Datenschutz-Update: Checkliste zum Umgang mit KI-Tools, SMS-Pflicht im Fokus und Compliance-Tipps!

Here we go again – Zeit für einen neuen Newsletter! In unserer heutigen Ausgabe erfahren Sie, welche Praktiken das Bayerische Landesamt für Datenschutzaufsicht (#BayLDA) empfiehlt, um den #Datenschutz im Umgang mit KI-Tools zu gewährleisten, warum Sie verpflichtet sind, auch in Ihrer Freizeit die SMS des/der Chefs/Chefin zu lesen und einige #Praxistipps im Umgang mit Compliance-Verdachtsfällen.

1. Checkliste zum Datenschutz für KI-Tools 🤖
2. Muss ich als Arbeitnehmer die SMS des/der Chefs/Chefin auch in meiner Freizeit lesen? 📲
3. Praxistipps für den Umgang mit Compliance-Verdachtsfällen 💡

Checkliste zum Datenschutz für KI-Tools 🤖

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine essenzielle Good Practice #Checkliste zum Datenschutz im Umgang mit KI-Anwendungen veröffentlicht.

Aber wie wird Künstliche Intelligenz eigentlich definiert?

Long story short: Die Vielfalt der Erklärungsansätze macht eine universelle Definition von KI schwierig.

Das BayLDA erläutert, dass die Checkliste sowohl Anforderungen an das Training von KI-Modellen als auch an den Einsatz einer KI-Anwendung umfasst. Zudem wird eine Checkliste für die Festlegung und Dokumentation der #Risiken, die mit der Erzeugung und dem Betrieb der KI-Anwendungen verbunden sind, bereitgestellt.

Beide Checklisten beinhalten gemeinsame Prüfpunkte, die sowohl beim Training als auch bei dem Einsatz einer KI-Anwendung zu beachten sind:

1. Aufnahme der Verarbeitungen in ein #Verarbeitungsverzeichnis gem. Art. 30 DSGVO, wobei insb. zu prüfen ist, welche Art von KI-Training oder -Anwendung erfolgt und welche Arten von personenbezogenen Daten hierbei zu welchen Zwecken verarbeitet werden.
2. Ermittlung der Rechtsgrundlagen für die #Datenverarbeitungen.
3. Ggf. sind Verträge nach Art. 26 oder 28 DSGVO abzuschließen, wenn das KI-System eines Dienstleisters genutzt wird. Zudem müssen Gewährleistungen dahingehend getroffen werden, dass die Trainings-, Eingabe- und/oder Ausgabedaten nicht in rechtswidriger Weise zweckentfremdet werden.
4. Beachtung von Art. 44 ff. DSGVO, falls ein Drittlandsbezug besteht.
5. Erfüllung der Informationspflichten nach Art. 12 ff. DSGVO.
6. Umsetzung der Rechte der Betroffenen mitsamt ordnungsgemäßer Auskunfts- und Löschbegehren.
7. Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist der Datenschutzbeauftragte einzubinden. Zudem wird eine Einbindung der Datenschutz-Aufsichtsbehörde nach Art. 36 DSGVO empfohlen. Die genannten Punkte sind aufgrund der stetig fortschreitenden Einwicklung regelmäßig auf ihre Richtigkeit und Aktualität hin zu evaluieren. Die Checkliste des BayLDA können Sie hier nachlesen.

Weiterhin geht das BayLDA auf die Besonderheiten bei der Einführung von KI-Tools und bei deren Training ein und erläutert Beispiel-Schutzziele, die festgelegt und dokumentiert werden sollten.

Für die technischen und organisatorischen Maßnahmen kann das Positionspapier der #Datenschutzkonferenz zu den empfohlenen TOM bei der Entwicklung und dem Betrieb von KI-Systemen herangezogen werden – dieses finden Sie hier.

Muss ich als Arbeitnehmer die SMS des/der Chefs/Chefin auch in meiner Freizeit lesen? 📲

Die Antwortet lautet: Ja! Aber unter bestimmten Voraussetzungen:

Das Bundesarbeitsgericht (BAG) hat in einem #Urteil vom 23.08.2023 (Az.: 5 AZR 349/22) entschieden, dass es zumutbar ist, dass Arbeitnehmer*innen in ihrer Freizeit eine SMS des/der Chefs/Chefin lesen, wenn es um die Mitteilung des konkreten Arbeitsbeginns geht.

Dieses Urteil bezieht sich auf den konkreten Fall, bei dem ein Arbeitnehmer als Notfallsanitäter bei einem Rettungsdienstunternehmen als Springer tätig war. Nach einer für das Unternehmen geltenden Betriebsvereinbarung können unkonkret zugeteilte Springerdienste vom Arbeitgeber noch bis 20 Uhr am Vortag des Dienstbeginns konkretisiert werden.  Versäumt ein Arbeitnehmer diese Mitteilung zu lesen und erscheint nicht oder verspätet zur Arbeit, kann dies als arbeitsvertragliche Pflichtverletzung angesehen werden.

Das #Landesarbeitsgericht Schleswig-Holstein hatte zuvor zugunsten des Arbeitnehmers entschieden und dabei die Bedeutung der persönlichen Freiheit in der Freizeit betont. Jedoch hob das BAG dieses Urteil auf und führte aus, dass hier kein Abrufarbeitsverhältnis vorliegt, da der Arbeitnehmer über seinen Einsatz im Voraus informiert war und lediglich Arbeitsbeginn und -ort mitgeteilt werden mussten.

Wir finden, dass dieses Urteil die Notwendigkeit einer klaren #Kommunikation der bestehenden Regelungen von #Arbeitszeiten und Verfügbarkeitserwartungen verdeutlicht. So können Missverständnisse und Unklarheiten vermieden werden!

Praxistipps für den Umgang mit Compliance-Verdachtsfällen 💡

Liegt im Unternehmen ein Verdachtsfall im Bereich #Compliance für ein strafbares Verhalten eines/r Beschäftigten oder eines/r Geschäftspartner*in vor, werden im Unternehmen meist interne #Untersuchungen eingeleitet. Oftmals sorgen diese intern für Aufregung, sind geeignet den Betriebsfrieden zu stören oder das Vertrauen der betroffenen Mitarbeiter*innen zu untergraben. Auch kann bei der Durchführung interner Ermittlungen gegen Rechtsnormen verstoßen werden, die die weitere Verfolgung beeinträchtigen können.

Es ist daher von entscheidender Bedeutung, dass Unternehmen bei der Einleitung von Ermittlungen äußerste Vorsicht walten lassen und sicherstellen, dass ausreichend konkrete Hinweise auf mögliche Verstöße vorliegen, um eine Untersuchung zu rechtfertigen. Oftmals liegen dem Verantwortlichen zunächst unbestimmte Hinweise auf mögliche Fehler oder Verbesserungsmöglichkeiten vor, die genauer untersucht werden müssen, um festzustellen, ob sich daraus konkrete Verdachtsmomente ergeben.

Die „Verdachtsschwelle“ für Ermittlungen gegen Beschäftigte ist in § 26 Bundesdatenschutzgesetz (BDSG) enthalten. Gem. Art. 6 Abs. 1 lit. b) DSGVO iVm. § 26 Abs. 1 Satz 2 BDSG ist die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zum Zweck der „Verfolgung von Straftaten“ ist zulässig, wenn:

• Zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat.
• Die Verarbeitung zur Aufdeckung erforderlich ist.
• Das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insb. Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Liegen diese konkreten, hinreichend bestimmten Anhaltspunkte für strafbares Verhalten vor, ist die Einleitung von personenbezogenen Untersuchungen zulässig.

Und was gibt es bei der Durchführung von Untersuchungen zu beachten?

Bei der Durchführung von #Verdachtsfalluntersuchungen ist es wichtig, klare Ziele zu definieren und die Einhaltung rechtlich relevanter Vorgaben sicherzustellen. Insbesondere müssen die #Datenschutzbestimmungen beachtet werden, um die Rechte der betroffenen Personen zu wahren.

Zur Dokumentation von Verdachtsfalluntersuchungen sollten Unternehmen geeignete Maßnahmen ergreifen, um die Ergebnisse der Untersuchungen lückenlos und gerichtsverwertbar zu dokumentieren. Hierbei ist es wichtig, alle relevanten Informationen festzuhalten, einschließlich der durchgeführten Untersuchungsschritte, der erhobenen Beweise und der getroffenen Maßnahmen zur Aufklärung des Sachverhaltes.

Darüber hinaus sollten Unternehmen sicherstellen, dass die Beteiligten angemessen informiert und beteiligt werden, insbesondere wenn es um die Betroffenenrechte gemäß der Datenschutz-Grundverordnung (#DSGVO) geht. Dies umfasst unter anderem das Recht auf Information über die Datenverarbeitung sowie das Recht auf Einsichtnahme in die erhobenen Daten.

Letztendlich ist es von entscheidender Bedeutung, dass Unternehmen bei der Dokumentation und Durchführung von Verdachtsfalluntersuchungen stets transparent und rechtskonform handeln, um mögliche rechtliche Konsequenzen zu vermeiden und das Vertrauen der Mitarbeiter*innen in die Integrität und Fairness des Unternehmens zu wahren.