Die Bestimmung des Personenbezugs ist im Kontext des Einsatzes von KI, des Teilens von Daten nach dem Data Act und für die Nutzung von „As a Service“-Angeboten sowie auch für die Reichweite eines Auskunftsanspruchs von grundlegender Bedeutung. Der EuGH hat nun klargestellt: Der Personenbezug einer Information ist relativ zu bestimmen.
Der Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DSGVO) gehört zu den zentralen Betroffenenrechten – auch im Beschäftigungskontext. Diese zweiteilige Reihe vermittelt die Grundlagen und beleuchtet besondere Herausforderungen bei der praktischen Anwendung im Unternehmen.
Bewerbungsverfahren müssen vertraulich ablaufen, sonst bewirbt sich bald niemand mehr. Welche rechtlichen Folgen hat es, wenn sich jemand aus der Personalabteilung nicht an diese Spielregeln hält? Der Europäische Gerichtshof (EuGH) gibt darauf einige Antworten.
Der erste Teil dieser kurzen Reihe stellte das Phänomen der Mitarbeiterexzesse dar. Der zweite Teil beschreibt nun die jeweiligen datenschutzrechtlichen Verantwortlichkeiten und gibt Hinweise für Arbeitgeber, wie sie hier präventiv tätig werden können.
Der erste Teil dieser Reihe beleuchtet die Grundlagen des sogenannten Mitarbeiterexzesses. Er zeigt anhand des Beschlusses des OLG Stuttgart vom 25.02.2025 (2 ORbs 16 Ss 336/24) auf, wann Beschäftigte persönlich haften können – ergänzt durch typische Fallkonstellationen aus der Praxis.
Das Recht auf Auskunft führt in der Praxis zu viel Unsicherheit. Dies betrifft auch die Frage, welche (personenbezogenen) Daten von Dritten die betroffene Person erhalten muss oder darf, z.B. von Beschäftigten des Verantwortlichen, bei dem die betroffene Person das Recht geltend gemacht hat.
Betriebs- und Dienstvereinbarungen galten bislang als solide Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. Allerdings sorgt aktuell ein Urteil des Europäischen Gerichtshofs (EuGH) für erhebliche Unsicherheit. Die Folgen der Entscheidung für das Datenschutzrecht können im Einzelfall weitreichend und bedeutsam sein.
Blutabnahme, Urintests und andere Einstellungsuntersuchungen haben in der Vergangenheit einige Großkonzerne, Rundfunkanstalten und öffentliche Verwaltungen in die Schlagzeilen gebracht. Ihr Vorgehen stieß bei Datenschützern, Gewerkschaften und Arbeitsrechtlern auf harsche Kritik. Trotzdem hat eine Einstellungsuntersuchung im gewissen Umfang ihre Berechtigung. In manchen Fällen ist sie sogar Pflicht.
Wer künstliche Intelligenz (KI) einsetzt, muss auf die Erfüllung denkbarer Auskunftsansprüche nach Art. 15 DSGVO vorbereitet sein. Sie können sich auch auf Daten in KI-Modellen beziehen. Der Europäische Datenschutzausschuss (EDSA) hat hierzu eine Stellungnahme veröffentlicht.
Das Auskunftsrecht der DSGVO ist ein zentrales Recht der Betroffenen. Es lässt sich aber in der Praxis nicht unbegrenzt erfüllen. Verantwortliche können bei einem Übermaß an Anfragen mitunter gegensteuern.
