Inhalt:

• Datenschutzverletzung im Gesundheitsbereich: Ist die Verständigung der betroffenen Person und der Datenschutzbehörde immer verpflichtend?
• Private Mails auf beruflichen Mailkonten: Der Krampf mit dem Persönlichkeitsschutz und dem Datenschutz
• Künstliche Intelligenz: Benutzen oder fürchten?

 

 

Datenschutzverletzung im Gesundheitsbereich: Ist die Verständigung der betroffenen Person und der Datenschutzbehörde immer verpflichtend?

Muss man bei einer geringfügigen Datenschutzverletzung, die für die Betroffenen keine Folgen haben wird, trotzdem die Datenschutzbehörde (DSB) und die Betroffenen verständigen? In einer schon länger zurückliegenden Entscheidung hat sich die österreichische DSB mit dieser Frage im Zusammenhang mit Gesundheitsdaten auseinandergesetzt. Es ging u.a. um die Frage, ob die Ausnahmebestimmungen des Art. 33 u. 34 DSGVO in diesem Fall anwendbar sind, wonach die Melde- und Verständigungspflicht entfällt, wenn keine negativen Folgen nach einer Datenschutzverletzung zu erwarten sind.

Der konkrete Anlass hat sich in einer Wiener Krankenanstalt ereignet. Die DSB kommt nach umfangreichen Überlegungen zum Schluss, dass im Zusammenhang mit sensiblen Daten (also z.B. Gesundheitsdaten) ausnahmslos sowohl die Behörde, als auch die Betroffenen informiert werden müssen. Dies sogar dann, wenn die Art, der Umfang und die näheren Umstände der Schutzverletzung nahezu ausschließen, dass für die Betroffenen irgendwann in Zukunft negative Auswirkungen zu erwarten sind.

Der Anlass für die Entscheidung war einigermaßen kurios: Im Zuge ihrer Ausbildung hat eine Pflegeschülerin in der Absicht, für ihre Ausbildung zu werben, eine Bildschirmseite mit dem Dekurs einer Patientin fotografiert. Dieses Bild hat sie zwar in wesentlichen Teilen unkenntlich gemacht; Name, Vorname, Patientenzahl und ein Detail der Pflege ("Setzen eines Venflons") blieben aber erkennbar. Die Pflegeschülerin hat dann das Foto auf eine Plattform zur öffentlichen Ansicht hochgeladen, und dort verblieb es für ca. 3 Stunden, bevor es wieder gelöscht wurde. Nach Schätzungen könnten in dieser Zeit rd. 100 Personen das Bild gesehen haben.

Der Vorfall wurde von der Gemeinde Wien vorsichtshalber bei der DSB gemeldet. Obwohl er für die betroffene Patientin folgenlos bleiben wird, hat die Datenschutzbehörde entschieden, dass auch in solchen Fällen die Verständigungen gem. Art. 33 u. 34 DSGVO vollumfänglich erfolgen müssen. Zusätzlich wurde beurteilt, dass es zwar die Pflegeschülerin war, die das Foto auf eine öffentliche Plattform (die nichts mit dem Gesundheitsverbund zu tun hat) hochgeladen hatte, die Verantwortlichkeit für den Vorgang jedoch trotzdem bei der Gemeinde Wien verblieben war.

Welche praktischen Konsequenzen hat die Entscheidung?

• Für Schutzverletzungen im Bereich einer Ordination, Praxis oder der Klinik ist der Betreiber des Unternehmens verantwortlich. Dies auch dann, wenn die entscheidenden Handlungen nicht durch ihn selbst und ohne sein Wissen gesetzt werden.
• Der regelmäßigen Schulung der Mitarbeiter zum Thema Datenschutz kommt große Bedeutung zu.
• Es muss ein Berechtigungsmanagement für Daten eingerichtet werden, sodass Zugriffe auf Daten nur von jenen Personen erfolgen, deren Aufgabe dies verlangt.
• Die Anfertigung von Kopien oder Abschriften von Unterlagen ist nur mit einem ausdrücklichen Auftrag des Verantwortlichen der Datenverarbeitung zulässig. Andernfalls wäre es eine Datenschutzverletzung. Dies sollte den Mitarbeitern periodisch in Erinnerung gebracht werden.
• Eine engmaschige Kontrolle sollte die Einhaltung der Regeln des Datenschutzes sichern. Dazu können auch automatisierte Zugriffsprotokolle dienen, die stichprobenartig überprüft werden.
• Ein vertrauensvolles Verhältnis der Mitarbeiter zum Verantwortlichen der Datenverarbeitung sollte sicherstellen, dass im Betrieb außergewöhnliche Fragen des Datenschutzes gelöst werden können, bevor es zu einer Schutzverletzung kommt.

Quelle:

https://ris.bka.gv.at/Dokumente/Dsk/DSBT_20230130_2023_0_046_014_00/DSBT_20230130_2023_0_046_014_00.pdf
( 15.2.2026)

 

 

Private Mails auf beruflichen Mailkonten: Der Krampf mit dem Persönlichkeitsschutz und dem Datenschutz

Dem ehemaligen Mitarbeiter eines Unternehmens in Italien wurde unmittelbar mit der Zustellung des Entlassungsschreibens der Zugang zu seinem Mailkonto im Betrieb gesperrt. Daraufhin begehrte er die Übermittlung einer Kopie aller zwischenzeitlich eingetroffenen Mails an seine Privatadresse und die Einrichtung einer automatischen Benachrichtigung an alle künftigen Absender während eines angemessenen Zeitraums. Beides hat der frühere Arbeitgeber verweigert.

Die Zuweisung von personalisierten Mailkonten in Unternehmen wirft regelmäßig Grundrechtsfragen auf. Einerseits ist es zur Erleichterung betrieblicher Abläufe zweifelsfrei sinnvoll, wenn die Mitarbeiter bei ihren Erledigungen persönlich mit Lieferanten, Kunden, Klienten oder Patienten kommunizieren. Andererseits ist es unvermeidlich, dass über das Mailkonto auch höchstpersönliche Informationen transportiert werden, die von den garantierten Grundrechten geschützt sind. Spätestens, wenn die sich vielleicht sogar mit Geschäftsgeheimnissen vermischen, sind Diskussionen vorprogrammiert.

Der Mailversand ist grundsätzlich dem Verschicken einer offenen Postkarte gleichzuhalten: Der Inhalt ist ungeschützt und für jedermann einsehbar. Bereits die technische Wartung der Mailserver wirft die Frage nach dem Schutz der Privatsphäre und der Geschäftsgeheimnisse auf, denn die Techniker haben auch Zugriff auf die Inhalte der Mails.

Solange es sich um Mailkonten loyaler, zufriedener Mitarbeiter handelt, werden während und auch am Ende eines Dienstverhältnisses die meisten Fragen einvernehmlich geklärt werden können. Wird jedoch das Dienstverhältnis im Streit beendet, können nahezu endlose Diskussionen - auch vor den Gerichten - folgen (der Vorfall, der jetzt zur Entscheidung in Italien führte, liegt mehrere Jahre zurück). Es geht dabei immer um die Verhältnismäßigkeitsprüfung und die Interessenabwägung.

Die europäischen Gerichte und Datenschutzbehörden setzen in ihrer Spruchpraxis den Wert des Persönlichkeitsschutzes fast immer deutlich höher an, als den Schutz von Informationen über innerbetriebliche Abläufe und Entwicklungsvorgänge - das gilt auch für die Schweiz (siehe Quellen).

Was man nicht vergessen sollte: Durch die Mischung von privaten und beruflichen Angelegenheiten können in Einzelfällen sogar komplizierte Fragen des Schadenersatzes entstehen - unangenehm für alle Beteiligten.

Die italienische Datenschutzbehörde hat kürzlich im gegenständlichen Fall gegen den ehemaligen Arbeitgeber des Betroffenen wegen Verletzung des Datenschutzes und des Schutzes der Grundrechte eine Strafe von EUR 40.000 festgesetzt.

Wie kann man mit dem Problem in der Praxis umgehen?

Untersagt ein Arbeitgeber die private Nutzung personalisierter Mailkonten, folgt daraus im Umkehrschluss, dass alle Inhalte als geschäftlich anzusehen sind und somit auch dem Arbeitgeber uneingeschränkt zur Kenntnis gelangen dürfen. Wird hingegen die Privatnutzung geduldet oder sogar ausdrücklich erlaubt, müsste zur Vermeidung von Rechtsunsicherheit von Anfang an schriftlich eine genaue Regelung des Zugriffes des Arbeitgebers auf Mails vereinbart werden. Die Formulierung einer solchen Vereinbarung ist nicht einfach, da gibt es viele Details zu bedenken, wenn man die Interessen beider Seiten berücksichtigen möchte. Bei Fragen unterstützt Sie Ideato gerne.

Quellen:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10213574
(31.1.2026)

https://herbstkinsky.at/wp-content/uploads/2022/03/Die_Privatnutzung_betrieblicher_E-Mail-Infrastruktur_LU.pdf
(30.1.2026)

https://www.haufe.de/personal/arbeitsrecht/datenschutz-bei-privater-e-mail-nutzung_76_625824.html
(31.1.2026)

https://lexcampus.swisslex.ch/de/doc/unknown/d48c57fe-c144-48c6-bdfc-efa07345c235/source/history
(31.1.2026)

https://lexcampus.swisslex.ch/de/doc/unknown/8555b103-a30c-491b-a07d-b42a9d2e8a87/source/history
(31.1.2026)

 

 

Künstliche Intelligenz: Benutzen oder fürchten?

Auch wer sich zu Tode fürchtet, stirbt. Künstliche Intelligenz (KI) ist dieses Opfer keinesfalls wert. Ein paar wichtige Details sollte man aber bei der Anwendung berücksichtigen, um keine bösen Überraschungen zu erleben. Kontrolliert eingesetzt kann KI nämlich durchaus hilfreich sein.

Werfen wir einen Blick auf die aktuelle Situation. Was passiert auf technischer Ebene bei der Nutzung von KI? Derzeit werden die Eingaben der Nutzer ("Prompts") auf Servern der Anbieter der jeweiligen Systeme verarbeitet. Da bleibt nichts geheim. Beim "Prompting" gibt der Nutzer seine Frage und allenfalls notwendige Details der gewünschten Lösung ein. Beispielfotos, Namen, Tonaufnahmen, Diagnosen etc. werden nicht lokal am eigenen Rechner, sondern in den Rechnerfarmen großer, internationaler Firmen verarbeitet (das könnte sich in einer ferneren Zukunft allerdings ändern). Nachdem derzeit die bekanntesten Anbieter von KI aber der Rechtsprechung in den USA unterliegen, die mit der europäischen Rechtslage unvereinbar ist, entsteht für europäische Nutzer ein massives juristisches Problem. Die eingegebenen Daten und die (teilweise falschen) Ergebnisse werden wieder für das Training des Systems verwendet. Und selbstverständlich greifen auch die US-Geheimdienste darauf zu. Mit den bekannten Folgen.

Händeringend ersuchte der Chef von Microsoft, Satya Nadella, die Wirtschaft möge doch Künstliche Intelligenz endlich in großem Stil nutzen. Ansonsten drohe ein Scheitern der getätigten Entwicklungen und Verlust der Investitionen. Demis Hassabis, der Chef von Google-Deepmind und Nobelpreisträger, verbreitete eine ähnliche Botschaft mit dem Zusatz: Man darf KI keinesfalls überschätzen und muss auf die richtige Anwendung des Werkzeugs achten. OpenAI hat kürzlich einen österreichischen Entwickler angestellt, dessen Erfindung "OpenClaw" die Erwartung nährt, dass die geschäftlichen Erfolge des Konzerns endlich das lange vergeblich erhoffte Niveau erreichen.

Zu alledem kommt noch, dass es nach Ansicht von Fachleuten unsicher ist, ob künftig genügend elektrische Energie für die ehrgeizigen Pläne der KI-Anbieter zur Verfügung steht und ob sich die Systeme jemals rechnen werden. Die Sorge, dass überzogene Pläne vielleicht sogar zu einem weltweiten wirtschaftlichen Desaster führen, wird von Analysten immer lauter ausgesprochen.

Nach Angaben verschiedener seriöser Quellen, die die Nutzung von KI untersucht haben, sieht eine überwältigende Mehrheit von Unternehmen, die KI eingeführt haben, nachträglich keinen ökonomischen Nutzen, der groß genug ist, um die Kosten für das System und die Schulung des Personals zu rechtfertigen. Selbst wenn alles gut funktioniert, ist der Aufwand der Ergebniskontrolle enorm.

In krassem Gegensatz dazu wird von den Herstellern noch immer mit dem Argument geworben, dass KI weniger Fehler macht, als Menschen. An dieser Stelle sei ein ironisch-sarkastischer Vorschlag gestattet: Man könnte doch versuchsweise als Marketing-Maßnahme den 47. Präsidenten der USA durch KI ersetzen. Schlechter als derzeit würde das Ergebnis sogar im schlimmsten Fall nicht aussehen - und wenn KI einigermaßen so gut ist, wie die Versprechungen behaupten, würde die gesamte Welt aufatmen. Und noch etwas: Die Lügen, die der Präsident und seine Mitarbeiter verbreiten, sind leicht zu durchschauen. Bekanntlich kann KI deutlich besser und eleganter lügen.

Um KI erfolgreich als Werkzeug nutzen zu können, müssen die Anwender über umfassende Bildung und Urteilsvermögen verfügen. Das heißt: Die Nutzer müssen in der Lage sein, viele gesicherte Fakten zu kennen und durch deren Zusammenführung zu erkennen, welche Bedeutung sich daraus ergibt. Wer nur "Nachrichten in einfacher Sprache" versteht, sollte die Finger von KI lassen. Aber angesichts des steigenden Tempos, mit dem die verfügbaren KI-Systeme beim Training Fakten und Fakes in sich hineinsaugen, nach nicht mehr durchschaubaren Regeln verarbeiten und dann auf Anfrage als neueste Forschungsergebnisse wieder ausspeien, besteht die Gefahr, dass es auch für Hochbegabte und "Universalgenies" immer schwerer und zeitraubender wird, die Ergebnisse zu prüfen und richtige von falschen Schlussfolgerungen zu unterscheiden, die IT-Systeme ihren Nutzern vorschlagen.

Der Eindruck, den die Verkäufer erwecken wollen, durch KI erspare man sich viel Arbeit, brauche selbst nichts mehr zu wissen und könne in der gesparten Zeit gleichsam seine Work-Life-Balance hingebungsvoll schaukeln, ist falsch, wenn nicht sogar dumm. Richtig und durchdacht eingesetzt kann KI jedoch ein sehr wertvolles Werkzeug beim Aufbruch zu unbekannten Ufern sein. Um das aber zu erreichen, ist viel Mühe, Arbeit und Wissen erforderlich - „Vor den Erfolg haben die Götter den Schweiß gesetzt“.

Sich zu Tode zu fürchten, ist keine Lösung. Daher hier ein paar Tips, wie europäische Nutzer in der Praxis einigermaßen rechtskonform mit KI arbeiten können:

1. Man muss in Erfahrung bringen, wem die benutzte "Intelligenz" gehört und in welchem Land sich der Sitz des Unternehmens befindet. Der Standort der Rechnerfarmen ist dabei belanglos, entscheidend sind die Eigentümer. Solange nicht ausschließlich europäische Unternehmen im Besitz des Systems sind, sollten beim Prompting keine personenbezogenen Daten, keine bildlichen Darstellungen von Personen und schon gar keine Gesundheitsdaten eingegeben werden. Das wäre ein schwerer Gesetzesverstoß, und insbesondere Personen, die eine berufliche Verschwiegenheitspflicht trifft, würden ihre Zulassung aufs Spiel setzen.
2. Ergebnisse der KI muss man akribisch prüfen. Sogar Texte, die als Zitate aus Publikationen ausgegeben werden, könnten reine Halluzinationen sein. Die notwendige Prüfung kann extrem zeitaufwändig werden. Wer seine Entscheidungen aber auf zuverlässigen Informationen aufbauen möchte oder muss, etwa, weil die Gesundheit von Menschen davon abhängt, darf Arbeit und Mühe nicht scheuen.
3. KI kann die eigene Kreativität sehr gut beratend anstoßen. Selbst wenn die Ergebnisse falsch oder unvollständig sind, können in den Formulierungen der Antworten Stichworte enthalten sein, die beim Nutzer weiterführende Assoziationen auslösen und letztlich zu einem guten Ergebnis führen. Diese Stärke des Systems kann und soll man nützen, aber beim Prompting sind alle gesetzlichen Vorgaben zu beachten.

Quellen:

https://www.derstandard.at/story/3000000305046/ki-muss-etwas-nuetzliches-tun-microsoft-chef-warnt-vor-ende-des-booms
(21.1.2026)

Unergründliche "Weisheit"
https://www.1e9.community/magazin/k%C3%BCnstliche-intelligenzen-als-shoggothen-warum-wir-ki-immer-noch-nicht-verstehen?utm_source=firefox-newtab-de-de<
(25.1.2026)

Bildung als Schlüssel zur Beherrschung von KI
https://www.derstandard.at/story/3000000305473/weil-ki-vieles-besser-kann-brauchen-wir-ein-neues-bild-von-bildung
(26.1.2026)

Google-Deepmind-Chef warnt vor unrealistischen Hoffnungen
https://www.derstandard.at/story/3000000305742/google-deepmind-chef-hassabis-sieht-aktuelle-ki-modelle-als-sackgasse-warnt-vor-ki-blase
(27.1.2026)

https://t3n.de/news/6-000-fuehrungskraefte-geben-an-ki-hat-keinen-einfluss-auf-die-produktivitaet-woran-das-erinnert-1730130/?utm_source=firefox-newtab-de-de
(19.2.2026)

Problemlose KI-Nutzung
https://nextcloud.com/de/blog/ai-in-nextcloud-what-why-and-how/
(15.2.2026)