July 19, 2024

Neues zur privaten Kommunikation am Arbeitsplatz - Datenschutz News KW 29-2024

24 minutes

Was ist in der KW 29 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

Weltweiter IT-Ausfall legt u.a. große Teile des Flugverkehrs lahm

600.000€ Bußgeld: Verfolgung von Internetnutzern mithilfe von Cookies ohne Zustimmung

LDI NRW zur Anwendbarkeit des Fernmeldegeheimnisses für Arbeitgeber

Datenschutz-Zertifizierung aus NRW nun seitens des EDSA genehmigt

KI-Verordnung tritt in Kraft und Stellungnahme EDSA zu Frage der Aufsichtsbehörde

Bitkom-Leitfaden „KI und Datenschutz“

EuGH: Verbandsklagerecht gilt auch bei Verstößen gegen Informationsrechte
Urteil vom 11. Juli 2024 (Rs. C 757/22)

LAG Niedersachsen befragt EuGH zur Nutzung von rechtswidrig erlangten Daten
EuGH Aktenzeichen C-484/24

OLG Oldenburg weist Haftpflichtversicherer zur Offenlegung von Ermittlungsberichten an
Urteil vom 09.04.2024 – 13 U 48/23

Datenleak bei Disney

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/neues-zur-privaten-kommunikation-am-arbeitsplatz-datenschutz-news-kw-29-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Guck’s mich so an. Da kommt nix mehr. Aber fertig. Flasche leer.

Ich habe überlegt ich habe überlegt, ob ich dazu noch irgendwas Kluges sage. Mir fällt aber nix ein.

Dann machen wir einfach weiter, würde ich sagen. Ja.

Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab,

Heute ist wieder Freitag und wir starten wieder gemeinsam ins Wochenende. Freitag der neunzehnte Juli zweitausendvierundzwanzig. Mein Name ist Heiko Gossen.

Und mein Name ist Laura Broschinski.

Wir gucken, wie ihr das von uns gewohnt seid, äh die ganze Woche auf die News, was so passiert in der Welt des Datenschutzes und fassen das dann hier am Freitag für uns und euch natürlich zusammen,

um alle auf dem Laufenden zu halten. In diesem Sinne würde ich sagen, Laura, lass uns doch mal schauen, welche Themen wir heute alle mit dabei haben.

Ja, in dieser Woche ist ein bisschen was passiert, also von Sommerloch nicht so wirklich was zu spüren,

Als erstes habe ich mitgebracht ein Bußgeld für das Cookie Tracking ohne Einwilligung, ganz spannend,

Dann geht’s weiter zu einer Datenschutzzertifizierung von Auftragsverarbeitern. Außerdem hat’s auf Mindzettel geschafft, noch der Leitfaden für künstliche Intelligenz und Datenschutz vom Bitcom,

sowie ein Urteil nee, falsch, es ist gar kein Urteil, es ist eine Vorlagefrage für den Europäischen Gerichtshof, die adressiert wird und zu guter Letzt noch ein Datenleak.

Klingt schon mal spannend, ich habe was ganz aktuelles, quasi Breaking News, nämlich äh den weltweiten IT-Ausfall, den wir grade an allen Ecken und Enden wohl zu spüren bekommen als Verbraucher, zumindest wenn wir auf bestimmte Dinge,

angewiesen sind, wie Flugzeuge dann habe ich unser Titelthema, ein Update zum,

Fernmeldegeheimnis für Arbeitgeber, inwieweit das noch anwendbar ist oder nicht. Wir gucken einmal auf den veröffentlichten AI-Act die KI-Verordnung, wenn man’s auf Deutsch formulieren möchte.

Dann habe ich ein aktuelles Urteil des EuGH zum Verbandsklagerecht mit dabei und ein schönes Urteil vom OLG Oldenburg, wo’s um die Offenlegung von Ermittlungsberichten geht.

Also ich würde trotzdem sagen, dass ich normalerweise würde ich ja anfangen, aber bei Breaking News, da können wir nicht warten.

Okay, alles klar

ich fange an. Ja ein Update der Sicherheitssoftware Crowd Strike bringt Windows Computer zum Absturz, auch im Kritisbereich.

Das Update der Sicherheitssoftwarecrowdstrake, der bringt wohl im Moment wirklich viele Computer weltweit zum Absturz, unter anderem ist auch der Flughafen Berlin-Brandenburg lahmgelegt.

Aber auch in Hamburg und Düsseldorf starten aktuell keine Flugzeuge. Darüber hinaus haben auch Banken, Geschäfte und Unternehmen Ausfälle zu beklagen,

sogar das Universitätsklinikum Schleswig-Holstein musste jetzt alle Operationen absagen. Betroffene Geräte zeigen wohl ein Blue Screen of Des

Den kennen Leute, die schon länger in der IT sind, noch von früher. Die hatten dann in den letzten Jahren echt wirklich, wirklich nur noch sehr, sehr selten,

Jetzt ist er aber halt tatsächlich wohl bei diesen Geräten Standard die diese Software draufhaben und die Geräte starten halt immer wieder neu,

Crowdstrike arbeitet auch schon an einer Lösung und hat sich auch äh wohl schon einen Workaround veröffentlicht. Laut Heise muss man demnach den abgesicherten Modus starten und einen bestimmten Ordner löschen. Danach kann man den Rechner dann neu starten.

Ja ich glaube das wird noch Konsequenzen nach sich ziehen grade wie gesagt mit Blick auf Kritis ist das natürlich ein Thema wo es ja eigentlich darum geht genau solche Infrastrukturen zu schützen

Wenn die jetzt natürlich die Sicherheitssoftware lahmgelegt werden,

Ich kann mir nicht vorstellen, dass das ohne Reaktion bleibt. Also da wird sicherlich noch was äh nach sich bringen, auch wenn’s jetzt kein vielleicht äh unmittelbares Datenschutzthema ist, aber Informationssicherheit ist es halt allemal,

und das ist ja auch eine eine unserer Kernkompetenzen hier bei der Migrosenz, von daher war mir das schon wichtig, dass wir dieses Thema hier auch noch mit aufnehmen.

Ja unglaublich unangenehm für sehr sehr viele Beteiligte.

Ja auch Betroffene, ne. Also wie gesagt, Menschen stehen jetzt an Flughäfen rum und kommen nicht weg. Also wird’s halt auch immer doof.

Oder Krankenhäuser, die betroffen sind, äh tragisch, ja.

Ganz sicher tragisch für den Empfänger des Bußgeldbescheids, aber nicht so tragisch wie deine Meldung. Habe ich eine erste Meldung aus den Niederlanden mitgebracht und zwar die niederländische Datenschutzaufsichtsbehörde

hat ein Bußgeld in Höhe von 600.000 Euro verhängt

da eine verantwortliche Stelle ohne Einwilligung Tracking Cookies auf ihrer Webseite genutzt hat. Vorausgegangen war eine Untersuchung des Drogerieunternehmens Ayes Watson Health and Beauty Kontinente Europe langer Unternehmensname. Ace Watson,

Und dieses verfolgte,

Mit Tracking Cookies, Besucher ihrer Webseite, ohne dafür eine aktive Einwilligung einzuholen oder sie überhaupt darüber zu informieren, dass ihre Aktivitäten verfolgt würden. Es wurde von der Datenschutzbehörde festgestellt, dass die Einwilligung standardmäßig aktiviert war.

Sie wertete die Entfernung des Häkchens aber als kompliziert und umständlich. Also grundsätzlich ist ja eh die aktive Einwilligung erforderlich und hier äh war es halt vorab gesetzt.

Diverse Informationen seitens der Kunden und der Webseitenbesucher wurden von seitens des Drogerieunternehmens gespeichert und halt auch entsprechende Profile erstellt.

Weiteres unangenehmer auch hier in der Sache ist eben, dass es sich bei den Daten über den Kauf von Drogerieprodukten handelt

und somit auch Schlussfolgerungen über die Gesundheit abgeleitet werden konnten. Und das hat eben auch Einfluss auf die Höhe des Bußgelds in den Niederlanden.

Wie grade ja schon kurz angekündigt, EuGH, aber auch der Bundesgerichtshof bei uns auf nationaler Ebene, fordern ja eben hier die aktive Zustimmung von Webseitenbesuchern, eben wenn’s um Analyse, Werbe- und Marketing-Cookies geht,

bevor es eben zu dem aktiven Einsatz kommt und dass halt eben ja nur lediglich technisch notwendige Cookies davon ausgenommen sind und das wird ja hier eben nicht der Fall gewesen sein.

Aber finde ich zum Sensibilisieren noch mal ganz schön. Unterm Radarfliegen glaube ich grundsätzlich schwierig, auch wegen dieser groß angelegten Prüfung auf nationaler Ebene, aber hier sieht man, wenn die Aufsichtsbehörde genauer hinguckt, kann’s auch wirklich teuer werden.

Genau, also das kam jetzt auch direkt in den Sinn, diese Prüfungen, die viele Aufsichtsbehörden jetzt automatisiert mit ihren IT-Laboren auch durchführen,

Kevin wird rauer würde ich sagen, also von daher warm anziehen und vor allen Dingen halt die Webseiten regelmäßig checken

Wir ähm bieten das ja auch an, dass man halt äh die Webseite regelmäßig auch auch überprüft und von daher glaube ich, ist man da immer gut beraten, das im Blick zu behalten.

Die Aufsichtsbehörde NRW sieht Arbeitgeber nicht mehr an das Fernmeldegeheimnis gebunden, wenn sie die private Nutzung von E-Mail und Internet gestatten.

Wir hatten ja letzte Woche bereits berichtet, dass die LDI NRW, Bettina Geiger ihren 29. Tätigkeitsbericht veröffentlicht hat,

und äh darin geht sie auch auf die Frage ein, ob bei gestatteter oder geduldeter Privatnutzung der Arbeitgeber

als Telekommunikationsdiensteanbieter einzustufen ist und wenn er das so äh eingestuft würde er natürlich auch das Fernmeldegeheimnis nach dem Telekommunikationsrecht,

garantieren müsse,

Und sie kommt zum Ergebnis, dass das nicht der Fall ist, dass er also auch dieses Fernmeldegeheimnis dann entsprechend gegenüber seinen Mitarbeitenden nicht garantieren muss.

Die Diskussion ist alt, also ich kenne mich an meine Anfänge im Datenschutz erinnern. Äh zweitausendvier,

da haben wir diese Diskussion tatsächlich schon geführt.

Die DSK hat ja zweitausendsechzehn zuletzt dazu was veröffentlicht in einem Positionspapier und hat halt dort noch mal festgehalten, dass das TKG anwendbar sei. Mittlerweile sind die Regelungen ja sowieso ins TDTG überführt worden.

Aber es hatte natürlich erstmal grundsätzlich nichts daran geändert, dass das Fernmeldegeheimnis da ist. Es gab Rechtsprechung von Arbeitsgerichten, die gesagt haben, nee ist nicht anwendbar, die haben’s aber nie begründet, deswegen wurde halt diese Diskussion,

halt weitergeführt und wie gesagt, Aufsichtsbehörden

hatten 2tausend16 diese Position dann noch verfasst. Hintergrund jetzt, dieser Änderung, auch der Auffassung von Aufsichtsbehörden, ist eine Änderung, die sich auch in der TKG äh Novelle wiedergefunden hat vor, ich glaube anderthalb Jahren ungefähr.

Weil dort in den Definitionen im Paragrafen drei, Nummer 61 die Telekommunikationsdienste etwas anders definiert wurden. Dort heißt es mittlerweile jetzt nicht mehr,

dass da ein Telekommunikationsdienst in der Regel Geschäftsmäßig erbracht wird, sondern dort heißt es jetzt in der Regel gegen Entgelt erbracht wird,

und das ist natürlich ein kleiner aber feiner Unterschied.

Der BFD hatte die Auffassung Anfang des Jahres, auf einer Veranstaltung auch schon mal vertreten, deswegen haben wir es ja auch intern schon mal ähm rauf und runter diskutiert

der war aber noch ein bisschen zurückhaltender, damit der dieser Festlegung, deswegen freut’s mich sehr, dass die LDI sich da jetzt nun tatsächlich auch sehr klar positioniert hat und gesagt hat, nee, das ist halt so nicht mehr anwendbar

aber die LDI und das tun wir auch weiterhin, raten natürlich zu ausführlichen datenschutzrechtlichen Regelungen in diesem Bereich und auch Leitplanken,

Insbesondere halt bei der E-Mail-Nutzung, glaube ich, bestehen auch weiterhin Risiken für die Rechte und Freiheiten, insbesondere der anderen Kommunikationsteilnehmer ja auch, die im Zweifelsfall nicht wissen, wie die Regelungen im eigenen Unternehmen aussehen, wenn

du jetzt zum Beispiel,

von einem Bekannten, deinen Eltern, wem auch immer, eine private E-Mail auf seinen Firmen-Account bekommst. Das mag jetzt vielleicht dann, wie gesagt, nicht mehr unseres Fernmeldegeheimnis fallen, aber

Deswegen wissen ja die Leute, die dir geschrieben haben das nicht und deswegen glaube ich, ist es wichtig, dass man dann im Unternehmen dafür auch die richtigen Regelungen und Leitplanken setzt.

So ist es. Also einfach nur hinnehmen und dulden ist dann, glaube ich, keine richtige Praxisempfehlung.

Das ist auf jeden Fall ein Thema, was weiterhin nicht nur einfach stillschweigend geduldet werden soll, sondern wirklich geregelt werden muss.

Mhm.

Ja, Bettina Geig war auch diese Woche nicht untätig. Äh du hattest ja gesagt, deine Nachricht kommt aus dem Tätigkeitsbericht. Ich habe jetzt als nächstes eine veröffentlichte Pressemitteilung von ihr mitgebracht, in der die Landesbeauftragte darüber informiert, dass der europäische Datenschutzausschuss

die europäischen Kriterien für die Zertifizierung von Auftragsverarbeitern nun genehmigt hat.

Es handelt sich um eine Fortentwicklung der bereits im Oktober 222 genehmigten nationalen Kriterien

eines in NRW ansässigen Unternehmens, weshalb eben hier die Landesbeauftragte aktiv daran beteiligt ist. Wir haben über das Zertifikat European Privaces Heal ja auch schon mal hier berichtet und es soll halt eben anderen Unternehmen,

jetzt auch in Europa künftig attestieren, dass ihre Auftragsverarbeitung den Anforderungen des europäischen Datenschutzrechts entsprechen.

Um das Zertifikat zu erhalten, analysieren, unabhängige Fachleute eben die Verarbeitungsvorgänge personenbezogener Daten und prüfen diese auf Normgerechtigkeit.

Ein Zertifikat vereinfacht dann die Beurteilung, ob der Dienst eines Auftragsverarbeiters Datenschutz konform ist und kann durchaus, finde ich, auch als Wettbewerbsvorteil genutzt werden, weil’s einfach für verantwortliche Stellen

ist viel einfacher gemacht wird, ein Auftragsverarbeiter gut einzuschätzen im Vorfeld. Bettina Geig ähm freut sich natürlich, dass äh die Entscheidung,

Also die schon auf nationaler Ebene getroffen wurde, nun auch durch den europäischen Datenschutzausschuss bestätigt wurde, was eben jetzt dazu führt, dass die Kriterien nun auch von allen Aufsichtsbehörden europaweit anerkannt werden.

Schön, oder? Von unserem NRW-Unternehmen da auch voranzugehen.

Auf jeden Fall und wenn der Etzer da auch äh das jetzt halt bestätigt hat,

Schön, dass dieses Verfahren auch funktioniert, auch wenn’s Zeit braucht. Von daher auf jeden Fall und im im Kontext der Auftragsverarbeitung,

ähm da glaube ich, wird alles was da hilft, die Überzeugungsbildung auch und die Garantien, die man halt braucht als Auftraggeber

abzubilden sicherlich auch auch sehr gut. In dem Zusammenhang fällt mir ein, dass dass wir in Bitcoin auch an so einem Reifegradmodell für genau diese Konstellation Auftraggeber, Auftragnehmer arbeiten für die technischen organisatorischen Maßnahmen, die

auch in Kürze veröffentlicht, so dass ich da hoffe, dass wir äh da auch einen Beitrag dazu leisten können zu dieser Thematik,

Und äh wenn wir den veröffentlicht haben, werden wir natürlich auch noch mal berichten dazu.

Dann mache ich mal weiter. Die KI-Verordnung wurde am 12. Juli 224 im Amtsblatt der Europäischen Union veröffentlicht. Ich glaube,

jeder der ein bisschen im Internet unterwegs war, wird’s mitbekommen haben. Es ist äh wie jetzt an allen Ecken und Enden ja äh nun auch schon bekannt gemacht worden, dass sie nun veröffentlicht ist.

Sie tritt am 2. August 226 in Kraft, wobei bestimmte Ausnahmen gelten. Ab dem 2. Februar 25 sind zunächst schon bestimmte KI-Praktiken untersagt,

darunter auch biometrische Echtzeitüber Fernüberwachung und Social Scoring zum Beispiel.

Die Mitgliedsstaaten sind verpflichtet, bis zum 2. August 25 Durchführungsvorschriften zu erlassen, in denen sie halt auch die zuständigen Behörden für die Durchsetzung der KI-Verordnung benennen.

In der Verordnung heißt es ähm Mitgliedsstaaten benennen, Marktüberwachungsbehörden entweder die für den Datenschutz zuständigen Aufsichtsbehörden oder jede andere gemäß den selben Bedingungen entsprechend festgelegten benannte Behörde, um die Anwendung und Umsetzung des

KI-Gesetz ist halt zu überwachen. Also das heißt, es können die Datenschutzbehörden benannt werden auf nationaler Ebene, müssen es aber nicht.

Der Hetzer, also der europäische Datenschutzausschuss, hat dazu jetzt auch nochmal eine Stellungnahme veröffentlicht. Er sieht da natürlich die Datenschutzaufsichtsbehörden als prädestiniert,

Nach Angaben des Ärzte haben Datenschutzbehörden bereits Erfahrungen und die notwendigen Fachkenntnisse auch im Umgang mit den Folgen von KI.

Für die Grundrechte und Freiheit natürlich der Betroffenen,

und sollten deswegen nach Auffassung des Ärztes auch in den meisten Fällen dann als Marktüberwachungsbehörde entsprechend auch festgelegt werden. Die deutschen Aufsichtsbehörden blasen da ja auch ins gleiche Horn.

Ich glaube auch aus eigener Überzeugung heraus, dass es auch keine schlechte Idee ist. Alleine schon aus dem Aspekt heraus für die Unternehmen. Eine Behörde im besten Fall, die auch Entscheidungen dann nachher ist

äh zu haben. Wenn wir personenbezogene Daten mit KI verarbeiten und haben dann aber zwei Aufsichtsbehörden für genau dieses Thema,

macht’s halt nicht einfacher. Wir kennen das in der Telekommunikationsbranche schon seit Jahren, wo es halt für die datenschutzrechtlichen Vorschriften auch zwei Aufsichtsbehörden mehr oder minder gibt, die Bundesnetzagentur und den Bundesbeauftragten für Datenschutz

Das sind halt so Konstellationen, die machen das halt nicht einfacher. Deswegen wie gesagt, ich kann kann dem auch viel abgewinnen.

Ich möchte gern die Klammer bilden aus dem Thema KI und Bitcoin. Du hast es gerade schon angekündigt, dieses Tom Reifegrad-Modell. Ich habe hier aber jetzt äh noch was Weiteres mitgebracht und zwar wurde kürzlich der Praxisleitfaden für KI und Datenschutz des Bitcoin veröffentlicht

wir natürlich auch hier unseren lieben Hörerinnen und Hörern natürlich nicht vorenthalten möchten.

Ähm dieser soll zukünftig als umfassendes Nachschlagewerk dienen, um Unternehmen und Organisationen bei der Datenschutz konform Nutzung und Implementierung von KI-Technologie.

Schwieriges Wort. KI-Technologien zu unterstützen.

Er thematisiert die rechtlichen Grundlagen, die Nutzung inklusive Training von KI und umfasst ebenso Anwendungsbeispiele und Checklisten.

Gerichtet ist das Dokument an Datenschutzbeauftragter, IT- und Compliance verantwortliche Entwickler

sowie Anwender von KI-Systemen sowie Entscheidungsträgern und Unternehmen. Auch hier kann es eben die entsprechende Information zu der Technologie zu erhalten.

Wer sagt, hm, da gab’s doch schon mal was von Bitcoin, liegt da nicht ganz falsch, denn äh es gibt ja bereits den Leitfaden Generative KI im Unternehmen,

Dieser fokussiert sich allerdings auf die allgemeinen Aspekte und Rahmenbedingungen der Nutzung von generativer KI.

Und somit soll jetzt dieser Leitfaden ähm der neue sich eben mit den datenschutzrechtlichen Anforderungen beschäftigen, also als Ergänzung dienen

und beinhaltet eben ethische Überlegungen bei der Nutzung von den neuen Technologien zu künstlichen Intelligenz.

Packen wir hier natürlich in die Shownotes. Ähm lohnt sich auf jeden Fall einen Blick rein.

Auf jeden Fall, ich finde den gut, weil er äh zum einen nicht nur generative KI natürlich betrachtet, sondern es gibt ja mittlerweile halt sehr viele KI äh basierte Anwendungen, die auch in Unternehmen,

mittlerweile ja Eingang gefunden haben und auch teilweise ja vielleicht zur Verarbeitung personenbezogener Daten genutzt werden können, also wir denken dann halt auch so Sachen wie Copilot

ähm oder andere Sachen,

und äh deswegen finde ich’s halt ganz äh ganz gut und vor allen Dingen, er macht halt die ganzen Arbeit, die ganzen Grundsätze nochmal ab, bezieht aber halt auch mal wieder diesen praktischen Bezug und gibt auch Hilfestellungen bei bei der Einsortierung von von einigen Fragen, die sich natürlich auch ergeben,

Von daher kann ich kann ich auf jeden Fall auch empfehlen,

Gut, dann kommen wir zum Verbandsklagerecht. Der Europäische Gerichtshof hat die Voraussetzungen für Verbandsklagen präzisiert und sieht diese auch als berechtigt an, wenn die Informationspflichten verletzt sind.

Im Jahr 2022 hatte der EUGH die Verbandsklage schon mal bestätigt, äh wenn es in Folge einer Verarbeitung zu einer Verletzung der Datenschutzrechtlichen Vorschriften gekommen ist.

Im aktuellen Verfahren vor dem BGH zwischen der zwischen dem Verbraucherzentrale Bundesverband, kurz VZBV gegen geht es jedoch um die Frage, ob die Informationspflichten von Meta ausreichend umgesetzt sind.

Der EuGH erneut befragt, führt dazu aus, eine Verarbeitung personenbezogener Daten unter Verletzung des Informationsrecht aus der DSGVO verstoße gegen die dort festgelegten Grundsätze für die Verarbeitung personenbezogener Daten,

Daher sei die Verletzung dieses Rechts als ein Verstoß gegen die Rechte der betroffenen Person in Folge einer Verarbeitung anzusehen.

Auch wenn die Verarbeitung noch nicht stattgefunden hat,

ist aber die Verletzung dieses Informations äh Recht oder beziehungsweise dieser Informationspflicht auch letztendlich dann äh hierhin runter zu subsumieren und entsprechend dann vom EuGH auch damit bestätigt, dass diese Klage zulässig ist.

Ich habe als nächstes eine interessante Vorlagefrage an den EuGH mitgebracht,

die durch das Landesarbeitsgericht Niedersachsen adressiert wurde, welches ihre eigene justizielle Tätigkeit betrifft.

In einem beurteilenden Rechtsstreit richtet das Landesarbeitsgericht um Handlungssicherheit, ob und unter welchen Voraussetzungen möglicherweise rechtswidrig erlangte Kenntnisse und Beweismittel, die eine Partei in dem Rechtsstreit einführt, verwertet werden können.

Die Frage ist eben offen, welche Norm der DSGVO auf die gerichtliche Datenverarbeitung anwendbar sind und welche Rechtsgrundsätze von den Gerichten zu beachten sind.

Im konkreten Fall geht es um eine Schadensersatzklage, die durch eine Arbeitgeberin angestoßen wurde.

Und diese wirft einer Mitarbeiterin vor, sich über den unbefugten Verkauf von Firmeneigentum bereichert zu haben.

Woher weiß sie das? Nachweisen konnte die Klägerin dies, weil sie das private Ebay-Konto der Mitarbeiterin eingesehen hat. Dies natürlich ohne Kenntnis der Mitarbeiterin, woher die Zugangsdaten aus zu dem Account stammen

ist zwischen den Parteien streitig. Die personenbezogenen Daten zur Erstellung der Beweismittel sind somit als rechtswidrig erlangt zu werden.

Klar ist für das Landesarbeitsgericht, dass auch Gerichte, die DSGVO beachten müssen und dass es hier Unsicherheit gibt.

Und somit der Europäische Gerichtshof mit der entsprechenden Fragestellung beauftragt wurde.

Außerdem möchte gerne das Landesarbeitsgericht wissen, ob die Regelungen des deutschen Zivilprozessrechts bestimmt genug sind,

also die erforderlichen Regelungstiefen aufweisen, um den Anforderungen der DSGVO zu genügen. Ja, in

deutschen Gerichten hat es ja auch bereits zum Thema Beweismittelverwertung im Zusammenhang mit unrechtmäßiger Verarbeitung von personenbezogenen Daten bereits verschiedenste Urteile gegeben.

Ähm ich glaube, Dashcam dürfte fast jedem Datenschützer ein Begriff sein. Ähm damals vor der DSGVO-Einführung ähm das Urteil vom Bundesgerichtshof, der ja eben,

eine Entscheidung oder zur Entscheidung gekommen sind, dass eben in engen Grenzen

eine Verwertung von Videoaufzeichnung und Zivilgerichtsprozess durchaus möglich ist. Jedoch folgte darauf nach der DSGVO-Einführung ein Urteil des Landgericht Mühlhausen

was eben durch die Neuregelung des Datenschutzrechts das alte Urteil nicht mehr als anwendbar wertete. Da wenn Daten ja ohne Wissen,

von ja natürlichen Personendaten erhoben werden und als Beweismittel genutzt werden

dass diese eben unrechtmäßig erlangt sind und eben auch keine Verwendung als Beweismittel möglich machen.

Ich finde das ganz gut, dass der EuGH sich da hoffentlich bald, wollte ich sagen, das stimmt natürlich nicht, aber irgendwann eine eine Aussage zu treffen wird. Wie siehst du das?

Ja, ich halte das auch für gut, wenn wir da Klarheit reinbekommen und würde mal behaupten, wir werden das mitbekommen und,

Schalten Sie wieder ein, wir werden berichten. Gut, machen wir weiter,

Das OLG Oldenburg hat entschieden, dass eine Versicherung im Rahmen eines Auskunftsersuchen auch ein Observierungsbericht einer Detekteibeauskunften muss.

Hintergrund ein Versicherer, verdächtig, der einen Unfallgeschädigten seine gesundheitlichen Einschränkungen etwas zu übertreiben und beauftragte daher eine Detektei, das Unfallopfer zu observieren.

Keine Ahnung, ob das Standard ist.

Aber gut. Der Geschädigte verlangte jedenfalls Einsicht in dem Bericht, doch äh der Versicherer gab halt nur teilweise Auskunft und brief sich auf Geheimhaltung,

Das Landgericht Oldenburg ähm hatte hier noch den Versicherer unterstützt, jedoch das Oberlandesgericht hat nun entschieden, dass dies auch zu bei Auskunften ist. Der Versicherer muss also dem Geschädigten nun vollständige Auskunft und eine Kopie des Berichts geben.

Da erhalt unter den Anspruch der Artikel 15 DSGVO fällt. Finde ich richtig konsequent.

Finde ich sehr konsequent, aber ich würde auch super gerne mal in die Begründung des Landgerichts äh mal rein lünkern wollen. Also wie sie das halt damals begründet haben, dass eben das nicht offengelegt werden muss.

Das müssen wir dann noch mal im Nachgang nachschauen.

Ist doch nur interessiert mich einfach.

Ich bin auf äh auch gespannt und freue mich, wenn du mir davon berichte.

Ich komme auch zu der letzten Nachricht von heute und hier geht es um ein größeres Daten Leak.

Dies besteht wohl bei Disney und umfasst die unglaubliche Größe von 1,2 Terabyte Daten.

Laut Blogartikel der Hackergruppe, die halt eben sich hier diese Daten angenommen hat

umfasst die Datenmenge rund 10.000 Slack-Kanäle an einschließlich aller Nachrichtendateien, unpublizierter Projekte, Codes, Login-Daten und Abi-Zugängen,

Die angeblich gestohlenen Daten wurden zunächst wohl auf der Plattform veröffentlicht, später jedoch entfernt. Kopien sind offenbar weiterhin als Spiegelseiten zugänglich, so der Blogartikel.

Disney prüft den Fall derzeit, wie das Unternehmen der Nachrichtenagentur Reuters bestätigte. Die Hackergruppe, die es betrifft, präsentiert sich als Aktivistenorganisation mit klaren ethischen Richtlinien. Das fand ich mal ganz spannend zu lesen

sie greift nach eigenen Angaben nur Ziele an, die gegen eines ihrer drei Gebote verstoßen, die Förderung von Kryptowährungen, den Einsatz von KI generierter Kunst oder den Diebstahl von Künstlern.

Also die als Motivation nannten sie hier die Gruppe von Schutz, von Künstlerrechten und eine faire Vergütung kreativer Arbeit. Ist mal ein ganz anderer Hintergrund, glaube ich, als so manch anderer. Ihnen geht’s vielleicht einfach nicht nur ums Geld.

Aber schade für Disney ist es natürlich trotzdem, wenn an der Sache was dran ist.

Ja, ich glaube, äh straffrei gehen die deswegen nicht aus.

Wahrscheinlich nicht.

Kein äh kein Robin Hood hier, der dahinter steckt, ja. Sehr schön, vielen Dank, Laura.

Wir sind damit durch für heute, danken euch für eure Aufmerksamkeit, wünschen euch ein schönes Wochenende, bleibt uns gewogen und auf bald.

Der Beitrag Neues zur privaten Kommunikation am Arbeitsplatz – Datenschutz News KW 29-2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz