Blog

Das Arbeitsgericht Suhl hat kürzlich in einem interessanten Fall entschieden, dass die unverschlüsselte Übermittlung einer Auskunft nach Art. 15 DS-GVO per E-Mail einen Verstoß gegen Art. 5 Abs. 1 DS-GVO darstellt. Doch bedeutet das automatisch Schadensersatz für die betroffene Person? In diesem Blogbeitrag werden wir die Entscheidung des Gerichts näher beleuchten und ihre möglichen Auswirkungen auf die Praxis diskutieren.

I. Sachverhalt

Ein ehemaliger Mitarbeiter forderte von seinem ehemaligen Arbeitgeber eine Auskunft über die zu seiner Person gespeicherten Daten gemäß Art. 15 DS-GVO. Die Antwort des Arbeitgebers erfolgte jedoch per unverschlüsselter E-Mail, und die gespeicherten personenbezogenen Daten wurden auch ohne Einwilligung des Mitarbeiters an den Betriebsrat weitergeleitet. Erst später erfolgte die Auskunft per Post.

Die betroffene Person beschwerte sich daraufhin bei der Datenschutzbehörde wegen möglicher Datenschutzverstöße. Die Behörde stellte fest, dass die unverschlüsselte Übermittlung per E-Mail gegen Art. 5 Abs. 1 DS-GVO verstößt.

II. Entscheidung des ArbG Suhl

Der betroffene Mitarbeiter forderte daraufhin Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO und argumentierte, dass der Arbeitgeber mehrfach gegen die DS-GVO verstoßen habe, was zu einem immateriellen Schaden führe. Der Arbeitgeber bestritt diesen Anspruch und argumentierte, dass die Weitergabe der Daten an den Betriebsrat aufgrund gesetzlicher Bestimmungen zulässig sei.

Das Arbeitsgericht Suhl entschied, dass der Mitarbeiter keinen Anspruch auf Schadensersatz habe, da er keinen konkreten immateriellen Schaden dargelegt habe. Ein einfacher Verstoß gegen die DS-GVO reiche nicht aus, um einen Schadensersatzanspruch zu begründen. Es müsse auch ein nachweisbarer Zusammenhang zwischen dem Verstoß und dem erlittenen Schaden bestehen.

III. Bewertung

Die Entscheidung des Arbeitsgerichts Suhl basiert auf der aktuellen Rechtsprechung des Europäischen Gerichtshofs (EuGH) und stellt klar, dass ein bloßer Verstoß gegen die DS-GVO nicht automatisch Schadensersatzansprüche auslöst. Es muss nachgewiesen werden, dass tatsächlich ein immaterieller Schaden erlitten wurde.

Was die unverschlüsselte Übermittlung per E-Mail betrifft, so ist zu beachten, dass die Landesdatenschutzbehörden grundsätzlich davon ausgehen, dass eine Transportverschlüsselung ausreicht, es sei denn, es handelt sich um sensible Daten. In diesem Fall könnte eine Ende-zu-Ende-Verschlüsselung erforderlich sein.

IV. Praxisfolgen

Die Bearbeitung von Auskunftsersuchen gemäß DS-GVO kann eine komplexe Aufgabe sein. Unternehmen sollten sicherstellen, dass sie die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der übermittelten Daten zu gewährleisten. Dies kann die Verwendung von Transport- oder Ende-zu-Ende-Verschlüsselung, sichere Links zu geschützten Webseiten oder andere geeignete Maßnahmen umfassen.

Es ist auch wichtig zu beachten, dass die Einwilligung des Betroffenen in den unverschlüsselten Versand von Auskünften möglicherweise nicht ausreicht, um einen Verstoß gegen die DS-GVO zu umgehen, wie es in einem Fall vor dem OLG Düsseldorf festgestellt wurde. Dem entgegen allerdings die DSK.

Insgesamt zeigt die Entscheidung des Arbeitsgerichts Suhl die Bedeutung einer sorgfältigen Umsetzung der Datenschutzbestimmungen und der Schutzmaßnahmen bei der Übermittlung von Daten gemäß DS-GVO. Unternehmen sollten sicherstellen, dass sie die aktuellen Best Practices in Bezug auf Datenschutz und Datensicherheit befolgen, um mögliche rechtliche Konsequenzen zu vermeiden.

Die digitale Resilienz ist für den Finanzsektor von entscheidender Bedeutung, da er zunehmend auf Informations- und Kommunikationstechnologien (IKT) angewiesen ist. Der Digital Operational Resilience Act (DORA) stellt eine wesentliche Initiative dar, um das IKT-Drittparteirisikomanagement im Finanzsektor zu stärken. In diesem Blogbeitrag beleuchten wir, wie DORA die Landschaft des Risikomanagements im Finanzsektor verändert und insbesondere die Bedeutung der Risikobewertung und des Managements von Subdienstleistern hervorhebt.

DORA im Kontext des Finanzsektors

DORA zielt darauf ab, eine einheitliche und harmonisierte Herangehensweise an das Management von IKT-Risiken zu schaffen, die speziell auf die Bedürfnisse und Herausforderungen des Finanzsektors zugeschnitten ist. Die Regelung stellt sicher, dass Finanzinstitute ihre digitale Widerstandsfähigkeit stärken können, indem sie nicht nur ihre eigenen IKT-Risiken, sondern auch die ihrer Dienstleister und Subdienstleister effektiv managen.

Grundprinzipien des IKT-Drittparteirisikomanagements unter DORA

DORA baut auf zentralen Prinzipien auf, die Finanzinstitute dazu befähigen sollen, ihre IKT-bezogenen Risiken effektiv zu steuern:

• Verantwortungsübernahme: Die Verantwortung für die ausgelagerten IKT-Dienste bleibt beim Finanzinstitut.
• Proportionalität: Die Risikomanagementmaßnahmen müssen der Größe und dem Risikoprofil des Finanzinstituts entsprechen.
• Transparenz: Ein aktives Management und eine klare Kommunikation der IKT-Risiken sind erforderlich, um den Anforderungen von DORA gerecht zu werden.

Vertragsmanagement als Schlüsselelement

Die Verträge zwischen Finanzinstituten und ihren IKT-Dienstleistern spielen eine zentrale Rolle im Risikomanagementprozess. DORA fordert detaillierte Bestimmungen in diesen Verträgen, die Datenschutz, Servicequalität, Haftung und Überwachungsrechte abdecken.

Risikobewertung und -management im Fokus

Eine zentrale Forderung von DORA ist die umfassende Bewertung und das Management von IKT-Risiken. Dabei geht es nicht nur um die direkten Dienstleister, sondern auch um Subdienstleister, die in die Erbringung von IKT-Dienstleistungen involviert sind. Finanzinstitute müssen:

• Tiefe der Lieferkette erkunden: Ein Verständnis für die gesamte Lieferkette entwickeln, um potenzielle Risiken zu identifizieren, die von Subdienstleistern ausgehen können.
• Risiken bewerten: Alle Risiken, die sich aus der Beziehung zu Hauptdienstleistern und deren Subdienstleistern ergeben, sorgfältig bewerten.
• Strategien implementieren: Effektive Strategien zur Minderung identifizierter Risiken entwickeln, die sowohl direkte als auch indirekte IKT-Risiken abdecken.

Notfallpläne und Ausstiegsstrategien

DORA unterstreicht die Bedeutung von robusten Notfallplänen und Ausstiegsstrategien. Diese sollen sicherstellen, dass Finanzinstitute auch bei einem Ausfall eines IKT-Dienstleisters oder Subdienstleisters ihre Geschäftstätigkeiten fortsetzen können.

Schlussfolgerung: DORA als strategische Chance

DORA bietet dem Finanzsektor die Möglichkeit, seine digitale Widerstandsfähigkeit zu verbessern. Indem Finanzinstitute die Vorschriften von DORA umsetzen, können sie nicht nur die regulatorische Compliance sicherstellen, sondern auch ein umfassenderes Risikomanagement erreichen. Dies stärkt ihre Stabilität und Zuverlässigkeit in einer zunehmend digitalisierten Welt.

Die Implementierung von DORA ist somit nicht nur eine regulatorische Verpflichtung, sondern auch eine strategische Entscheidung, die die Wettbewerbsfähigkeit und Zukunftssicherheit von Finanzinstituten im digitalen Zeitalter maßgeblich beeinflusst.

Kontext und Bedeutung des Urteils

Die Verarbeitung spezieller Kategorien personenbezogener Daten, oft als sensible Daten bezeichnet, ist ein heikles Thema im Datenschutzrecht. Der Europäische Gerichtshof (EuGH) hat kürzlich in einem richtungsweisenden Urteil klargestellt, dass die Verarbeitung dieser Daten nicht nur einen speziellen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO erfordert, sondern auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.

Der Fall: MDK Nordrhein und die Verarbeitung von Gesundheitsdaten

Im Mittelpunkt des Falles stand der Medizinische Dienst der Krankenkassen Nordrhein (MDK Nordrhein), der mit der Erstellung eines Gutachtens zur Arbeitsunfähigkeit eines Mitarbeiters betraut wurde. Dies führte zu einer Kontroverse über die rechtmäßige Verarbeitung von Gesundheitsdaten des Mitarbeiters, die in einem elektronischen Archiv gespeichert waren.

Rechtlicher Disput und bisherige Meinungsunterschiede

Vor dem EuGH-Urteil herrschte Uneinigkeit darüber, ob für die Verarbeitung sensibler Daten eine zusätzliche Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich ist oder ob die Ausnahmeregelungen des Art. 9 Abs. 2 DSGVO ausreichend sind. Einige sahen Art. 9 Abs. 2 DSGVO als eigenständige Erlaubnisnorm, während andere eine zusätzliche Grundlage nach Art. 6 Abs. 1 für notwendig hielten.

Klärung durch den EuGH: Eine doppelte Rechtsgrundlage ist erforderlich

Der EuGH stellte klar, dass die Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie neben den spezifischen Anforderungen des Art. 9 Abs. 2 DSGVO auch eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt. Diese Entscheidung bestätigt, dass die allgemeinen Grundsätze der Datenverarbeitung auch bei sensiblen Daten Anwendung finden.

Auswirkungen auf die Praxis: Überprüfung und Anpassung erforderlich

Diese Entscheidung hat weitreichende Konsequenzen für Verantwortliche, die sensible Daten verarbeiten. Sie müssen nun sicherstellen, dass ihre Verarbeitungsaktivitäten nicht nur den speziellen Anforderungen des Art. 9 DSGVO genügen, sondern auch eine klare Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO haben. Dies könnte eine Überprüfung und Anpassung der Datenschutzdokumentation und -verfahren erforderlich machen, um beide Anforderungen zu erfüllen.

Fazit: Ein Schritt hin zu mehr Klarheit und Rechtssicherheit

Das Urteil des EuGH bringt dringend benötigte Klarheit in die Verarbeitung sensibler Daten unter der DSGVO und stellt sicher, dass die Verarbeitung solcher Daten auf einer soliden rechtlichen Grundlage beruht. Verantwortliche sind nun angehalten, ihre Verarbeitungstätigkeiten im Lichte dieser Entscheidung sorgfältig zu überprüfen und anzupassen.

Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali – GPDP) hat kürzlich die Nutzung des KI-basierten Internetdienstes „ChatGPT“ des US-amerikanischen Technologieunternehmens OpenAI in Italien eingeschränkt. Dieser Fall bietet wichtige Erkenntnisse für Unternehmen, die KI-Anwendungen einsetzen oder entwickeln, insbesondere in Bezug auf den Datenschutz.

 Hintergrund

Die GPDP hat die Nutzung von ChatGPT aufgrund von Bedenken hinsichtlich der Datenverarbeitung und des Schutzes Minderjähriger eingeschränkt. Ähnliche Bedenken wurden zuvor gegenüber der KI-basierten Chat-Anwendung „Replika“ des US-amerikanischen Unternehmens Luka Inc. geäußert. Beide Fälle zeigen, dass die Datenschutzbehörden die Nutzung von KI-Anwendungen genau beobachten und bereit sind, Maßnahmen zu ergreifen, wenn sie Datenschutzverstöße feststellen.

 Die Entscheidung und ihre Auswirkungen

Die GPDP hat eine Reihe von Anforderungen an OpenAI gestellt, um die Sperre von ChatGPT aufzuheben. Diese Anforderungen betreffen unter anderem die Informationspflichten gegenüber den Nutzern, die Rechtsgrundlage für die Datenverarbeitung, den Schutz Minderjähriger und die Bereitstellung von Tools zur Wahrnehmung der Rechte der betroffenen Personen.

Die Entscheidung der GPDP hat weitreichende Auswirkungen auf die Art und Weise, wie Unternehmen KI-Anwendungen entwickeln und implementieren. Sie unterstreicht die Notwendigkeit, Datenschutzprinzipien von Anfang an in den Entwicklungsprozess einzubeziehen und Mechanismen zum Schutz der Rechte der betroffenen Personen zu implementieren.

Maßnahmen für Arbeitgeber

Angesichts der Entscheidung der GPDP sollten Arbeitgeber, die KI-Anwendungen einsetzen oder entwickeln, folgende Maßnahmen in Betracht ziehen:

1. Informationspflichten erfüllen**:
   Unternehmen müssen sicherstellen, dass sie ihre Nutzer klar und transparent über die Datenverarbeitung informieren. Dies sollte bereits vor der Registrierung geschehen und gut sichtbar auf der Website platziert sein.
2. Rechtsgrundlage für die Datenverarbeitung klären:
   Unternehmen müssen eine klare Rechtsgrundlage für die Datenverarbeitung haben. Die GPDP hat in ihrem Bescheid betont, dass eine Einwilligung oder berechtigte Interessen als Rechtsgrundlage in Betracht kommen könnten.
3. Schutz Minderjähriger gewährleisten:
   Unternehmen müssen Mechanismen implementieren, um Minderjährige zu schützen. Dies kann beispielsweise durch eine Altersabfrage während des Registrierungsprozesses geschehen.
4. Tools zur Wahrnehmung der Rechte der betroffenen Personen bereitstellen:
   Unternehmen sollten Tools bereitstellen, mit denen Nutzer ihre Rechte wahrnehmen können, wie z.B. das Recht auf Widerspruch gegen die Datenverarbeitung oder das Recht auf Berichtigung unrichtiger Daten.

Fazit

Die Entscheidung der GPDP im Fall ChatGPT zeigt, dass Datenschutzbehörden bereit sind, Maßnahmen zu ergreifen, um die Einhaltung der Datenschutzprinzipien bei der Nutzung von KI-Anwendungen zu gewährleisten. Unternehmen, die KI-Anwendungen einsetzen oder entwickeln, sollten diese Entscheidung als Weckruf sehen und sicherstellen, dass sie die Datenschutzprinzipien von Anfang an in den Entwicklungsprozess einbeziehen.

Die Entscheidung zeigt auch, dass die Datenschutzbehörden die Nutzung von KI-Anwendungen genau beobachten und bereit sind, Maßnahmen zu ergreifen, wenn sie Datenschutzverstöße feststellen. Daher sollten Unternehmen, die KI-Anwendungen einsetzen oder entwickeln, sicherstellen, dass sie die Datenschutzgesetze einhalten und die Rechte der betroffenen Personen schützen.

Die Zukunft der KI ist aufregend, aber sie bringt auch Herausforderungen mit sich, insbesondere in Bezug auf den Datenschutz. Unternehmen, die KI-Anwendungen einsetzen oder entwickeln, sollten diese Herausforderungen ernst nehmen und proaktiv Maßnahmen ergreifen, um die Einhaltung der Datenschutzgesetze zu gewährleisten. Nur so können sie das Vertrauen ihrer Nutzer gewinnen und die Vorteile der KI voll ausschöpfen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg hat in einem Urteil vom 27. Januar 2023 (12 Sa 56/21) wichtige Aspekte zur Privatnutzung von betrieblichen Kommunikationsmitteln und deren datenschutzrechtlichen Implikationen geklärt. Dieses Urteil hat weitreichende Konsequenzen für Arbeitgeber und Arbeitnehmer und unterstreicht die Bedeutung des Datenschutzes im Arbeitsumfeld.

Der Fall

Im zugrundeliegenden Fall stritten die Parteien über die Auswertung von Informationen eines auch privat genutzten Firmenhandys. Der Arbeitnehmer hatte das Firmenhandy sowohl dienstlich als auch privat genutzt, wobei der Mobilfunkvertrag auf den Arbeitnehmer lief. Nach Beendigung des Arbeitsverhältnisses übergab der Arbeitnehmer das Handy an den Arbeitgeber, wobei sich auf dem Gerät noch zahlreiche private Daten befanden. Der Arbeitgeber wertete einen Teil der gespeicherten WhatsApp-Nachrichten aus und verwendete diese zur Begründung der Kündigung.

Die Entscheidung

Das Gericht entschied, dass ein umfassendes Verwertungsverbot hinsichtlich der E-Mails und WhatsApp-Nachrichten besteht. Es stellte fest, dass die Verwertung von heimlich beschafften persönlichen Daten und Erkenntnissen, die sich aus diesen Daten ergeben, mit dem allgemeinen Persönlichkeitsrecht des Betroffenen nicht vereinbar ist. Darüber hinaus wurde festgestellt, dass bei erlaubter Privatnutzung ein umfassendes Verarbeitungsverbot für private E-Mails besteht, das auch auf die zulässige Verarbeitung der dienstlichen E-Mails durchschlägt. Zudem wurde dem Arbeitnehmer ein Schmerzensgeld von 3.000 EUR zugesprochen.

Konsequenzen für Arbeitgeber

Dieses Urteil hat weitreichende Konsequenzen für Arbeitgeber. Es unterstreicht die Notwendigkeit, klare Regeln für die Privatnutzung von betrieblichen Kommunikationsmitteln zu etablieren und diese den Mitarbeitern zu kommunizieren. Arbeitgeber sollten daher:

1. Richtlinien erstellen:** Arbeitgeber sollten klare Richtlinien zur Nutzung von betrieblichen Kommunikationsmitteln erstellen. Diese sollten sowohl die dienstliche als auch die private Nutzung abdecken.
2. Kommunikation und Schulung:** Diese Richtlinien sollten den Mitarbeitern klar kommuniziert und regelmäßig geschult werden.
3. Datenschutz beachten:** Bei der Auswertung von Daten von betrieblichen Kommunikationsmitteln müssen die Datenschutzbestimmungen strikt eingehalten werden. Unzulässige Auswertungen können zu erheblichen Strafen führen.
4. Trennung von privaten und dienstlichen Daten:** Arbeitgeber sollten Mechanismen etablieren, die eine Trennung von privaten und dienstlichen Daten ermöglichen. Dies könnte beispielsweise durch die Einrichtung separater Konten oder Ordner erfolgen.

Das Urteil des LAG Baden-Württemberg ist ein wichtiger Meilenstein in der Rechtsprechung zum Datenschutz am Arbeitsplatz. Es unterstreicht die Bedeutung des Datenschutzes und die Notwendigkeit, klare Regeln für die Nutzung von betrieblichen Kommunikationsmitteln zu etablieren. Arbeitgeber sind gut beraten, diese Entscheidung ernst zu nehmen und ihre Praktiken entsprechend anzupassen.