Cyberangriffe und interne Verdachtsfälle sind für Unternehmen längst keine Ausnahme mehr, sondern gehören zum Alltag. Die digitale Spurensuche – die IT-Forensik – ist dabei ein zentrales Werkzeug, um Vorfälle aufzuklären, Schäden zu begrenzen und Beweise gerichtsfest zu sichern. Doch sobald personenbezogene Daten betroffen sind, geraten U...
Dass ein Betriebsratsvorsitzender auf Antrag des Arbeitgebers per Gerichtsbeschluss aus dem Betriebsrat ausgeschlossen wird, ist nur bei einer groben Pflichtverletzung möglich. Die Weiterleitung einer Mail mit einer umfangreichen Personalliste aus dem Betriebsratsbüro an den privaten Mailaccount ist als eine solche grobe Pflichtverletzung zu werten. Eine...
Seite 19: Βeraten & überwachen 19 Prüffragen Bieten die neuen Online Schulungsmaßnahmen eine Individualisierung an (im Bereich IT Sicherheit insbesondere risikobasierte Schulungen)? Ja Nein. Ist geprüft, auf welcher Basis die Individualisierung oder Personalisierung der Online Schulungen stattfindet? Ja Nein Hinterfragt man die Faktoren, die zur Risikoanalyse bei risikobasierten Schulungen herangezogen w...
Unterliegt die Nutzung von Headsets der Mitbestimmung? Und falls dem so ist: Wer darf mitbestimmen? Der Gesamtbetriebsrat oder die Betriebsräte vor Ort in den einzelnen Betrieben? Diese Fragen beantwortet das Bundesarbeitsgericht (BAG) klar. Zu einer wichtigen weiteren Frage sagt es aber kein Wort. Dafür hat sich der Europäische Gerichtshof (EuGH) dazu geäußert. Es geht...
Der Einsatz von KI-Systemen ist auf dem Vormarsch. Auch Arbeitnehmerdaten sind Gegenstand KI-gestützter Verarbeitung. Sie befinden sich damit im Anforderungsfeld zwischen Fürsorgepflicht, Mitbestimmung und Datenschutz. Die möglichen Einsatzszenarien von künstlicher Intelligenz (KI) und deren Berührungspunkte mit Arbeitnehmerdaten sind breit gefächert. Dies reicht vo...
Seite 3: Titel 3 liche empfiehlt es sich, stets eine DSFA durchzuführen, selbst wenn sich zunächst keine hohen Risiken aufdrängen. Umstritten ist: Inwieweit ist bei der Nutzung von KI Systemen, die vormals mit personenbezogenen Daten trainiert wurden, auch eine Datenverarbeitung hinsichtlich dieser Trainingsdaten durch die Anwender anzunehmen? Dabei sind Verantwortlichkeiten und nicht zuletzt die Informatio...
Eine zentrale Vorschrift der Datenschutz-Grundverordnung (DSGVO) ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b. Doch wie lässt sie sich Zweckbindung in der Praxis umsetzen. Wer die Zweckbindung erfüllen muss, braucht eine Zweckbestimmung, die vorher erfolgt sein muss. Um Zwecke bestimmen zu können, müssen Ziele definiert...
Trainings mit simulierten Angriffen helfen, IT-gestützte Betrugsversuche (Phishing) zu erkennen. Doch eine Phishing-Simulation erfordert sorgfältige logistische Planung und interne Kommunikation. Einige Punkte sind zu berücksichtigen, um solche Simulationen erfolgreich durchzuführen. Eine auf den ersten Blick eher unscheinbare E-Mail landet im Poste...
Seite 13: Βeraten & überwachen Nutzen Sie diesen Beitrag als gute GeGelegenheit, das eigene Bewerbungsmanagement zu prüfen: Inwieweit sind dort Ziele und Zwecke angemessen definiert? Unternehmen personenbezogene Daten erhebt und verarbeitet. Diese Zwecke muss das Unternehmen definieren und kommunizieren, bevor es Daten verarbeitet. Grundsätze der Datenverarbeitung (Teil 5). Das bedeutet der Grundsatz der...
Einen schnellen Zugriff auf wichtige Informationen sowie eine einfache interne Kommunikation – Mitarbeiter-Apps machen es möglich. Doch was ist aus Sicht des Datenschutzes zu beachten. Immer mehr Unternehmen setzen auf Mitarbeiter-Apps. Die Applikationen lassen sich zumeist sowohl auf dem Smartphone als auch über PCs / Laptops oder Tablets verwenden. Insbesondere in Zeiten, in denen Unternehmen Tä...
