Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle

Der Garante Privacy hat ein Start-up gewarnt, das ein KI-basiertes System anbietet, um die …

Garante per la protezione dei dati personali · IT · 14. Mai 2026

Vollständigen Beschluss lesen ↗

Auf einen Blick

Der Garante Privacy hat ein Start-up gewarnt, das ein auf Künstlicher Intelligenz basierendes System zur Analyse des Mitarbeiterstresses mittels Arbeitsnachrichten anbietet. Obwohl das Unternehmen Maßnahmen zum Schutz der Privatsphäre ergriffen hat, wies der Garante darauf hin, dass die den Arbeitgebern zur Verfügung gestellten aggregierten Berichte weiterhin das Risiko bergen könnten, die Privatsphäre und Würde der Arbeitnehmer zu verletzen, indem sie, auch indirekt, Rückschlüsse auf sensible Informationen ermöglichen. Dies bedeutet, dass Unternehmen äußerst vorsichtig sein müssen, wenn sie KI-Tools zur Überwachung des Mitarbeiterwohls einsetzen, und sicherstellen müssen, dass Arbeitgeber niemals auf personenbezogene Daten zugreifen oder private Informationen über Mitarbeiter ableiten können, selbst aus zusammenfassenden Daten.

Was zu tun ist

  • Wenn Sie Systeme zur Überwachung des Mitarbeiterwohls oder des Arbeitsumfelds verwenden, stellen Sie sicher, dass die Daten vollständig anonymisiert sind und der Arbeitgeber niemals, auch nicht indirekt, einzelne Mitarbeiter identifizieren oder deren emotionalen Zustand erfahren kann.
  • Überprüfen Sie, ob die für Mitarbeiter verwendeten Künstlichen Intelligenz-Systeme von Anfang an so konzipiert sind, dass sie die Privatsphäre schützen (Privacy by Design).
  • Stellen Sie sicher, dass für jede Art von Daten, die Sie über Ihre Mitarbeiter erheben, eine klare und gültige Rechtsgrundlage besteht, insbesondere für sensiblere Daten.
  • Beachten Sie, dass das italienische Gesetz Arbeitgebern verbietet, Daten zu erheben, die nicht unbedingt für die Arbeit erforderlich sind.

Was zu vermeiden ist

  • Verwenden Sie keine Tools, die es ermöglichen, selbst mit aggregierten Daten, den emotionalen Zustand oder Stress einzelner Mitarbeiter zu verstehen.
  • Geben Sie Arbeitgebern keinen Zugang zu personenbezogenen Daten oder Berichten, die, auch indirekt, private Informationen über Arbeitnehmer preisgeben könnten.
  • Unterschätzen Sie nicht die Risiken im Zusammenhang mit Künstlicher Intelligenz, insbesondere wenn es um sensible Mitarbeiterdaten geht.
  • Ignorieren Sie nicht die Gesetze zum Datenschutz und zur Würde der Arbeitnehmer bei der Auswahl neuer Technologien für Ihr Personal.

Hintergrund

Der Garante hat eine behördliche Untersuchung gegen Myndoor S.r.l. eingeleitet, nachdem Presseberichte über ein von dem Unternehmen entwickeltes Plug-in bekannt wurden. Dieses Plug-in verwendet die 'Sentiment-Analyse', um die Stressparameter von Mitarbeitern aus Nachrichten zu bewerten, die in Arbeitschats (Slack und Teams) ausgetauscht werden. Die Untersuchung hat ergeben, dass Myndoor als Verantwortlicher für die Mitarbeiter handelt, die sich freiwillig für die Nutzung des Dienstes entscheiden. Das Unternehmen erklärte, Maßnahmen zur Anonymisierung/Pseudonymisierung der Daten implementiert zu haben und dass Arbeitgeber keinen Zugriff auf die personenbezogenen Daten der einzelnen Mitarbeiter haben, aber aggregierte Berichte über das Stressniveau anfordern können, vorausgesetzt, dass mindestens 10 Mitarbeiter das Plug-in nutzen. Myndoor gab auch an, dass solche Berichte in einem einzigen Fall bereitgestellt wurden, ohne eine Re-Identifizierung zu ermöglichen.

Die Entscheidung

Der Garante hat, obwohl er die von Myndoor S.r.l. ergriffenen Maßnahmen zur Verhinderung des direkten Zugriffs der Arbeitgeber auf personenbezogene Daten zur Kenntnis genommen und keine konkreten aktuellen Verstöße nachgewiesen hat, eine 'Verwarnung' gemäß Art. 58 Abs. 2 lit. a) der Verordnung und Art. 154 Abs. 1 lit. f) des Codice Privacy erlassen. Der Garante wies darauf hin, dass die Übermittlung des aggregierten Berichts durch Myndoor an Kunden und Unternehmen 'wahrscheinlich' den Rechtsrahmen für den Schutz personenbezogener Daten und den Schutz der Würde des Arbeitnehmers verletzen könnte (unter Verweis auf Art. 5, 6, 9, 24, 25 und 88 DSGVO sowie Art. 2-ter und 113 Codice Privacy). Die Entscheidung betont das Risiko der (auch indirekten) Re-Identifizierung von Mitarbeitern durch Arbeitgeber, insbesondere in spezifischen organisatorischen Kontexten, und die Bedeutung der Verhinderung jeglicher Bereitstellung solcher Informationen.

Ratio decidendi Die rechtliche Begründung basiert auf dem Schutz der Würde der Arbeitnehmer und dem Verbot für Arbeitgeber, nicht arbeitsrelevante Daten wie den emotionalen oder psychologischen Zustand zu erheben (Art. 113 Codice Privacy, Art. 8 L. 300/1970). Es wird die ausschließliche Zuständigkeit des Betriebsarztes für Zwecke der Präventivmedizin und Diagnose bekräftigt. Der Garante verweist auf die Datenschutzgrundsätze 'Privacy by Design' und 'Privacy by Default' (Art. 25 DSGVO) und betont das Verbot, das durch die neue Verordnung (EU) 2024/1689 über künstliche Intelligenz festgelegt wurde, die Emotionen einer Person am Arbeitsplatz abzuleiten. Das Risiko der Re-Identifizierung, selbst aus aggregierten Daten, wird als kritischer Punkt betrachtet, der die Rechtmäßigkeit der Verarbeitung gefährden kann (Art. 5, 6, 9 DSGVO).

Verletzte DSGVO-Artikel

ArtikelBeschreibungRelevanz
5
GDPR 		Grundsätze für Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; Rechenschaftspflicht. das risiko, dass aggregierte berichte es arbeitgebern ermöglichen könnten, sensible mitarbeiterdaten abzuleiten, bedroht die grundsätze der rechtmäßigkeit, datenminimierung sowie integrität und vertraulichkeit.
6
GDPR 		Legt die Bedingungen für die Rechtmäßigkeit der Verarbeitung fest (z.B. Einwilligung, berechtigtes Interesse, rechtliche Verpflichtung). fehlen einer geeigneten rechtsgrundlage für den arbeitgeber, um auf daten zum emotionalen zustand/stress der mitarbeiter zuzugreifen oder diese abzuleiten, insbesondere im widerspruch zu nationalen vorschriften, die die würde und die irrelevanz von arbeitsdaten schützen.
9
GDPR 		Verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten), außer in spezifischen Ausnahmen. daten über den zustand des wohlbefindens oder psychologischen stresses fallen unter besondere datenkategorien (gesundheit), deren verarbeitung strengeren bedingungen unterliegt und vom arbeitgeber für die abgeleiteten zwecke nicht durchgeführt werden darf.
24
GDPR 		Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um zu gewährleisten und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. myndoor muss als verantwortlicher sicherstellen, dass die konzeption und bereitstellung des dienstes, einschließlich der berichterstellung, jegliche verletzung der datenschutzvorschriften, insbesondere die bereitstellung unautorisierter daten an arbeitgeber, verhindert.
25
GDPR 		Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst treffen, um die Grundsätze des Datenschutzes umzusetzen. die gestaltung des plug-in-systems und die bereitstellung der aggregierten berichte müssen von anfang an und standardmäßig gewährleisten, dass sensible mitarbeiterdaten für den arbeitgeber nicht zugänglich oder ableitbar sind.
88
GDPR 		Ermöglicht den Mitgliedstaaten, spezifischere Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungskontext vorzusehen, sofern geeignete Garantien für die Grundrechte und -freiheiten der betroffenen Personen bestehen. der artikel erinnert an die notwendigkeit, nationale vorschriften (wie art. 113 des codice privacy und arbeitsgesetze) zu respektieren, die die würde und rechte der arbeitnehmer schützen und die bei zugriff auf gesundheits-/emotionsdaten als verletzt gelten.
2-ter
Codice Privacy 		Bietet zusätzliche Rechtsgrundlagen für die Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen durch öffentliche und private Einrichtungen, im Einklang mit Art. 9 und 10 der DSGVO. risiko der verletzung nationaler bedingungen für die verarbeitung besonderer datenkategorien im arbeitskontext, da keine geeignete rechtsgrundlage für den arbeitgeber besteht.
113
Codice Privacy 		Verweist auf nationale branchenspezifische Bestimmungen, die die Würde der Personen am Arbeitsplatz schützen und dem Arbeitgeber verbieten, Daten zu erheben, die für die berufliche Tätigkeit nicht relevant sind (z.B. Art. 8 L. 300/1970). informationen über die emotionale sphäre und den stress der mitarbeiter werden für den arbeitgeber als nicht arbeitsrelevant angesehen, und ihre kenntnisnahme ist ausgeschlossen, was einen direkten verstoß gegen diesen artikel darstellt.

Praktische Auswirkungen

Diese Maßnahme des Garante Privacy ist ein wichtiges Warnsignal für alle Unternehmen, die Künstliche Intelligenz (KI)-basierte Tools zur Überwachung oder zum Wohlbefinden ihrer Mitarbeiter nutzen oder nutzen wollen. Die Behörde hat, obwohl im spezifischen Fall von Myndoor S.r.l. (zum Zeitpunkt der Untersuchung) kein tatsächlicher Verstoß festgestellt wurde, eine Verwarnung wegen des hohen Risikos ausgesprochen, dass die Bereitstellung aggregierter Berichte über den emotionalen Zustand/Stress der Arbeitnehmer schwerwiegend gegen die Grundsätze der DSGVO und die nationalen Vorschriften zum Schutz der Würde der Arbeit verstoßen könnte. Insbesondere wird das Verbot für Arbeitgeber bekräftigt, nicht arbeitsrelevante Daten, einschließlich solcher über die emotionale Sphäre, zu erheben, und es wird auf die neue KI-Verordnung verwiesen, die das Ableiten von Emotionen am Arbeitsplatz verbietet. Unternehmen müssen sicherstellen, dass jedes KI-System, insbesondere wenn es sensible Mitarbeiterdaten betrifft, von Anfang an ('Privacy by Design') so konzipiert ist, dass jegliche Möglichkeit der Re-Identifizierung oder des indirekten Zugriffs auf private Informationen durch den Arbeitgeber verhindert wird. Selbst aggregierte Daten können, wenn sie nicht mit äußerster Vorsicht und mit angemessenen Anonymisierungsschwellen behandelt werden, erhebliche Risiken bergen.

Empfohlene Maßnahmen

  • Die Einhaltung der DSGVO und des Codice Privacy sorgfältig prüfen, bevor KI-Tools für HR oder das Mitarbeiterwohl implementiert werden
  • Strenge technische und organisatorische Maßnahmen implementieren, um die vollständige Anonymisierung der Daten, auch aggregierter, die den Arbeitgebern bereitgestellt werden, zu gewährleisten
  • Sicherstellen, dass Arbeitgeber in keiner Weise, auch nicht indirekt, auf sensible Mitarbeiterdaten (z.B. emotionaler Zustand, Stress) zugreifen oder diese ableiten können
  • Die Rechtsgrundlage für jede Verarbeitung von Mitarbeiterdaten überprüfen, insbesondere für sensible Daten
  • Personal und IT-/HR-Verantwortliche zu den Risiken von KI und Mitarbeiterüberwachung schulen
  • Nationale Vorschriften zur Würde der Arbeitnehmer und zur Irrelevanz der vom Arbeitgeber erhobenen Daten beachten
  • Die Auswirkungen der Verordnung (EU) 2024/1689 über künstliche Intelligenz für den Einsatz von KI-Systemen im Arbeitskontext berücksichtigen.

Zu vermeidende Fehler

  • KI-Tools kaufen oder entwickeln, die es Arbeitgebern ermöglichen, den emotionalen oder psychologischen Zustand der Mitarbeiter direkt oder indirekt zu überwachen
  • Aggregierte Berichte an Arbeitgeber liefern ohne ausreichend hohe Anonymisierungsschwellen oder ohne Mechanismen, die jegliche Re-Identifizierung verhindern
  • Die sensible Natur von Daten zum Wohlbefinden und psychologischen Stress der Mitarbeiter nicht berücksichtigen
  • Spezifische nationale und supranationale Vorschriften (DSGVO, Codice Privacy, KI-Gesetz) ignorieren, die die Würde und Privatsphäre der Arbeitnehmer schützen
  • Sich blind auf algorithmische Outputs verlassen ohne angemessene menschliche Kontrolle und Verständnis ihrer 'Erklärbarkeit'.

Fragen zur Selbsteinschätzung

  • Haben wir eine gültige Rechtsgrundlage für alle Verarbeitungen von Mitarbeiterdaten, insbesondere für sensible Daten?
  • Ist unser KI-System nach den Grundsätzen von 'Privacy by Design' und 'Privacy by Default' konzipiert?
  • Besteht das Risiko, dass die den Arbeitgebern bereitgestellten Berichte oder aggregierten Daten eine (auch indirekte) Re-Identifizierung von Mitarbeitern ermöglichen könnten?
  • Respektiert unsere Nutzung von KI im Arbeitskontext die Würde der Arbeitnehmer und das Verbot der Emotionsableitung (KI-Gesetz)?
  • Haben wir angemessene technische und organisatorische Maßnahmen implementiert, um unbefugten Zugriff oder unzulässige Ableitungen durch Arbeitgeber zu verhindern?
  • Wird die Verarbeitung von Daten zum Wohlbefinden oder Stress der Mitarbeiter ausschließlich von zuständigen Fachkräften (z.B. Betriebsarzt) und nicht vom Arbeitgeber vorgenommen?

Verweise

Nationales Recht: D.Lgs. 196/2003 · Art. 8 L. 20 maggio 1970, n. 300 · Art. 10 D.Lgs. n. 297/2003 · Art. 5 L. 20 maggio 1970, n. 300 · D.Lgs. n. 81/2008

Anmerkungen

Die Maßnahme verweist auf eine neue europäische Verordnung über künstliche Intelligenz (Verordnung (EU) 2024/1689 vom 13. Juni 2024), die das Ableiten von Emotionen am Arbeitsplatz ausdrücklich verbietet und einen neuen und sehr relevanten Rechtsrahmen für diese Art von Technologie bietet.

Verwandte Entscheidungen

[958536] Beschluss Nr. 958536