Seite: 1 von 1
0421 - 33 78 413
0421 - 33 78 413Der Versand einer E-Mail an mehrere Adressaten mit einem offenen E-Mail-Verteiler kann einen Datenschutzverstoß darstellen und dazu führen, dass Sie Post von einer Datenschutz-Aufsichtsbehörde oder eine Abmahnung erhalten.
Personenbezogene Daten dürfen nach den datenschutzrechtlichen Vorgaben nur dann an Dritte übermittelt oder gegenüber Dritten offengelegt werden, wenn hierfür eine gesetzlicher Erlaubnistatbestand eingreift. Wenn Sie eine E-Mail nicht nur an einen Adressaten, sondern gleichzeitig auch an weitere Adressaten versenden wollen, können Sie hierfür E-Mail-Verteiler nutzen. Sie dürfen dabei grundsätzlich die weiteren Empfänger nicht offen als weitere Empfänger der E-Mail in der Empfängerzeile angeben.
Sie müssen diese vielmehr als weitere Empfänger der E-Mail im BCC-Feld angeben, damit für die anderen Empfänger der E-Mail nicht erkennbar ist, an wen die E-Mail noch versandt worden ist.
Wenn Sie eine E-Mail an mehrere Adressaten mit einem offenen E-Mail-Verteiler versenden, drohen folgende Konsequenzen:
Verstöße lassen sich leicht vermeiden: Mehrere Adressaten müssen immer in das Feld BCC eingetragen werden.
Und auf gar keinen Fall in eines der anderen Felder. Anders als beim FELD CC Carbon Copy, ist der Inhalt von FELD BCC Blind Carbon Copy: für andere Adressaten nicht sichtbar.
Seit Anfang Februar müssen nun Arbeitgeber nach der KI-Verordnung dafür sorgen, dass ihre Beschäftigten, die KI-Tools wie zum Beispiel ChatGPT, Microsoft Copilot usw. einsetzen, über eine entsprechende KI-Kompetenz verfügen. Dies gilt nicht nur für Hoch-Risiko-KI, sondern für alle KI-Systeme am Arbeitsplatz.
KI-Schulungen für Beschäftigte sind nach der KI-Verordnung verpflichtend – und zwar bereits vor der Einführung von KI Systemen. Die Teilnehmer*innen sollen lernen, KI Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.
Auch hier wirkt der Datenschutz rein. Die Verpflichtungen aus der DSGVO bestehen neben der KI-Verordnung.
Mindestens folgende Fragen müssen in der Schulung beantwortet werden:
- Was ist ein KI-System und was kann ein KI-System?
- Welche Nutzung von KI-Systemen ist gefahrlos möglich? Wo muss ich aufpassen?
- Was bedeutet „prompten“ und wie geht das?
- Wie setze ich mit den Ergebnissen der KI auseinander?
- Wie behalte ich als Mensch die Kontrolle über die KI?
- Was bedeutet der Einsatz von KI im beruflichen Alltag?
Der Bedarf an Kompetenzaufbau ist offensichtlich: Während die Einführung von KI-Anwendungen boomt, bietet eine deutliche Mehrheit der Unternehmen (71 Prozent) keine KI-Schulungen an (so das Ergebnis der TÜV-Weiterbildungsstudie 2024).
Wenn Sie als Arbeitgeber der neuen Verpflichtung nicht nachkommen, sind Sanktionen nicht ausgeschlossen. Denn die Sicherstellung ausreichender KI-Kompetenz stellt eine gesetzliche Verpflichtung dar, deren Missachtung u.a. haftungsrechtliche Verantwortlichkeiten auslösen können. Wie das im Detail aussehen wird, ist noch nicht im Detail klar. Es bleibt abzuwarten, wie die nationale Verwaltung agieren wird. Aber nicht nur aus diesem Grund steht es im Eigeninteresse von Arbeitgebern, die Beschäftigten für die Nutzung von KI ausreichend zu schulen. Denn die betriebliche KI-Kompetenz ist eine wesentliche Grundlage für eine differenzierte Risikobewertung und eine sachgerechte Nutzung der KI. So kann sichergestellt werden, dass in der KI keine Daten verarbeitet werden, die den Unternehmensinteressen zuwider laufen.
Der Arbeitgeber hatte einen aufgrund einer unfallbedingten Erkrankung arbeitsunfähig gemeldeten Beschäftigten mittels einer Detektei an mehreren Tagen im häuslichen Umfeld, u. a. im Eingangsbereich seines Hauses und auf seiner Terrasse sowie bei einem Arztbesuch und einem Einkauf, überwachen lassen. Zur Begründung führte der Arbeitgeber an, dass es zwischen ihm und dem Beschäftigten vor der streitgegenständlichen Erkrankung zu Differenzen über die von dem Beschäftigten zu erbringenden Arbeiten und zu mehreren unrechtmäßigen Kündigungen gekommen war. Außerdem sei die Arbeitsunfähigkeitsbescheinigung an einem Ort ausgestellt worden, an dem sich der Beschäftigte zum Unfallzeitpunkt nach seinen vertraglichen Pflichten gar nicht hätte aufhalten sollen.
Die Detektei hatte in der Folge im Rahmen ihrer Überwachung u. a. notiert, dass der Beschäftigte an mehreren Tagen schwere Sachen in Haus und Auto lud sowie handwerkliche Arbeiten vornahm. Weiterhin wurde dokumentiert, dass der Kläger bei einem Einkauf beim Gehen ein Bein nachzog. Der Arbeitgeber sah deshalb die Arbeitsunfähigkeit als vorgetäuscht an, was der Beschäftigte jedoch zurückwies. Vielmehr ging der Beschäftigte seinerseits in die Offensive und verklagte den Arbeitgeber wegen eines Verstoßes gegen die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz auf Schadensersatz in Höhe von mindestens 25.000 €.
Die Entscheidung des BAG:
Nach Ansicht des BAG lag ein Datenschutzverstoß des Arbeitgebers vor, der einen Schadensersatz gegenüber dem Kläger rechtfertige. Das LAG Düsseldorf hatte als Vorinstanz allerdings nur einen Schadensersatz in Höhe von 1.500 € für angemessen gehalten. Dem schloss sich das BAG an.
Das BAG begründete die Entscheidung damit, dass für die mit der Observation verbundene Verarbeitung des sichtbaren Gesundheitszustandes und somit von Gesundheitsdaten im vorliegenden Fall keine Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO gegeben sei. Art. 9 Abs. 2 lit. b DSGVO in Verbindung mit § 26 Abs. 3 S. 1 BDSG könne für eine Mitarbeiterüberwachung durch eine Detektei nur dann als Rechtsgrundlage herangezogen werden, wenn der Beweiswert einer vorgelegten ärztlichen Arbeitsunfähigkeitsbescheinigung erschüttert sei und eine Untersuchung durch den Medizinischen Dienst der gesetzlichen Krankenkassen als milderes Mittel nicht möglich oder nicht zielführend sei. Anderenfalls stelle die Überwachung einen nicht zu rechtfertigenden Eingriff in das allgemeine Persönlichkeitsrecht des betroffenen Beschäftigten dar.
In dem Fall haben die Gerichte den Beweiswert der Arbeitsunfähigkeitsbescheinigung nicht als erschüttert angesehen. Es gab auch keine Gründe des Arbeitgebers, auf die vorrangige Einschaltung des Medizinischen Dienstes des MDK zu verzichten.
Was heißt das für die Praxis?
Vor dem Einsatz einer Detektei sollte stets geprüft werden, ob objektive Anhaltspunkte vorliegen, die den Beweiswert der Arbeitsunfähigkeitsbescheinigung erschüttern und damit einschränken. Dass kann z.B. dann der Fall sein, wenn der Beschäftigte während der Dauer der Arbeitsunfähigkeit beobachtet wird, wie er woanders arbeitet. In dem Fall muss der Arbeitgeber vorrangig den Medizinischen Dienst zur Überprüfung einschalten. Nur im Ausnahmefall ist das verzichtbar. Dafür müssen dann gute Gründe aufgeführt werden.
Seite: 1 von 1