten mit geeigneten technischen Maßnahmen geschützt werden — gilt identisch in allen vier Umgebungen.

Der rechtliche Standard nach der Rechtsprechung von 2025

Die Urteile des EU-Gerichts von 2025 zur Haftung bei Datenverletzungen haben klargestellt, dass Organisationen sich nicht allein auf Richtlinien verlassen können, um die Einhaltung von Artikel 32 der GDPR nachzuweisen. Die Position des Gerichts:

"Der Nachweis, dass geeignete technische und organisatorische Maßnahmen umgesetzt wurden, erfordert Beweise für spezifische technische Kontrollen, die zum Zeitpunkt der Verarbeitung in Betrieb waren. Richtliniendokumentationen, die besagen, dass Mitarbeiter personenbezogene Daten 'anonymisieren sollten', sind kein Beweis für eine technische Kontrolle."

Dieses Urteil hat Auswirkungen auf Organisationen, deren Compliance-Ansatz lautet: "Wir haben eine Datenschutzrichtlinie, die von den Mitarbeitern verlangt, Daten zu anonymisieren, bevor sie KI-Tools verwenden. Remote-Mitarbeiter lesen die Richtlinie."

Die Richtlinie ist nicht die Kontrolle. Die technische Maßnahme, die die Anonymisierung ermöglicht — unabhängig davon, wo der Mitarbeiter arbeitet — ist die Kontrolle. Wenn die technische Maßnahme nicht konsistent in Büro- und Remote-Umgebungen bereitgestellt wird, ist die Kontrolle nicht konsistent.

Die Anforderung an die Konfigurationskonsistenz

Für technische Kontrollen zur Anonymisierung von PII bedeutet die Konfigurationskonsistenz über Umgebungen:

Gleiche Entitätsabdeckung: Ob ein Mitarbeiter ein Dokument im Büro oder zu Hause verarbeitet, die gleichen 285+ PII-Entitätstypen werden erkannt. Nicht "ungefähr die gleichen" — die gleichen. Wenn die Desktop-App im Büro und die Remote-Web-App unterschiedliche Erkennungsmaschinen verwenden, kann die Abdeckungskonsistenz nicht gewährleistet werden.

Gleiche Schwellenwerte: Der Vertrauensschwellenwert für die automatische Anonymisierung ist in beiden Umgebungen derselbe. Eine Entität, die mit 87 % Vertrauen erkannt wird, löst die automatische Anonymisierung zu Hause und im Büro aus — nicht automatische Anonymisierung im Büro, sondern nur eine Warnung zu Hause.

Gleiche Voreinstellungen: Die von der Compliance konfigurierten "GDPR-Standard"-Voreinstellungen gelten identisch, unabhängig davon, ob der Mitarbeiter auf das Tool von seinem Büroarbeitsplatz oder seinem Laptop zu Hause zugreift. Die Voreinstellungs-Synchronisation stellt sicher, dass Konfigurationsänderungen auf alle Zugriffsstellen übertragen werden.

Gleiche Prüfspur: Die Verarbeitung, die von zu Hause und die Verarbeitung, die im Büro durchgeführt wird, erscheinen in derselben zentralisierten Prüfspur. Es gibt kein "Remote-Verarbeitungsprotokoll", das getrennt vom "Büro-Verarbeitungsprotokoll" ist.

Warum die Unterscheidung zwischen Web-App und Desktop-App wichtig ist

Viele Organisationen haben eine Desktop-Anwendung für Bürobenutzer bereitgestellt und verlassen sich auf eine Webanwendung für Remote-Benutzer. Wenn dies unterschiedliche Produkte von verschiedenen Anbietern sind, können sie unterschiedliche Erkennungsmaschinen haben.

Aber selbst wenn es sich um Produkte desselben Anbieters handelt — eine Desktop-App und eine Web-App vom selben Anbieter — können sie unterschiedliche haben:

  • Update-Zyklen (die Desktop-App kann mehrere Versionen hinter der Web-App zurückliegen)
  • Konfigurationsvererbung (die Voreinstellung der Desktop-App synchronisiert sich möglicherweise nicht mit den Änderungen der Voreinstellung der Web-App)
  • Protokollverhalten (die Desktop-App kann lokal protokollieren, während die Web-App zentral protokolliert)

Für die Compliance-Dokumentation ist die relevante Frage: Können Sie nachweisen, dass dieselbe Erkennung angewendet wurde, unabhängig davon, welche Schnittstelle der Mitarbeiter verwendet hat? Wenn die Antwort erfordert, dass zwei unterschiedliche Prüfprotokollformate aus zwei verschiedenen Systemen abgeglichen werden, ist die Antwort "mit Schwierigkeiten."

Praktischer Ansatz: Plattformunabhängige Abdeckung

Das praktische Compliance-Ziel ist plattformunabhängige Abdeckung: derselbe Schutz gilt unabhängig davon, welche Schnittstelle ein Mitarbeiter verwendet.

Dies ist erreichbar durch:

Serverseitige Erkennungs-API: Alle Schnittstellen (Desktop-App, Web-App, Chrome-Erweiterung) rufen dieselbe serverseitige Erkennungs-API auf. Das Erkennungsmodell läuft einmal (serverseitig), nicht separat in jeder Schnittstelle. Dasselbe Modell, dieselben Ergebnisse, unabhängig von der Schnittstelle.

Synchronisierte Voreinstellungen: Konfigurationsvoreinstellungen werden serverseitig gespeichert und von allen Schnittstellen zur Laufzeit geladen. Eine Änderung der Voreinstellung wird sofort auf alle Schnittstellen übertragen. Es gibt keine "Desktop-Voreinstellung", die von der "Web-Voreinstellung" getrennt ist.

Zentralisierte Prüfprotokollierung: Alle Verarbeitungsereignisse von allen Schnittstellen protokollieren in derselben Prüfungsdatenbank. Die Prüfspur zeigt, welche Schnittstelle verwendet wurde, was eine Compliance-Analyse der Verarbeitungsmuster über Umgebungen hinweg ermöglicht.

Konsistente Bereitstellung: Die IT stellt die Chrome-Erweiterung bereit und konfiguriert die Web-App für Remote-Mitarbeiter mit derselben Voreinstellungs-Konfiguration wie die Desktop-App für Büroangestellte. Die Konfigurationsdokumentation deckt alle Umgebungen ab.

Anwendungsfall: Implementierung eines hybriden Unternehmens-Teams

Ein Compliance-Team eines Unternehmens mit 35 Personen — 20 im Büro (München HQ), 15 remote (verteilt über Deutschland und die Niederlande) — identifizierte Plattforminkonsistenz als Compliance-Lücke während eines internen Audits.

Identifizierte Lücke: Das Büroteam verwendete ein Windows-Desktop-PII-Tool mit Unternehmenskonfiguration (285 Entitätstypen, GDPR-Voreinstellung). Das Remote-Team greif auf ein webbasiertes Tool zu, das von einem anderen Anbieter bereitgestellt wurde, mit unterschiedlicher Entitätsabdeckung (ungefähr 80 Entitätstypen, keine GDPR-spezifische Voreinstellung). Dieselben Teammitglieder, dieselben Daten, unterschiedliche Tools.

Einheitliche Bereitstellung:

  • Dieselbe Plattform wurde für alle 35 Teammitglieder bereitgestellt
  • Im Büro: Desktop-App auf verwalteten Arbeitsplätzen (Windows/Mac) installiert
  • Remote: Web-App über den Browser mit derselben Voreinstellungs-Konfiguration wie die Desktop-App
  • Chrome-Erweiterung auf allen Arbeitsplätzen und Remote-Geräten für die Nutzung von KI im Browser installiert
  • Eine einzige Voreinstellungs-Konfiguration, die von der IT verwaltet und über alle Schnittstellen synchronisiert wird

Auditdokumentation nach der Vereinheitlichung:

  • Eine einzige "Dokumentation der technischen Maßnahmen", die alle 35 Teammitglieder und alle Schnittstellen abdeckt
  • Eine einzige Prüfspur für alle Verarbeitungen (zentralisierte Protokollierung von allen Schnittstellen)
  • Überprüfung der Konfigurationskonsistenz: Die IT führt vierteljährlich eine Überprüfung durch, dass alle Schnittstellen dieselbe Voreinstellungs-Version anzeigen

Der interne Audit-Befund wurde innerhalb von 8 Wochen nach der einheitlichen Bereitstellung geschlossen.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen