Mit dem Registrierungsprozess für ein Google-Konto verstößt Microsoft Datenschutzrecht. Es fehlt an einer freiwilligen und informierten Entscheidung und Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung. Bei der sogenannten „Express-Personalisierung“ gibt es keine Möglichkeit die Einwilligung nicht zu erteilen. Auch bei der „manuellen Personalisierung“ kann die Nutzung personenbezogener Daten im Bereich „Personalisierte Werbung“ nicht vollständig abgewählt werden. Zudem gibt es keine transparente Auflistung der Dienste der Beklagten, in welche man einwilligen solle, ebensowenig wie eine Benennung der „Google-Websites“, „Google-Apps” oder „Google Partner“. Zudem nutzt Microsoft das sogenannte „Nudging“ um Verbraucher zu einer bestimmten Handlung hinzuleiten. Darüber hinaus wird das Wort „Personalisierung“ hier für die Zustimmung zur Datenverarbeitung verwendet. Unter Personalisierung versteht man aber im Allgemeinen etwas anderes (deceptive design pattern).
Nach Auffassung des EuGH muss jede Verarbeitung personenbezogener Daten u.a. im Einklang mit den in Art. 5 DSGVO aufgestellten Grundsätzen zur Verarbeitung solcher Daten stehen und die In Art. 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen (EuGH, Urteil vom 11.7.2024 — C-757/22, Rn. 49). Werden Nutzer nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert oder werden gar zu viele Daten erhoben, die für den angestrebten Zweck nicht erforderlich sind, wird gegen die Anforderungen an die Grundsätze der Datenverarbeitung verstoßen und die Rechte der Nutzer verletzt. So auch im Fall, der vor dem Landgericht Berlin II verhandelt wurde (Az. 15 O 472/22).
Der EuGH musste im Urteil klären, ob die DSGVO und welche Norm genau einen Anspruch darauf verleiht, dass der Verantwortliche eine Wiederholung dieser Verarbeitung unterlässt. Zweitens wollte das Gericht wissen, ob wie im deutschen Recht eine Wiederholungsgefahr vorliegen muss und anhand welcher Merkmale ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO festgestellt werden kann, sowie ob der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen ist.
Der EuGH entschied, dass die DSGVO keine eigene Bestimmung enthält, die dem Betroffenen ein Recht einräumt präventiv gegen rechtswidrige Verarbeitungen vorzugehen. Es dürfen die nach innerstaatlichem Recht bereits bestehenden Rechtsbehelfe genutzt werden (in DE: §§ 823 BGB i.V.m. § 1004 BGB).
Es wurde erneut entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Es müssen drei kumulative Voraussetzungen erfüllt werden, um den Anspruch zu begründen. Negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst“, die es als „allgemeines Lebensrisiko“ einstuft, können jedoch ausreichen, um das Vorliegen eines „immateriellen Schadens“ zu begründen. Vorausgesetzt es wird ordnungsgemäß nachgewiesen, dass solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindunden wurden.
Der Grad des Verschuldens des Schädigers spielt für die Höhe der Entschädigung des immateriellen Schadens jedoch keine Rolle (Entschädigung soll Ausgleichsfunktion statt Abschreckungs- oder Schadensfunktion haben). Die Haltung und die Beweggründe des Verantwortlichen dürfen nicht berücksichtigt werden dürfen
Das französische Arbeits-, Beschäftigungs- und Gesundheitsministerium hat rund 3.600 Unternehmen befragt, ob und inwieweit sich die Bestellung eines Datenschutzbeauftragten auf ihre wirtschaftliche Lage auswirkt.
Mithilfe eines Fragebogens wurde ermittelt, welche wirtschaftlichen Vorteile die Anwesenheit eines Datenschutzbeauftragten für Unternehmen hat. Zusätzlich zur Studie wurden Interviews mit Datenschutzbeauftragen durchgeführt, die von der französischen Vereinigung der Datenschutzkorrespondenten vorgeschlagen wurden. Dies sollte die Einschätzungen der Unternehmen in den Fragebögen bestätigen.
Laut der Studienergebnisse haben Unternehmen mit betrieblichen Datenschutzbeauftragten eine deutlich höhere Auftragsquote bei öffentlichen Ausschreibungen, Vorteile bei der Sanktionsvermeidung und der Vermeidung von Datenlecks sowie eine höhere Effizienz der unternehmensinternen Datenverwaltung.
Cyberabgriffe verursachen erhebliche Kosten, denen nachweislich durch die Anwesenheit eines Datenschutzbeauftragten vorgebeugt wird. Bei der Vermeidung von Sanktionen fürchten die Unternehmen aber weniger die Bußgelder, sondern vielmehr die Auswirkungen auf das Ansehen des Unternehmens.
Darüber hinaus wurde ermittelt, dass eine datenschutzgerechte Datenminimierung die Betriebskosten senken und die IT-Sicherheit stärken kann.
Datenschutzbeauftragte berichteten, dass es tendenziell eher in größeren Organisationen möglich ist, Sanktionen und Datenschutzverletzungen zu vermeiden, sowie in denen mit einer positiven Compliance-Haltung. Die in größeren Organisationen beschäftigte DSB erhalten oft mehr Ressourcen für die Aufgaben rund um den Datenschutz.
Derzeit kursieren im Namen der netcup GmbH E-Mails mit der Überschrift "Ihre Rechnung (R.Nr. nc-4413316)".
Darin wird beschrieben, dass die eigene Domain abgelaufen sei und nun zur Verlängerung bereitstünde. Eine Verlängerung müsse zeitnah durchgeführt werden, um die eigene Webseite und E-Mails ohne Unterbrechungen zu nutzen. Dabei könne man direkt über einen Link zum netcup Customer Control Panel gelangen. Um noch mehr Sicherheit durch eine Zwei-Faktor-Authentifizierung zu erlangen oder ein SEPA-Mandat einzurichten, gibt es in der E-Mail zwei weitere Links.
Betrachtet man nun die E-Mail-Adresse, mit der diese E-Mail versendet wurde, stellt man fest:
Das Unternehmen gibt auf seiner offiziellen Webseite jedoch eine ganz andere Top-Level bzw. Second-Level-Domain an. Ein Blick in alte E-Mails, falls netcup Ihr Vertragspartner ist, oder die offizielle Webseite geben Aufschluss über die Richtigkeit der Daten.
Sollten auch Sie solch eine Phishing E-Mail erhalten haben:
Wenn Verantwortliche in Krankenhäusern, Arztpraxen oder auch ambulanten medizinischen Einrichtungen wie einer Psycho- oder Logopädie Videoüberwachungsanlagen betreiben möchten ist dies nur erlaubt, wenn die Videoüberwachung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht schwerer wiegen.
Die Erforderlichkeit ist dann gegeben, wenn keine milderen Maßnahmen ergriffen werden können und wenn der Verantwortliche belegen kann, dass ein Szenario, welches mit der Videoüberwachung verhindert werden soll, bereits vorher einmal eingetreten ist.
Auch das Anbringen von Hinweisschildern auf eine Videoüberwachung allein führt nicht dazu, dass eine illegale Videoüberwachung legal wird.
Videoüberwachungen in medizinischen Einrichtungen können nur im besonderen Ausnahmefall erfolgen- Dies ist beispielsweise der Fall, wenn eine besonders hohe, über dem allgemeinen Lebensrisiko liegende Gefahr für die Begehung von Straftaten besteht und alle milderen Mittel vorher ausgeschöpft wurden (z.B.. Schließfächer, manuell zu betätigende Türöffner für die Praxis,).
Werden Mitarbeiterbereiche bewacht gelten zudem nochmal besondere Vorschriften. Eine dauerhafte Videoüberwachung der Arbeitsplätze oder Bereiche, in denen sich Beschäftigte über längere Zeit aufhalten, ist generell unzulässig. Ebenso eine Videoüberwachung zum Zwecke der Verhaltens- und Leistungskontrolle. Eine Vorbeugung von Straftaten durch Beschäftigte darf auch nicht durch eine Videoüberwachung erfolgen. Dies bedarf eines konkreten Anhaltspunktes und darf nur zeitlich und personenbegrenzt erfolgen, wenn gleich effektiven Maßnahmen zuvor erfolglos eingesetzt wurden und eine Abwägung zwischen den widerstreitenden Interessen durchgeführt wurde.
Auf absehbare Zeit kommt offenbar niemand mehr an ihr vorbei: Künstliche Intelligenz (KI) und die mit ihr verbundenen Chancen sind das Thema dieser Zeit. Schon seit längerem beobachten wir eine immer schnellere Entwicklung in IT-Technologien. Insbesondere im Bereich der aktuellen noch relativ einfachen Sprach-KI-Modelle sehen wir gerade eine rasante Entwicklung, die dazu führt, dass die Analyse der damit einhergehenden Risiken nicht mithalten kann. Daher ist es Zeit, einmal einen kurzen Blick auf das Risikopotential zu werfen und dieses vor dem Einsatz abzuwägen.
Die gegenwärtig angebotenen relativ einfachen Sprach-KI-Modelle werden je nach Einsatzzweck mit Informationen aus dem Internet und ggf. weiteren Quellen aufgebaut. Aus diesen Informationen entstehen die „Produkte“ dieser KI-Modelle. Das bedeutet, dass diese Systeme nicht wirklich selbst schöpferisch tätig sind, sondern vorhandenes Wissen und vorhandene Werke verwenden. Und hier wird es knifflig: Die verwendeten Informationen und Werke können Rechten unterworfen sein, über die uns die KI-Modelle nichts mitteilen.
Welche Rechte kann der Einsatz von KI verletzen?
In erster Linie handelt es sich hierbei um Urheber- und Persönlichkeitsrechte. Je nach verwendeter Datenbasis können auch Geschäftsgeheimnisse oder einer gesetzlichen Verschwiegenheitspflicht unterliegende Informationen betroffen sein. Nun stellt sich die Frage, wer hier den Verstoß begeht, wenn derartig rechtlich geschützte Informationen dem Ergebnis der KI zugrunde liegen. Bisher wird davon ausgegangen, dass Verstöße dem Verwender zugerechnet werden müssen. Die KI – bzw. deren Entwickler – trägt also keine Verantwortung dafür. Wenn also durch die KI beispielsweise Fotos, Grafiken, Musikstücke oder Texte erstellt werden, müsste der Verwender prüfen, ob derartige Rechte daran bestehen. Dies ist momentan kaum möglich, da die KI ja keine Angaben zu den verwendeten Informationen beifügt. Aus diesem Grund haben sich im Moment zahlreiche Unternehmen und Organisationen gegen eine Verwendung dieser Systeme entschieden.
Es kommt auf den Anwendungsfall an
In „geschlossenen Systemen“ – also für einen konkreten internen Zweck und ohne Zugriff auf andere als die selbst bereitgestellten Daten aus dem Unternehmen – werden einfache KI-Systeme bereits seit einigen Jahren für die Lösung zahlreicher Aufgaben erprobt. Meist geht es dabei um Mustererkennung und eine sichere und schnelle Bearbeitung von Formularen, Bildern oder Texten, etc. Aber auch in diesem Fall ist zu beachten, dass bei Verwendung personenbezogener Daten (z.B. Fotos) die Persönlichkeitsrechte beachtet werden müssen. Das bedeutet, dass die datenschutzrechtlichen Anforderungen wie bei jedem anderen System zu erfüllen sind.
Die größte Herausforderung dürfte hier darin bestehen, dass die Anwender zunächst selbst das notwendige Verständnis für die Verarbeitungsschritte der KI erwerben müssen – obwohl die Hersteller diese Informationen nicht bereitstellen. Erst dann wären die Anwender in der Lage, die Transparenzpflichten der DSGVO gegenüber betroffenen Personen und Aufsichtsbehörden überhaupt erfüllen zu können.
Auch Sicherheitslücken und Angriffe auf Unternehmen mittels KI denkbar!
Auch Sicherheitslücken sind durch diese KI-Systeme denkbar. So kann der Schutz der Unternehmensdaten ggf. nicht gewährleistet werden, wenn eine solche KI einen Zugriff auf das Unternehmensnetz hat. Und ob eine KI nur bereitgestellt wird, um solche Zugriffe möglich zu machen oder Firmengeheimnisse auszuspähen, kann im Zweifel auch nur ein Cyber-Security Experte feststellen. Die Sicherheitslücke oder die Haftung bspw. für einen Urheberrechtsverstoß treffen das Unternehmen.
Das sind die Gründe, weshalb zahlreiche Unternehmen hier zunächst ein Verbot des Einsatzes dieser KI-Anwendungen ausgesprochen haben, bis hier die notwendigen sicheren Standards entwickelt worden sind. Es empfehlen sich daher klare Regelungen zum Einsatz von KI-Systemen, wie diese auch für jedes andere System gelten, zu treffen. Der gegenwärtige Hype sollte nicht zu Sicherheitslücken oder Haftungsrisiken führen.
Wie wird die Website genutzt? Werden bestimmte Inhalte vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf der Website? Wird ein voller Warenkorb im Webshop zurückgelassen? Zur Beobachtung des Nutzerverhaltens auf einer Website können verschiedene Tools eingesetzt werden, die hilfreich sind, um diese und andere Fragen zu beantworten. Häufig werden dafür Standardtools von großen Anbietern aus Drittstaaten verwendet, welche die Daten möglicherweise auch dort verarbeiten und für andere Zwecke nutzen. Die Risiken, die mit einer solch ungewollten Datenverarbeitung einhergehen, sind immens. Werden frühzeitig datenschutzfreundliche Einstellungen für die Tools zu Grunde gelegt sowie notwendige Verarbeitungen festgelegt, kann zumeist eine geeignetere Alternative gefunden werden.
Aber nicht nur die mögliche Preisgabe der Geschäftsprozesse oder gar -geheimnisse ist geschäftsschädigend, auch kann fehlende Datenschutzkonformität das Nutzervertrauen negativ beeinflussen und von Aufsichtsbehörden sanktioniert werden.
Produktbeschreibungen wie bspw. „Cookie-less Tracking“ können dazu verleiten die Datenschutzkonformität vorschnell als gegeben anzusehen. Dies ist aber leider nicht immer der Fall. Einige Tools nutzen/akzeptieren zwar keine Third-Party-Cookies; First-Party-Cookies und andere Methoden der Datensammlung werden jedoch schon verwendet. Falls fälschlicherweise davon ausgegangen wird, dass keine Cookies gesetzt werden, führt dies zum Verstoß gegen die DSGVO.
Bei Datenverarbeitungen auf Websites ist grundsätzlich die DSGVO zu berücksichtigen. Neben der Erstellung der datenschutzrechtlich vorgegebenen Dokumentationen, sind die Informationspflichten für Nutzer/Kunden zu erfüllen und die Datenschutzerklärung richtig aufzusetzen. Bei der Überprüfung der Webseiten ist insbesondere auf das Setzen von Cookies mit oder ohne Einwilligung zu achten und deren Speicherdauer zu prüfen. Es sind sowohl ihre Zwecke als auch deren Notwendigkeit zu kontrollieren. Auch die Serversicherheit, durch Verschlüsselung und Softwareaktualität und selbstverständlich sollte die Zulässigkeit der Datenübermittlung in Drittstaaten überprüft werden.
Erhält ein Unternehmen Briefsendungen auf denen „nur“ die Abteilung vermerkt ist, können die Briefe bedenkenlos geöffnet werden.
Wenn neben dem Firmennamen auch ein Mitarbeitername genannt ist, dient dies lediglich dazu, die interne Verteilung zu erleichtern. Eine Postsendung, die im Empfängerfeld mit dem Namen des Unternehmens und dem Namen des Mitarbeiters gekennzeichnet ist, darf vom Arbeitgeber geöffnet werden. Im Urlaubs- oder Krankheitsfall darf ein solcher Brief auch direkt an die Vertretung weitergeleitet und dort geöffnet werden.
Sobald auf dem Umschlag neben dem Namen des Adressaten also zusätzlich der Hinweis „vertraulich“, „persönlich“, „privat“ oder „ausschließlich“ versehen ist, darf nur der Empfänger selbst den Brief öffnen und lesen.
Gleiches gilt für Postsendungen, die an die/den Datenschutzbeauftrage/n adressiert sind. Auch wenn die Postsendung z.B. nur den Hinweis „Datenschutz“ enthält, sollte dieser vorsichtshalber nur vom Datenschutzbeauftragen geöffnet werden.
Öffnen Sie dennoch eine solche Sendung, liegt ein Verstoß gegen das Briefgeheimnis vor. In einem solchen Fall, drohen Ihnen strafrechtliche Konsequenzen (§ 202 StGB). Verstöße gegen das Postgeheimnis können gemäß § 206 StGB mit einer Geld- oder Freiheitsstrafe geahndet werden. Das Postgeheimnis gilt auch innerhalb unseres Unternehmens. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.
Verarbeitet ein Mitarbeiter, ohne Veranlassung des Arbeitgebers, personenbezogene Daten (z.B. Abfragen von Daten aus Datenbank) stellt dies eine unrechtmäßige Verarbeitung dar. Der Mitarbeiter kann dafür als Verantwortlicher angesehen werden, wenn er den Datenschutzverstoß bewusst und gewollt ohne aufgabenbezogene Veranlassung begangen hat. Hier spricht man von einem sogenannten Mitarbeiterexzess. Der Mitarbeiter entzieht sich der Leitung und Aufsicht seiner Vorgesetzten und entscheidet allein über Zwecke und Mittel der Verarbeitung.
Personenbezogene Daten dürfen nicht einfach nur interessehalber abgerufen oder angeschaut werden. In dem Falle der letztlich vor dem OLG Stuttgart behandelt wurde, wurde gegen den Mitarbeiter nicht nur ein Bußgeld verhängt. Eine solche Pflichtverletzung kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.
Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.
Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320