Urteil zur Mitarbeiterüberwachung, Q&A zur KI-Kompetenz und vieles mehr...

INFORMATIONSSICHERHEIT

EU-Kommission veröffentlicht Q&A zur KI-Kompetenz

Die EU-Kommission begleitet die Umsetzung der in Kraft getretenen KI-Verordnung durch das sogenannte "KI-Büro" (AI Office). Dieses hat nun einen Fragen-und-Antworten-Katalog zu Artikel 4 der Verordnung veröffentlicht. Artikel 4 verpflichtet Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal sowie externe Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Im veröffentlichten Q&A-Dokument konkretisiert das KI-Büro diese Pflichten - unter anderem für Arbeitgeber. Das englische Original finden Sie hier. Eine übersetzte deutsche Fassung stellt der bayerische Unternehmensverband bayme vbm zum Download bereit.

 

DATENSCHUTZ

Urteil zur Mitarbeiterüberwachung bei Arbeitszeitbetrug

Ein Fahrkartenkontrolleur wurde wegen des Verdachts auf Arbeitszeitbetrug vom Arbeitgeber überwacht und daraufhin fristlos gekündigt, da er während seiner Dienstzeit in größerem Umfang privaten Tätigkeiten nachging. Bemerkenswert an dem Urteil (Az. 7 Sa 635/23) ist, dass das Landesarbeitsgericht (LAG) Köln feststellte, dass selbst bei rechtlichen Bedenken hinsichtlich der Überwachungsmethoden die Beweise verwertbar gewesen wären.

Aus der Datenschutzperspektive lassen sich folgende Erkenntnisse ableiten: Für eine Überwachung eines Mitarbeitenden müssen konkrete Verdachtsmomente vorliegen. In diesem Fall bestand eine solche Vermutung, da der Verurteilte wiederholt Pausen nicht ordnungsgemäß eingetragen hat - ein klarer Anhaltspunkt für den Tatbestand eines Arbeitszeitbetrugs nach §263 StGB. Ein Beweisverwertungsverbot lässt sich vermeiden, wenn keine massiven Grundrechtsverletzungen festzustellen sind.

Deshalb sollten die Maßnahmen des Arbeitgebers wie folgt sein:

  • zeitlich begrenzt
  • nur während der Arbeitszeit erfolgen
  • auf den öffentlichen Raum beschränkt sein
  • nur dann eingesetzt werden, wenn keine milderen Mittel infrage kommen

 

Eine frühzeitige Einbindung des Betriebsrats aufgrund der technischen Überwachungseinrichtung ist geboten (§ 87 Abs. 1 Nr. 6 BetrVG). Werden diese Grundsätze beachtet, liegt selbst bei rechtlicher Unsicherheit kein automatisches Beweisverwertungsverbot vor.

 

INFORMATIONSSICHERHEIT

Bundeslagebild und TÜV-Studie belegen: Cybersicherheit sollte ganz oben auf der Prioritätenliste stehen

Das Bundeskriminalamt (BKA) hat im Juni das "Bundeslagebild Cybercrime 2024" veröffentlicht - mit alarmierenden Zahlen und Fakten zur aktuellen Bedrohungslage. Die Publikation präsentiert nicht nur die neuesten Erkenntnisse, sondern illustriert diese auch anhand zahlreicher Beispiele von betroffenen Unternehmen aus dem vergangenen Jahr.

Parallel dazu hat der TÜV-Verband seine neue Studie "Cybersicherheit in deutschen Unternehmen" herausgegeben, die aufzeigt, dass in vielen deutschen Unternehmen weiterhin erhebliche Sicherheits- und Wissenslücken bestehen. Beide Berichte machen deutlich, dass die Gefahr real und der Handlungsdruck für Organisationen jeglicher Größe hoch ist.

 

DATENSCHUTZ

Vodafone muss Rekordbußgeld wegen Datenschutzverstößen zahlen

Der Mobilfunk- und Festnetzanbieter Vodafone muss wegen gravierenden Datenschutzverstößen ein Bußgeld in Höhe von 45 Millionen Euro zahlen. Es handelt sich dabei um das höchste Bußgeld, das je von einer deutschen Aufsichtsbehörde verhängt wurde. 15 Millionen Euro setzte das Gericht für die höchst rechtswidrige Verarbeitung von Daten bei der Kundengewinnung an. Durch Manipulationen bei der Gestaltung der Tarife sah das Gericht den Strafansatz als gerechtfertigt.

Weitere 30 Millionen Euro wurden wegen weiterer Defizite, insbesondere in der IT-Sicherheitsarchitektur, angesetzt. Vodafone hat nicht nur die Strafe bezahlt, sondern zusätzlich auch einen unbekannten Millionenbetrag an Organisationen überwiesen, die sich für die Förderung des Datenschutzes, der Medienkompetenz sowie die Bekämpfung von Cybermobbing einsetzen.

 

DATENSCHUTZ

KI-Training mit Social-Media-Daten laut OLG Köln rechtmäßig

Im Verfahren zwischen einem Verbraucherschutzverband und Meta hat das Oberlandesgericht (OLG) Köln mit Beschluss vom 23. Mai 2025 ((Az. 15 UKl 2/25) den Antrag auf Erlass einer einstweiligen Verfügung abgelehnt.

Das Gericht entschied im Eilverfahren, dass das Training von KI-Modellen mit öffentlich zugänglichen Beiträgen auf Plattformen wie Facebook und Instagram grundsätzlich zulässig ist, sofern ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO besteht – vorausgesetzt, die Rechte der betroffenen Nutzer werden ausreichend gewahrt.

 

Unklar bleibt, ob hinsichtlich besonders sensibler personenbezogener Daten im Sinne von Art. 9 DSGVO ein Verarbeitungsverbot auch bei nicht zielgerichteter Nutzung greift. Diese Frage kann in einem Hauptsacheverfahren geklärt werden.

Ein Verstoß gegen das im Digital Markets Act (DMA) verankerte Zusammenführungsverbot liegt laut Gericht nicht vor, solange keine gezielte Verknüpfung identischer Nutzerprofile erfolgt.

Aber inwieweit ist dieses Urteil für Unternehmen relevant?

Auch wenn es sich um eine vorläufige Entscheidung handelt, bietet das Urteil des OLG Köln eine erste Orientierung zur Zulässigkeit des Einsatzes öffentlich einsehbarer Social-Media-Daten für Trainingszwecke von KI-Systemen.

Dennoch bleibt eine endgültige Klärung einem möglichen Hauptsacheverfahren vorbehalten.

 
DATENSCHUTZ

Urteil zur Gestaltung von Cookie-Bannern

Ein aktuelles Urteil des Verwaltungsgerichts Hannover vom 19.03.2025

(Az.: 10 A 5385/22) bestätigt: Website-Betreiber müssen auf der ersten Ebene ihrer Cookie-Banner einen klar erkennbaren „Ablehnen“-Button anbieten. Zudem darf das Design nicht manipulativ sein, etwa durch farbliche Lenkung oder irreführende Formulierungen wie „optimales Nutzererlebnis“. Des Weiteren sind Informationen zum Widerruf und Drittlandübermittlungen klar und deutlich zu machen und nicht auf einer zweiten Ebene oder durch vermehrtes Scrollen deutlich aufzuzeigen. Das Gericht stellte außerdem klar, dass auch IP-Adressen und Nutzer-IDs personenbezogene Daten sind und der § 25 TTDSG eine wirksame Einwilligung voraussetzt.

 

DATENSCHUTZ

Google Tag Manager bedarf der Einwilligung!

Das bereits zuvor aufgegriffene aktuelle Urteil des Verwaltungsgerichts Hannover macht deutlich: Der Einsatz des Google Tag Managers (GTM) ist ohne wirksame Einwilligung unzulässig. Nach § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO müssen Nutzer ausdrücklich zustimmen.

 

Der GTM verarbeitet personenbezogene Daten wie IP-Adressen oder Geräteinformationen, indem er Skripte und Codes von Drittdienstleistern lädt. Dabei werden Daten an Google in die USA übermittelt. Ohne vorherige Zustimmung greift keine Ausnahme des § 25 Abs. 2 TTDSG.

 

Der Einsatz des GTM dient hauptsächlich den Interessen der Websitebetreiber, etwa für Marketing- oder Trackingzwecke. Die Nutzung ist nicht zwingend erforderlich und könnte auch mit anderen, datenschutzfreundlicheren Werkzeugen umgesetzt werden. Die einfache Handhabung oder Kostenfreiheit des GTM rechtfertigen die Datenverarbeitung nicht.

Das bedeutet: Websitebetreiber müssen sicherstellen, dass der GTM erst nach ausdrücklicher Einwilligung aktiviert wird. Ein korrekt gestaltetes Consent-Banner ist dabei essenziell, um Bußgelder und rechtliche Risiken zu vermeiden.

 

DATENSCHUTZ

BAG-Urteil zur Hintergrundrecherche von Bewerbern: Was ist erlaubt?

Hintergrundrecherchen von Bewerbern sind in Personalabteilungen eine gängige Praxis. Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) vom 5. Juni 2025 (Az. 8 AZR 117/24) liefert dazu wichtige Erkenntnisse.

Zum Hintergrund: Ein Fachanwalt für Arbeitsrecht bewarb sich bei einer Universität auf eine Stelle im Justiziariat. Da sein Name einem Mitglied der Auswahlkommission bekannt vorkam, wurde eine Internetrecherche durchgeführt. Die Suche führte zu einem Wikipedia-Eintrag, der eine erstinstanzliche, noch nicht rechtskräftige Verurteilung des Anwalts wegen versuchten Betrugs aufführte. Die Universität informierte den Anwalt nicht über diesen Fund und erteilte eine Absage. Daraufhin klagte der Anwalt und erhielt 1000 € Schadensersatz.

Aus dem Urteil lässt sich schlussfolgern, dass die Internetrecherche an sich nicht grundsätzlich unzulässig war. Da der Name ihnen bekannt vorkam und somit ein konkreter Anlass zur Klärung von Zweifeln an der Seriosität bestand, war die Suche „erforderlich“ im Sinne der DSGVO (Art. 6 Abs. 1 lit. b). Der entscheidende Fehler der Universität war, den Bewerber nicht über die Recherche und die dabei erhobenen Daten zu informieren. Dies stellt einen klaren Verstoß gegen die Transparenzpflicht aus Art. 14 DSGVO dar. Genau für diese Pflichtverletzung wurde der Schadensersatz zugesprochen.

 

Deshalb für die Praxis:

  • führen Sie nur bei begründetem Verdacht Hintergrundrecherchen durch
  • informieren Sie den Bewerber transparent über die Recherche
  • beziehen Sie nur Findings mit direktem Berufsbezug ein

 

INFORMATIONSSICHERHEIT

Cyberangriffe im Juni

Kriminelle attackierten die IT-Systeme des Kartonherstellers Wellteam aus Herford. Zunächst war nur die interne Kommunikation betroffen. Letztendlich kam aber auch die Produktion zeitweise zum Stillstand. Ein schnelles Handeln mit internen Notfallplänen verhinderte zumindest den Abfluss sensibler Daten. Wie hoch der wirtschaftliche Schaden tatsächlich ist, ist derzeit noch unklar.

Anfang Juni verschafften sich Unbekannte Zutritt zum Serverraum der Berliner Feuerwehr mutmaßlich mit dem Ziel, Daten aus dem internen IT-Kommunikationssystem zu stehlen. Die Attacke wurde intern bemerkt und daraufhin ein diskreter Alarm ausgelöst. Noch ist unklar, ob es sich bei den Tatverdächtigen um Angehörige der Feuerwehr oder externe Personen handelt. Das LKA prüft derzeit, ob es sich um gezielte Ausspähung, eine Störaktion oder einen Versuch eines Datenmissbrauchs handelte.

Bei Adidas, The North Face und Cartier wurden nach IT-Vorfällen schwerwiegende Datenlecks aufgedeckt. Im Fall von Adidas verschafften sich Hacker über einen externen Kundenservice-Dienstleister Zugriff auf sensible Daten. Cartier teilte mit, dass es zu einem Angriff auf die Webseite kam. The North Face wurde Opfer einer Credential-Stuffing-Attacke. Dabei nutzten die Angreifer Zugangsdaten aus vorherigen Datendiebstählen, um automatisiert Logins bei anderen Diensten zu testen.

Auch einen der bundesweit größten Tierschutzvereine für Straßenhunde Hunderettung Europa e.V. aus Duisburg hat es diesen Monat getroffen. Unbekannte Täter verschafften sich Zugriff auf den reichweitenstarken Instagram-Kanal des Vereins. Kurz darauf ging eine Lösegeldforderung per E-Mail ein. Vermutlich wurde der Angriff durch eine Phishing-Mail ausgelöst. Da sich der Verein ausschließlich über Spenden finanziert, bricht mit dem Verlust des Kanals nun eine wichtige Einnahmequelle für die Tierrettung weg.

Aufgrund einer Cyberattacke war die Gemeinde Ostercappeln in Niedersachsen gezwungen, sämtliche IT-Systeme vorsorglich vom Netz zu nehmen. Dadurch kam es zu Einschränkungen bei nahezu allen Dienstleistungen des Rathauses. Aktuell wird an einer provisorischen Netzstruktur gearbeitet, um möglichst bald wieder auf Unterlagen zurückgreifen zu können.

Ein Ransomware-Angriff hat den Serviettenhersteller Fasana in die Insolvenz gezwungen. Am Morgen des Vorfalls waren sämtliche Rechner verschlüsselt, der Zugriff auf die Systeme unmöglich. Stattdessen erhielt das Traditionsunternehmen einen Drohbrief mit einem Ultimatum - direkt aus dem Drucker. Der Schaden ist immens, da am nächsten Tag Aufträge in Höhe von mehr als 250.000 Euro nicht ausgeführt werden konnten. Die Produktion kam komplett zum Erliegen.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Was ist die Summe aus 6 und 6?

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung