Ausschluss eines Betriebsratsmitglieds aus dem Betriebsrat wegen eines groben Verstoßes gegen seine datenschutzrechtlichen Verpflichtungen

Erfolgt eine vollautomatisierte Absage an Bewerber aufgrund einer KI-Anwendung, handelt es sich um eine automatisierte Einzelentscheidung, die gemäß Art. 22 DSGVO verboten ist. Fällt dagegen der Unternehmer aufgrund eines Rankings der Bewerberdaten durch ein System letztlich selbst die Entscheidung, welche Bewerber zum Vorstellungsgespräch eingeladen werden, so ist der Tatbestand des Art. 22 DSGVO nicht erfüllt.1)

Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der DSGVO.

Ein Arbeitnehmer kann einen Anspruch auf Schadensersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um eine cloudbasierte Software zu testen.

Ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten zu unterrichten, begründet wettbewerbsrechtliche Unterlassungsansprüche und kann von Verbraucherschutzverbänden im Wege einer Klage vor den Zivilgerichten verfolgt werden.

Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO erlaubt Datenverarbeitungen, die zur Durchführung von vorvertraglichen Maßnahmen, die auf Anfrage der betroffenen Person (was bei einer Bewerbung im Regelfall vorliegt) erfolgen, oder für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich sind.

Bereits der vorübergehende Verlust der Kontrolle eines Betroffenen über seine personenbezogenen Daten führt zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO.

Beinahe täglich werden neue Varianten von Phishing-Angriffen entdeckt. Oft knüpfen Betrüger an aktuellen Ereignissen an, um ihren Lügen den Anschein von Glaubwürdigkeit zu verleihen. Aber auch die Aussicht auf einen Bonus oder Preis soll zur Eingabe persönlicher Informationen verlocken. Nachfolgend einige Hinweise, wie Phishing-Angriffe über E-Mails und Webseiten erkannt werden können.

Aus Sicht der DSGVO ist die Anonymisierung ein technisches Verfahren, das auf personenbezogene Daten angewendet wird, damit natürliche Personen nicht oder nicht mehr identifiziert werden können.

Getroffene Sicherheitsmaßnahmen müssen geeignet sein, ein angemessenes Datenschutzniveau zu gewährleisten. Es ist nicht ausreichend, wenn nur diverse Maßnahmen schlagwortartig benannt werden.

Die Berichtigung von Daten betreffend die Geschlechtsidentität darf nicht vom Nachweis einer Operation abhängig gemacht werden.