Wenn Verantwortliche in Krankenhäusern, Arztpraxen oder auch ambulanten medizinischen Einrichtungen wie einer Psycho- oder Logopädie Videoüberwachungsanlagen betreiben möchten ist dies nur erlaubt, wenn die Videoüberwachung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht schwerer wiegen.
Die Erforderlichkeit ist dann gegeben, wenn keine milderen Maßnahmen ergriffen werden können und wenn der Verantwortliche belegen kann, dass ein Szenario, welches mit der Videoüberwachung verhindert werden soll, bereits vorher einmal eingetreten ist.
Auch das Anbringen von Hinweisschildern auf eine Videoüberwachung allein führt nicht dazu, dass eine illegale Videoüberwachung legal wird.
Videoüberwachungen in medizinischen Einrichtungen können nur im besonderen Ausnahmefall erfolgen- Dies ist beispielsweise der Fall, wenn eine besonders hohe, über dem allgemeinen Lebensrisiko liegende Gefahr für die Begehung von Straftaten besteht und alle milderen Mittel vorher ausgeschöpft wurden (z.B.. Schließfächer, manuell zu betätigende Türöffner für die Praxis,).
Werden Mitarbeiterbereiche bewacht gelten zudem nochmal besondere Vorschriften. Eine dauerhafte Videoüberwachung der Arbeitsplätze oder Bereiche, in denen sich Beschäftigte über längere Zeit aufhalten, ist generell unzulässig. Ebenso eine Videoüberwachung zum Zwecke der Verhaltens- und Leistungskontrolle. Eine Vorbeugung von Straftaten durch Beschäftigte darf auch nicht durch eine Videoüberwachung erfolgen. Dies bedarf eines konkreten Anhaltspunktes und darf nur zeitlich und personenbegrenzt erfolgen, wenn gleich effektiven Maßnahmen zuvor erfolglos eingesetzt wurden und eine Abwägung zwischen den widerstreitenden Interessen durchgeführt wurde.
Auf absehbare Zeit kommt offenbar niemand mehr an ihr vorbei: Künstliche Intelligenz (KI) und die mit ihr verbundenen Chancen sind das Thema dieser Zeit. Schon seit längerem beobachten wir eine immer schnellere Entwicklung in IT-Technologien. Insbesondere im Bereich der aktuellen noch relativ einfachen Sprach-KI-Modelle sehen wir gerade eine rasante Entwicklung, die dazu führt, dass die Analyse der damit einhergehenden Risiken nicht mithalten kann. Daher ist es Zeit, einmal einen kurzen Blick auf das Risikopotential zu werfen und dieses vor dem Einsatz abzuwägen.
Die gegenwärtig angebotenen relativ einfachen Sprach-KI-Modelle werden je nach Einsatzzweck mit Informationen aus dem Internet und ggf. weiteren Quellen aufgebaut. Aus diesen Informationen entstehen die „Produkte“ dieser KI-Modelle. Das bedeutet, dass diese Systeme nicht wirklich selbst schöpferisch tätig sind, sondern vorhandenes Wissen und vorhandene Werke verwenden. Und hier wird es knifflig: Die verwendeten Informationen und Werke können Rechten unterworfen sein, über die uns die KI-Modelle nichts mitteilen.
Welche Rechte kann der Einsatz von KI verletzen?
In erster Linie handelt es sich hierbei um Urheber- und Persönlichkeitsrechte. Je nach verwendeter Datenbasis können auch Geschäftsgeheimnisse oder einer gesetzlichen Verschwiegenheitspflicht unterliegende Informationen betroffen sein. Nun stellt sich die Frage, wer hier den Verstoß begeht, wenn derartig rechtlich geschützte Informationen dem Ergebnis der KI zugrunde liegen. Bisher wird davon ausgegangen, dass Verstöße dem Verwender zugerechnet werden müssen. Die KI – bzw. deren Entwickler – trägt also keine Verantwortung dafür. Wenn also durch die KI beispielsweise Fotos, Grafiken, Musikstücke oder Texte erstellt werden, müsste der Verwender prüfen, ob derartige Rechte daran bestehen. Dies ist momentan kaum möglich, da die KI ja keine Angaben zu den verwendeten Informationen beifügt. Aus diesem Grund haben sich im Moment zahlreiche Unternehmen und Organisationen gegen eine Verwendung dieser Systeme entschieden.
Es kommt auf den Anwendungsfall an
In „geschlossenen Systemen“ – also für einen konkreten internen Zweck und ohne Zugriff auf andere als die selbst bereitgestellten Daten aus dem Unternehmen – werden einfache KI-Systeme bereits seit einigen Jahren für die Lösung zahlreicher Aufgaben erprobt. Meist geht es dabei um Mustererkennung und eine sichere und schnelle Bearbeitung von Formularen, Bildern oder Texten, etc. Aber auch in diesem Fall ist zu beachten, dass bei Verwendung personenbezogener Daten (z.B. Fotos) die Persönlichkeitsrechte beachtet werden müssen. Das bedeutet, dass die datenschutzrechtlichen Anforderungen wie bei jedem anderen System zu erfüllen sind.
Die größte Herausforderung dürfte hier darin bestehen, dass die Anwender zunächst selbst das notwendige Verständnis für die Verarbeitungsschritte der KI erwerben müssen – obwohl die Hersteller diese Informationen nicht bereitstellen. Erst dann wären die Anwender in der Lage, die Transparenzpflichten der DSGVO gegenüber betroffenen Personen und Aufsichtsbehörden überhaupt erfüllen zu können.
Auch Sicherheitslücken und Angriffe auf Unternehmen mittels KI denkbar!
Auch Sicherheitslücken sind durch diese KI-Systeme denkbar. So kann der Schutz der Unternehmensdaten ggf. nicht gewährleistet werden, wenn eine solche KI einen Zugriff auf das Unternehmensnetz hat. Und ob eine KI nur bereitgestellt wird, um solche Zugriffe möglich zu machen oder Firmengeheimnisse auszuspähen, kann im Zweifel auch nur ein Cyber-Security Experte feststellen. Die Sicherheitslücke oder die Haftung bspw. für einen Urheberrechtsverstoß treffen das Unternehmen.
Das sind die Gründe, weshalb zahlreiche Unternehmen hier zunächst ein Verbot des Einsatzes dieser KI-Anwendungen ausgesprochen haben, bis hier die notwendigen sicheren Standards entwickelt worden sind. Es empfehlen sich daher klare Regelungen zum Einsatz von KI-Systemen, wie diese auch für jedes andere System gelten, zu treffen. Der gegenwärtige Hype sollte nicht zu Sicherheitslücken oder Haftungsrisiken führen.
Wie wird die Website genutzt? Werden bestimmte Inhalte vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf der Website? Wird ein voller Warenkorb im Webshop zurückgelassen? Zur Beobachtung des Nutzerverhaltens auf einer Website können verschiedene Tools eingesetzt werden, die hilfreich sind, um diese und andere Fragen zu beantworten. Häufig werden dafür Standardtools von großen Anbietern aus Drittstaaten verwendet, welche die Daten möglicherweise auch dort verarbeiten und für andere Zwecke nutzen. Die Risiken, die mit einer solch ungewollten Datenverarbeitung einhergehen, sind immens. Werden frühzeitig datenschutzfreundliche Einstellungen für die Tools zu Grunde gelegt sowie notwendige Verarbeitungen festgelegt, kann zumeist eine geeignetere Alternative gefunden werden.
Aber nicht nur die mögliche Preisgabe der Geschäftsprozesse oder gar -geheimnisse ist geschäftsschädigend, auch kann fehlende Datenschutzkonformität das Nutzervertrauen negativ beeinflussen und von Aufsichtsbehörden sanktioniert werden.
Produktbeschreibungen wie bspw. „Cookie-less Tracking“ können dazu verleiten die Datenschutzkonformität vorschnell als gegeben anzusehen. Dies ist aber leider nicht immer der Fall. Einige Tools nutzen/akzeptieren zwar keine Third-Party-Cookies; First-Party-Cookies und andere Methoden der Datensammlung werden jedoch schon verwendet. Falls fälschlicherweise davon ausgegangen wird, dass keine Cookies gesetzt werden, führt dies zum Verstoß gegen die DSGVO.
Bei Datenverarbeitungen auf Websites ist grundsätzlich die DSGVO zu berücksichtigen. Neben der Erstellung der datenschutzrechtlich vorgegebenen Dokumentationen, sind die Informationspflichten für Nutzer/Kunden zu erfüllen und die Datenschutzerklärung richtig aufzusetzen. Bei der Überprüfung der Webseiten ist insbesondere auf das Setzen von Cookies mit oder ohne Einwilligung zu achten und deren Speicherdauer zu prüfen. Es sind sowohl ihre Zwecke als auch deren Notwendigkeit zu kontrollieren. Auch die Serversicherheit, durch Verschlüsselung und Softwareaktualität und selbstverständlich sollte die Zulässigkeit der Datenübermittlung in Drittstaaten überprüft werden.
Erhält ein Unternehmen Briefsendungen auf denen „nur“ die Abteilung vermerkt ist, können die Briefe bedenkenlos geöffnet werden.
Wenn neben dem Firmennamen auch ein Mitarbeitername genannt ist, dient dies lediglich dazu, die interne Verteilung zu erleichtern. Eine Postsendung, die im Empfängerfeld mit dem Namen des Unternehmens und dem Namen des Mitarbeiters gekennzeichnet ist, darf vom Arbeitgeber geöffnet werden. Im Urlaubs- oder Krankheitsfall darf ein solcher Brief auch direkt an die Vertretung weitergeleitet und dort geöffnet werden.
Sobald auf dem Umschlag neben dem Namen des Adressaten also zusätzlich der Hinweis „vertraulich“, „persönlich“, „privat“ oder „ausschließlich“ versehen ist, darf nur der Empfänger selbst den Brief öffnen und lesen.
Gleiches gilt für Postsendungen, die an die/den Datenschutzbeauftrage/n adressiert sind. Auch wenn die Postsendung z.B. nur den Hinweis „Datenschutz“ enthält, sollte dieser vorsichtshalber nur vom Datenschutzbeauftragen geöffnet werden.
Öffnen Sie dennoch eine solche Sendung, liegt ein Verstoß gegen das Briefgeheimnis vor. In einem solchen Fall, drohen Ihnen strafrechtliche Konsequenzen (§ 202 StGB). Verstöße gegen das Postgeheimnis können gemäß § 206 StGB mit einer Geld- oder Freiheitsstrafe geahndet werden. Das Postgeheimnis gilt auch innerhalb unseres Unternehmens. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.
Verarbeitet ein Mitarbeiter, ohne Veranlassung des Arbeitgebers, personenbezogene Daten (z.B. Abfragen von Daten aus Datenbank) stellt dies eine unrechtmäßige Verarbeitung dar. Der Mitarbeiter kann dafür als Verantwortlicher angesehen werden, wenn er den Datenschutzverstoß bewusst und gewollt ohne aufgabenbezogene Veranlassung begangen hat. Hier spricht man von einem sogenannten Mitarbeiterexzess. Der Mitarbeiter entzieht sich der Leitung und Aufsicht seiner Vorgesetzten und entscheidet allein über Zwecke und Mittel der Verarbeitung.
Personenbezogene Daten dürfen nicht einfach nur interessehalber abgerufen oder angeschaut werden. In dem Falle der letztlich vor dem OLG Stuttgart behandelt wurde, wurde gegen den Mitarbeiter nicht nur ein Bußgeld verhängt. Eine solche Pflichtverletzung kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.
Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.
Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.
Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.
Seit Februar dieses Jahres ist die KI-Kompetenz für alle Personen verpflichtend, die KI-Systeme im Arbeitsalltag einsetzen.
Die notwendige KI-Kompetenz ist abhängig von den technischen Kenntnissen, Vorerfahrungen, die Ausbildung und Schulung der jeweiligen Person und den Einsatzbereich des KI-Systems und letztlich der Rolle des Arbeitgebers (Betreiber oder Anbieter von KI).
Mit dieser Kompetenz soll sichergestellt sein, dass die Anwender die Risiken der Nutzung von KI für sich selbst und für diejenigen verstehen, die vom Einsatz der KI betroffen sind. Demnach benötigen beispielsweise Anwender aus dem Bereich HR und IT-Sicherheit mehr Kompetenz als ihre Kollegen aus anderen Bereichen.
KI-Kompetenz beinhaltet ein grundlegendes Verständnis von Künstlicher Intelligenz sowie deren Chancen und Risiken. Darüber hinaus benötigt der Anwender ein grundlegendes Wissen über das Gesetz zur Künstlichen Intelligenz, das Datenschutzrecht und über die zusätzlichen Anforderungen weiterer betroffener Rechtsbereiche, wie dem Urheberrecht und dem Geschäftsgeheimnisgesetz.
Wie alle anderen Schulungen, die aus Compliance-Gründen erfolgen, kann für die Schulung zur KI-Kompetenz ein Schulungskonzept erstellt werden. Zunächst sollte das Basiswissen für alle vermittelt werden und später themen- bzw. tätigkeitsspezifischen Vertiefungen angeschlossen werden.
Erster Schritt ist die Identifikation von KI im Unternehmen. Viele bereits im Unternehmen seit Jahren verwendete Anwendungen (wie zum Beispiel Microsoft Office) werden durch KI erweitert. Danach sollte ermittelt werden, welche Risiken diese Anwendungen bergen; welche Mitarbeitenden direkt mit dem System arbeiten und welches Vorwissen diese Mitarbeitenden haben.
Neben den Schulungen sollte eine Richtlinie für den Umgang mit KI-Systemen erstellt werden, in denen Standards definiert werden und Vorgehensweisen und Verhaltensregeln für die Nutzung von KI sowie ein zentraler Ansprechpartner für Fragen rund um KI festgeschrieben werden.
Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.
Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.
Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.
Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.
Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.
Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.
Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.
Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.
Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.
Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.
Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.
Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.
Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.
Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320