DatenschutzWoche vom 19. 06. 2023

Datenschutzrechtliche Risiken bei der Privatnutzung von betrieblicher IT

Ein Urteil des Landesarbeitsgerichts (LAG) Baden-Württemberg vom 27.01.2023 (12 Sa 56/21) zeigt, welche datenschutzrechtlichen Risiken die Privatnutzung von betrieblicher IT haben kann und wie wichtig klare Regeln dazu sind.

Ein Arbeitgeber hatte E-Mails eines Mitarbeiters ohne dessen Wissen ausgewertet und ihm wegen darin gefundener privater Nachrichten gekündigt. Der Mitarbeiter machte im Kündigungsschutzprozess geltend, dass es kein ausdrückliches Verbot durch den Arbeitgeber gegeben habe, und die Mischnutzung anderer Kommunikationsmittel wie des dienstlichen Mobiltelefons erlaubt gewesen sei – mit Erfolg. Das LAG Baden-Württemberg verurteilte den Arbeitgeber wegen Datenschutzverstößen zur Zahlung eines Schmerzensgelds in Höhe von 3000 Euro; die ausgewerteten E-Mails unterliegen einem Beweisverwertungsverbot. Damit war die Kündigung unwirksam.

Ob das Fernmeldegeheimnis im Arbeitsverhältnis Anwendung findet, wie immer wieder diskutiert wird, hat das Gericht indes offengelassen. Es wird jedoch klargestellt, dass eine Auswertung der Kommunikation bei Mischnutzung eine verschärfte Verhältnismäßigkeitsprüfung erfordert; die verdeckte Auswertung ist in der Regel unzulässig. Bei erlaubter Privatnutzung müssen verdachtsunabhängige Kontrollen angekündigt werden, damit private Nachrichten vorher gesondert gespeichert werden können.

Insgesamt macht die Entscheidung noch einmal deutlich, wie wichtig klare Regeln für die Nutzung von betrieblicher IT sind. Verantwortliche, die die Privatnutzung verbieten möchten, sollten dies ausdrücklich tun und kontrollieren.

ENISA gibt Tipps zum Datenschutz beim Einsatz von KI in der medizinischen Bilddiagnose

In einem neuen Bericht befasst sich die Europäische Cybersicherheitsagentur ENISA mit den Anforderungen an Cybersicherheit und Datenschutz beim Einsatz von KI in der Medizin am Beispiel einer umfangreichen Modellanalyse zur Nutzung einer KI-gestützten Bilderkennungssoftware zur Osteoporose-Diagnostik. Anhand dieses Einsatzszenarios zeigt die ENISA die weitreichenden Anforderungen an Cybersicherheit und Datenschutz bei KI-Systemen.

Dem Bericht zufolge bringt KI ganz eigene Bedrohungen mit sich und erfordert neue Sicherheitsmaßnahmen. Diese Maßnahmen zur Verbesserung der Cybersicherheit und des Datenschutzes gehen oft zu Lasten der Systemleistung. Verantwortliche, die KI im medizinischen Kontext einsetzen wollen, sollten nach Auffassung der ENISA maßgeschneiderte Strategien entwickeln, um auf eine Vielzahl von Bedrohungen und Angriffen vorbereitet zu sein.

Internationale Nachrichten

Frankreich: Die französische Datenschutzaufsicht CNIL hat gegen einen Onlineanbieter von Hellseher-Diensten ein Bußgeld in Höhe von 150.000 Euro verhängt. Die Behörde wirft dem Unternehmen vor, auf mehreren Webseiten gegen die DSGVO und nationale Vorgaben zum Einsatz von Cookies verstoßen zu haben.

Aktuelle Gerichtsentscheidungen

Brandenburgisches Dienstgericht für Richter, Urteil vom 8. Juli 2022, Az. DG 3/18 (juris): Der Hinweis der Präsidentin des Landessozialgerichts, dass es datenschutzrechtlich unzulässig sein dürfte, Namen von Klägern an am Rechtsstreit nicht beteiligte Institutionen zu übermitteln, beeinträchtig nicht die richterliche Unabhängigkeit.

OLG Sachsen-Anhalt, Beschluss vom 11.01.2023, Az. 5 Wx 14/22 (juris): Kein Anspruch auf Löschung bzw. Schwärzung von Unterschriften im Handelsregister. Die Registerpublizität hat grundsätzlich Vorrang vor dem Persönlichkeitsschutz und damit auch vor Art. 17 DSGVO.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Bayern (BayLfD): „32. Tätigkeitsbericht 2022“ – Pressemitteilung vom 14.06.2023

Datenschutzaufsicht Niedersachsen: „28. Tätigkeitsbericht 2022“ –Pressemitteilung vom 15.06.2023

Datenschutzaufsicht Baden-Württemberg: „13.7.: Die Zukunft des Datenschutzes – Ist die DS-GVO bereit für KI?“ – Pressemitteilung vom 15.06.2023