Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

Publiziert am 11. Oktober 2025 von SWinkler

Versteckte Systeme – ein unsichtbares Sicherheitsproblem

Schatten-IT bezeichnet alle IT-Systeme, Anwendungen oder Cloud-Dienste, die in einem Unternehmen ohne Wissen oder Zustimmung der IT-Abteilung eingesetzt werden.

Das kann harmlos wirken – etwa, wenn Mitarbeitende schnell ein kostenloses Online-Tool nutzen, um ihre Arbeit zu erleichtern. Doch gerade diese unkontrollierte Nutzung führt dazu, dass sensible Daten in Systeme gelangen, die nicht abgesichert oder überprüft sind.

Weiterlesen
Veröffentlicht unter Uncategorized | Schreib einen Kommentar

OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Publiziert am 29. September 2025 von SWinkler

Das Oberlandesgericht (OLG) Düsseldorf hat am 10. Juli 2025 in der Sache 16 U 83/24 ein Urteil gefällt, das für Unternehmen wie auch für Betroffene von Datenschutzverstößen von erheblicher Bedeutung ist. Kern der Entscheidung: Schon der Verlust der Kontrolle über personenbezogene Daten kann nach der DSGVO einen Anspruch auf Schadensersatz begründen.

Weiterlesen
Veröffentlicht unter Uncategorized | Schreib einen Kommentar

Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Publiziert am 17. September 2025 von SWinkler

Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) ein wegweisendes Urteil verkündet. Im Mittelpunkt stand die Frage: Wann sind pseudonymisierte Informationen personenbezogene Daten und wann sind sie es nicht – und für wen?

Das Urteil befasst sich mit einer für Unternehmen und Organisationen, die mit pseudonymisierten Daten arbeiten äußerst wichtigen Frage.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind

Publiziert am 3. September 2025 von SWinkler

Ausgangslage

Viele Unternehmen stellen ihren Mitarbeitern E-Mail-Accounts zur Verfügung. Oft wird neben der geschäftlichen auch die private Nutzung erlaubt oder stillschweigend geduldet. Die spannende Frage: Wird der Arbeitgeber dadurch zum Anbieter von Telekommunikationsdiensten mit allen Pflichten des Telekommunikationsgesetzes (TKG)?

Sicht der Datenschutzkonferenz (DSK)

Die unabhängigen Datenschutzbehörden vertraten jahrelang eine klare Linie:

  • Private Nutzung = Anbieterstellung nach TKG
  • Arbeitgeber sind an das Fernmeldegeheimnis gebunden
  • Jeder Zugriff auf private E-Mails ohne Zustimmung ist tabu
  • Ein Verstoß kann sogar eine Straftat nach § 206 StGB darstellen

Für Unternehmen bedeutete dies ein erhebliches Risiko: Selbst bei rein organisatorischem Zugriff auf das Postfach drohten rechtliche Probleme.

Position der Bundesnetzagentur

Die Bundesnetzagentur hat diese Sichtweise nun grundlegend relativiert. In ihrem Hinweispapier zu NI-ICS (nummernunabhängigen interpersonellen Telekommunikationsdiensten) stellt sie klar:

  • Ein Arbeitgeber, der E-Mail-Konten bereitstellt, handelt nicht gewerblich.
  • Das Angebot ist kein eigenständiges Geschäftsmodell, sondern ein Arbeitsmittel.
  • Da die Bereitstellung nicht gegen Entgelt erfolgt, fehlt die Grundlage für eine Einstufung als Telekommunikationsdienst.

Kernunterschied: Zweck des Angebots

  • DSK: Entscheidend ist die tatsächliche Nutzung – private Mails machen den Arbeitgeber zum Diensteanbieter.
  • BNetzA: Entscheidend ist die wirtschaftliche Einordnung – ohne Entgelt und ohne Marktbezug kein Telekommunikationsdienst.

Auswirkungen für Arbeitgeber

Die Einschätzung der BNetzA bringt spürbare Entlastung:

  • Das Fernmeldegeheimnis findet keine Anwendung.
  • Strafrechtliche Risiken werden minimiert.
  • Maßgeblich sind nun DSGVO und BDSG, also klassische Datenschutzvorgaben.
  • Arbeitgeber gewinnen mehr Flexibilität, müssen aber weiterhin den Umgang mit privaten Daten sorgsam regeln.

Praktisch bedeutet das: Unternehmen können die private Nutzung zulassen, ohne gleich in die volle TKG-Regulierung zu rutschen. Trotzdem bleiben klare Richtlinien – etwa über Betriebsvereinbarungen – wichtig, um Rechtssicherheit zu schaffen.

Fazit

Der Meinungsstreit zwischen DSK und BNetzA zeigt, wie stark die Bewertung von E-Mail-Nutzung am Arbeitsplatz von der Auslegung abhängt. Während die DSK auf eine strikte Anwendung des Fernmeldegeheimnisses pochte, stellt die Bundesnetzagentur auf den wirtschaftlichen Kontext ab – und kommt so zu einer entlastenden Einschätzung für Arbeitgeber.

Unternehmen sollten die aktuelle Entwicklung genau beobachten. Wir stehen Ihnen dabei sehr gern beratend zur Seite und unterstützen bei der Ausarbeitung praxisgerechter Lösungen.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind

Gericht stärkt Datenschutz: Cookie-Banner müssen echte Wahl lassen

Publiziert am 29. Juli 2025 von SWinkler

Ein Urteil des Verwaltungsgerichts Hannover (Az. 10 A 5385/22) vom 19.03.2025 setzt neue Maßstäbe für die datenschutzkonforme Gestaltung von Cookie-Bannern auf Websites. Der Beschluss betrifft nicht nur den konkreten Fall eines niedersächsischen Verlags, sondern dürfte für viele Seitenbetreiber weitreichende Folgen haben.

Weiterlesen
Veröffentlicht unter Business, Unternehmen | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gericht stärkt Datenschutz: Cookie-Banner müssen echte Wahl lassen

Datenschutz im Handel: Neue BayLDA-Checkliste bringt Klarheit für kleine Unternehmen

Publiziert am 14. Juli 2025 von SWinkler

In Zeiten zunehmender Digitalisierung ist der Datenschutz für Unternehmen nicht mehr Kür, sondern Pflicht. Doch gerade Soloselbstständige und Kleinstunternehmen stehen oft vor der Frage: Was muss ich eigentlich konkret tun? Genau hier setzt die neue Praxis-Checkliste des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) an.

Weiterlesen
Veröffentlicht unter Unternehmen | Kommentare deaktiviert für Datenschutz im Handel: Neue BayLDA-Checkliste bringt Klarheit für kleine Unternehmen

Barrierefreiheitserklärung: Ein unverzichtbares Instrument für digitale Inklusion

Publiziert am 13. Juli 2025 von SWinkler

In Zeiten fortschreitender Digitalisierung ist es essenziell, digitale Angebote für alle Menschen zugänglich zu machen. Die Barrierefreiheitserklärung stellt dabei ein zentrales Instrument dar – sie informiert Nutzer:innen und Behörden darüber, in welchem Umfang ein Onlineangebot den gesetzlichen Anforderungen an die digitale Barrierefreiheit entspricht. Seit Inkrafttreten relevanter gesetzlicher Regelungen, wie der BITV 2.0 für öffentliche Stellen und dem Barrierefreiheitsstärkungsgesetz (BFSG) für private Anbieter, besteht eine Verpflichtung, diese Erklärung zu veröffentlichen.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , | Kommentare deaktiviert für Barrierefreiheitserklärung: Ein unverzichtbares Instrument für digitale Inklusion

Neue Qualifikation: Zertifizierte AI Officer – Ihre Ansprechpartnerin für rechtssichere KI-Nutzung

Publiziert am 6. Juli 2025 von SWinkler

Mit dem erfolgreichen Abschluss der zertifizierten Weiterbildung zur AI Officer erfülle ich die Kompetenzanforderungen gemäß Artikel 4 der EU-KI-Verordnung (KI-VO). Ziel der Ausbildung war es, Fachwissen und Handlungssicherheit in der verantwortungsvollen Umsetzung von KI-Projekten zu erwerben – unter Berücksichtigung technischer, rechtlicher und organisatorischer Rahmenbedingungen.

Weiterlesen
Veröffentlicht unter Künstliche Intelligenz, Unternehmen | Verschlagwortet mit , , , | Kommentare deaktiviert für Neue Qualifikation: Zertifizierte AI Officer – Ihre Ansprechpartnerin für rechtssichere KI-Nutzung

Warum KI-Kompetenz jetzt Pflicht ist – EU-KI-Verordnung trifft DSGVO

Publiziert am 15. Mai 2025 von SWinkler

Immer mehr Unternehmen setzen auf Künstliche Intelligenz (KI), doch mit den Chancen wachsen auch die rechtlichen Anforderungen. Die Europäische Union reagiert mit der neuen EU-KI-Verordnung (KI-VO), die den Einsatz von KI-Systemen umfassend reguliert und die bestehenden Datenschutzregeln wie die DSGVO ergänzt. Für Unternehmensleitungen bedeutet das: KI-Kompetenz im eigenen Haus ist kein Nice-to-have mehr, sondern ein Muss. Dieser Beitrag zeigt auf, warum AI Literacy (KI-Kompetenz) nun unerlässlich ist, wie KI-VO und DSGVO zusammenhängen und welche strategische Rolle Datenschutzbeauftragte dabei spielen. Um die Wichtigkeit der AI Literacy zur betonen wurde hierzu von der EU ein Q&A veröffentlicht.

Weiterlesen
Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , , , | Kommentare deaktiviert für Warum KI-Kompetenz jetzt Pflicht ist – EU-KI-Verordnung trifft DSGVO

Hessisches LAG: Datenschutzverstoß rechtfertigt Ausschluss aus dem Betriebsrat

Publiziert am 15. Mai 2025 von SWinkler

Das Hessische Landesarbeitsgericht hat mit Beschluss vom 10. März 2025 (Az. 16 TaBV 109/24) entschieden, dass ein grober Verstoß gegen Datenschutzpflichten den Ausschluss eines Betriebsratsmitglieds aus dem Gremium rechtfertigen kann. Der Betriebsratsvorsitzende hatte hochsensible Personaldaten an seine private E-Mail-Adresse weitergeleitet – ein klarer Verstoß gegen die DSGVO und das BetrVG.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat, Betroffene Personen | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Hessisches LAG: Datenschutzverstoß rechtfertigt Ausschluss aus dem Betriebsrat