Kündigung wegen Weiterleitung dienstlicher E-Mails an private E-Mail-Adresse rechtens

Das Oberlandesgericht (OLG) München hat in einem aktuellen Urteil (Az. 7 U 351/23 e ) entschieden, dass
die Weiterleitung dienstlicher E-Mails an private E-Mail-Adressen zu einer fristlosen Kündigung führen kann.

in diesem Fall leitete ein Vorstandsmitglied über einen längeren Zeitraum E-Mails mit vertraulichen Daten an seine private Adresse weiter, um sich abzusichern. Dies stellte einen Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO) dar, da keine Einwilligung der betroffenen Personen vorlag und die technischen Sicherheitsmaßnahmen privater E-Mail-Konten meist unzureichend sind.

Das Gericht sah in der bewussten Weiterleitung einen schweren Vertrauensbruch, der eine fristlose Kündigung nach § 626 BGB rechtfertigte. Das Gericht nahm zwar zur Kenntnis, dass das Vorstandsmitglied nicht heimlich handelte, sondern dadurch, dass er seine private E-Mail-Adresse in CC setzte, für die anderen am E-Mail-Verkehr Beteiligten erkennbar war, dass er die E-Mails an seinen privaten Account weiterleitete. Daraus lässt sich entnehmen, dass er subjektiv der Ansicht war, dazu berechtigt zu sein. Jedoch war das Gericht nicht der Meinung, dass dies eine Kündigung ausschließt.

Der Fall zeigt, dass klare Regelungen im Umgang mit dienstlichen E-Mails notwendig sind. Unternehmen sollten ihre Mitarbeiter – insbesondere in Führungspositionen – über den sicheren Umgang mit dem E-Mail-Postfach informieren und sensibilisieren. Auch die eigenmächtige Gewährung von Zugriffsrechten auf das eigene E-Mail-Postfach an andere Mitarbeitende kann beispielsweise zu ähnlichen Risiken führen.

BSI: NIS-2 Prüfung für Unternehmen

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist? Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

Die NIS-2-Betroffenheitsprüfung stellt Ihnen konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen*. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert.

Nachdem Sie die Betroffenheitsprüfung durchlaufen haben, erhalten Sie ein auf Ihren Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist – und erläutert Ihnen, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.

Die Nutzung der NIS-2-Betroffenheitsprüfung erfolgt vollkommen anonym. Das BSI stellt ihn im Rahmen seiner Kooperationsaufgabe zur Verfügung. Es erfasst keine Daten, die personenbezogen sind oder Rückschlüsse zur Identifizierung Ihres Unternehmens geben. Bitte beachten Sie, dass die NIS-2-Betroffenheitsprüfung lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist, da Ihre Antworten automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.

Zurzeit basieren die Abfragen der NIS-2-Betroffenheitsprüfung auf der NIS-2-Richtlinie der EU. Sobald die nationale Umsetzung der Richtlinie erfolgt ist und das entsprechende Gesetz im Deutschen Bundestag beschlossen wurde, wird das BSI den NIS2-Checker anhand dieses Gesetzes anpassen und aktualisieren. Bereits jetzt wird anstelle von „wesentlichen“ Einrichtungen der analoge Begriff der „besonders wichtigen“ Einrichtungen gemäß nationalem Umsetzungsentwurf verwendet.

Haben Sie zu oder nach der Nutzung noch Fragen? Das BSI steht gerne zur Verfügung.

Link zur Prüfung

KI-Verordnung tritt in Kraft

Heute ist die KI-Verordnung (KI-VO) im Amtsblatt der Europäischen Union veröffentlicht worden. Sie wird zwanzig Tage später, am 1. August 2024, in Kraft treten. Damit beginnen die Umsetzungsfristen zu laufen.

Zum 2. Februar 2025 gelten die Verbote bestimmter Praktiken der künstlichen Intelligenz (Art. 5 KI-VO). Darunter fällt das grundsätzliche Verbot biometrischer Echtzeit-Fernüberwachungssysteme in öffentlichen Räumen zur Strafverfolgung. Abschließend verboten ist dann das Social Scoring – eine Praktik, bei der Verhalten KI-basiert bewertet wird und daran soziale Benachteiligungen geknüpft werden, zum Beispiel durch den Ausschluss öffentlicher Leistungen.

Bereits jetzt steht fest, dass den Datenschutzaufsichtsbehörden die Marktüberwachung für weite Teile des Hochrisiko-Katalogs an KI-Systemen übertragen wird – so sieht es die KI-Verordnung vor:

In den Sektoren der Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind die Datenschutzbehörden als Marktüberwachungsbehörden gesetzt (Art. 74 Abs. 8 KI-VO). Das gilt nicht nur für die Behörden, die solche Systeme einsetzen, sondern beispielsweise auch für Softwareunternehmen, Cloud-Dienste und Sicherheitsunternehmen, die für diese Sektoren KI-Systeme anbieten, in bestehende Systeme integrieren oder sie vertreiben. Die Marktüberwachungskompetenz erstreckt sich auf die gesamte Wertschöpfungskette.

Bis zum 2. August 2025 müssen die Mitgliedstaaten ein Durchführungsgesetz erlassen, in dem unter anderem allgemeine Marktüberwachungsbehörden für die Durchsetzung der KI-VO benannt werden.

Diese müssen unabhängig, unparteiisch und unvoreingenommen sein, um die Objektivität ihrer Tätigkeiten zu gewährleisten und die Anwendung und Durchführung der KI-VO sicherzustellen.

Alle Marktüberwachungsbehörden müssen mit angemessenen technischen, finanziellen und personellen Ressourcen sowie mit einer Infrastruktur ausgestattet werden, um ihre Aufgaben im Rahmen dieser Verordnung wirksam erfüllen zu können. Die KI-VO sieht vor, dass die zuständigen Behörden ständig über eine ausreichende Zahl von Mitarbeitenden verfügen, deren Kompetenzen und Fachkenntnisse ein umfassendes Verständnis der KI-Technologien und insbesondere der relevanten Vorgaben aus dem Daten- und Produktsicherheitsrecht umfassen.

In diesem Zusammenhang hat die Datenschutzkonferenz (DSK) Anfang Mai 2024 ein Positionspapier veröffentlicht: Die Datenschutzbehörden in Deutschland sollten danach eine wesentliche Rolle bei der Marktüberwachung nach der KI-VO übernehmen.

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

BSI: Cyber-Sicherheit für KMU

Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung. Die Broschüre steigt mit den wichtigsten Grundlagen der IT-Sicherheit ein – kurz und knapp anhand von 14 Fragen. Sie informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig und eine Datensicherung so wichtig ist.

Link: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.html?nn=1021418

EuGH: Entscheidung zum TCF (Transparency and Consent Framework)

Der EuGH hat am 7. März 2024 im Vorabentscheidungsverfahren zum „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe entschieden. Das Urteil hat Auswirkungen für Unternehmen der Online-Werbeindustrie. So hat der EuGH den TC-String als personenbezogenes Datum eingestuft und sieht das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche hinsichtlich im Rahmen des im TCF erstellten TC-Strings.

Für Unternehmen, die das TCF nutzen, wird das Urteil sicher Änderungen bereithalten. Ob es dabei um Änderungen in der Einholung der Einwilligung über das CMP oder die Generierung des TC-Strings selbst geht, bleibt zunächst offen. IAB Europe selbst hat die EuGH-Entscheidung begrüßt und eine zeitnahe Stellungnahme angekündigt.

Sollte das vorlegende belgische Gericht die Sichtweise des EuGH im Hinblick auf die gemeinsame Verantwortlichkeit bestätigen, so hätte dies für IAB Europe und seine Mitglieder zur Folge, dass sie gemäß Art. 26 Abs. 1 S. 2 DSGVO Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssten. In dieser Vereinbarung ist unter anderem eine Aufgabenbeschreibung vorzunehmen mit Abgrenzung, welcher Verantwortliche welche Aufgaben übernimmt.

BfDI begrüßt die europäische KI-Verordnung

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 13.03.2024
Das Europäische Parlament hat heute die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) begrüßt die KI-Verordnung als Ergänzung zur Datenschutz-Grundverordnung (DSGVO).

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt. Ich begrüße, dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind.“ Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung haben einen engen Bezug zum Datenschutz. So wird beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme in 2021 geäußerten Kritikpunkte nicht umgesetzt wurden: Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.

Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2024/02_KI-Verordnung.html?nn=251944

BayLDA: KI & Datenschutz

Der Begriff der ‚Künstlichen Intelligenz‘ hat mit Aufkommen des Großen Sprachmodells ‚ChatGPT‘ Ende 2022 eine zunehmend weite Verbreitung gefunden – auch wenn die Disziplin an sich, und damit viele Datenschutzfragen, schon deutlich länger existieren. Da der Zugang zu sehr leistungsfähigen KI-Modellen und damit der Nutzung von bislang eher wissenszentrierten Technologiefirmen mittels Web- oder Softwareschnittstelle nun für faktisch jedermann möglich ist, möchte das Bayerische Landesamt für Datenschutzaufsicht mit seinem Informationsangebot zu Datenschutz und Künstliche Intelligenz seinem Sensibilisierungsauftrag in diesem Bereich nachkommen.

In einem ersten Schritt haben wir einen Flyer ‚Next-Level-Bausteine für KI‘ herausgeben (siehe unten), mit dem wir auf acht zentrale Punkte im Bereich Datenschutz und KI hinweisen wollen. Des Weiteren ist auf dieser Webseite auch der Entwurfsstand unserer Checkliste ‚Datenschutz und KI‘ veröffentlicht, die in nächster Zeit zum einen fortgeschrieben wird als auch in spezifischen Prüfszenarien einer Praxistauglichkeit unterzogen wird – sollte es Anmerkungen oder Verbesserungsvorschläge zu diesem ‚Konsultationsstand‘ geben, dann bitten wir um eine E-Mail an ki@lda.bayern.de. Die Checkliste, die einem Good-Practice-Ansatz verfolgt, werden wir auch regelmäßig an Entwicklungen auf deutscher und europäischer Ebene mit dem Ziel der Harmonisierung der Datenschutzvorschriften anpassen.

Quelle und Checklisten: Bayerisches Landesamt für Datenschutzaufsicht

Link: https://www.lda.bayern.de/de/ki.html

Neues nationales IT-Lagezentrum des BSI eröffnet

Das Herz der Cybersicherheit schlägt in Bonn: Seit Februar ist das neue IT-Lagezentrum des BSI in Betrieb – es besteht bereits seit April 2011. Ausgestattet mit modernster Kommunikationstechnik, ermöglicht es nun BSI-Expertinnen und -Experten für die Kritischen Infrastrukturen (KRITIS), Mitarbeitenden des Computer Emergency Response Teams des Bundes (CERT-Bund) und Informationssicherheitsoffizieren des Kommandos Cyber- und Informationsraum (KdoCIR), die Cybersicherheitslage in Deutschland rund um die Uhr zu bewerten. Bedrohungen können erkannt und bearbeitet werden; der Austausch mit nationalen und internationalen Partnern ermöglicht schnelles, kompetentes Handeln. Im Ernstfall lässt sich das IT-Lagezentrum in ein Nationales IT-Krisenreaktionszentrum mit bis zu 100 Spezialkräften hochrüsten. Das Lagezentrum ist nicht nur ein wichtiger Knotenpunkt, um die IT-Sicherheit auf staatlicher und wirtschaftlicher Ebene zu gewährleisten. Die Arbeit der Expertinnen und Experten vor Ort zahlt auf den Schutz aller Bürgerinnen und Bürger in Deutschland ein – etwa vor Cyberangriffen, Desinformations-Kampagnen oder KI-generierten Manipulationen.

Das neue IT-Lagezentrum stellt sich vor: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/Nationales-IT-Lagezentrum/nationales-it-lagezentrum_node.html

Das neue IT-Lagezentrum in den Medien (u.a.): https://www.zeit.de/digital/2024-02/nancy-faeser-cybersicherheit-lagezentrum-bonn und https://www.heise.de/news/BSI-Nationales-IT-Lagezentrum-soll-Cybersicherheit-substanziell-erhoehen-9620799.html

Quelle: Newsletter SICHER • INFORMIERT vom 15.02.2024

BvD: Datenschutz für Kleinunternehmen

Wie geht Datenschutz im Kleinunternehmen? Nach DSGVO eigentlich genauso wie bei Großkonzernen. Ein kompetenter Datenschutzbeauftragter kann helfen. ☝🏻

Und die Stiftung Datenschutz 😀

Leicht verständliche Arbeitshilfen und zahlreiche Praxistipps für den Umgang mit Daten in Friseursalons, Bäckereien oder im Handwerksbetrieb liefert Frederick Richter und sein Team im neuen Angebot „Datenschutz für Kleinunternehmen“. Prädikat: Absolut sinnvoll!

https://ds-kleinunternehmen.de/startseite

CYBERsicher informiert: Die NIS-2-Richtlinie

Eine europaweite Maßnahme zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU

Haben Sie schon mal von der NIS-2-Richtlinie gehört?

Dabei handelt es sich um eine europäische Richtlinie, die das Ziel hat die Gesetzgebung bezüglich Cybersicherheit in allen europäischen Staaten zu vereinfachen und zu erhöhen.

Doch was bedeutet das konkret für mein Unternehmen? Bereits am 24.10.2024 wird NIS-2 in deutsches Recht überführt werden und besitzt damit für alle deutschen Unternehmen die unter die Richtlinie fallen rechtliche Gültigkeit. Dabei greift NIS-2 deutlich weiter und betrifft rund 15-Mal mehr Unternehmen als die Vorgängerrichtlinie.

Erfahren Sie jetzt in unserem Paper ob Ihr Unternehmen betroffen ist und was es zu tun gilt.