Eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen muss bewirken, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 DSGVO ergeben, sondern auch diejenigen aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO.
Der Europäische Datenschutzausschuss (EDSA) hat am 17. Dezember 2024 eine Stellungnahme zur Verwendung personenbezogener Daten für die Entwicklung und Einführung von KI-Modellen angenommen.
Ein Headset-System, das es den Vorgesetzten ermöglicht, die Kommunikation unter Arbeitnehmern mitzuhören, ist eine technische Einrichtung, die zur Überwachung der Arbeitnehmer i.S.d. § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Seine Einführung und Nutzung unterliegt auch dann der betrieblichen Mitbestimmung, wenn die Gespräche nicht aufgezeichnet oder gespeichert werden.
Um die Prozesse der Auskunftserteilung zu vereinfachen und zu vereinheitlichen, sollten bereits im Vorfeld organisatorische Fragen der Zuständigkeit der Bearbeitung der Anträge festgelegt werden.
Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung kann ein immaterieller Schaden im Sinne der Norm sein.
Der Bundesgerichtshof (BGH) hat in dem sog. Scraping-Komplex das Revisionsverfahren zum Leitentscheidungsverfahren bestimmt.
Wenn eine betroffene Person einen Auskunftsantrag stellt, müssen ihr grundsätzlich alle in Art. 15 DSGVO genannten Informationen zur Verfügung gestellt werden. Daher hat der Verantwortliche, wenn er die betroffene Person betreffende Daten verarbeitet, alle in Art. 15 Abs, 1 und gegebenenfalls die in Art. 15 Abs. 2 genannten Informationen zur Verfügung zu stellen.
Ein soziales Online-Netzwerk wie Facebook darf nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden.
Die DSGVO räumt den Aufsichtsbehörden ein Ermessen hinsichtlich der Art und Weise ein, wie sie der festgestellten Unzulänglichkeit abhilft. Dieses Ermessen wird allerdings durch das Erfordernis begrenzt, durch den klar durchsetzbaren Rechtsrahmen der DSGVO ein gleichmäßiges und hohes Schutzniveau für personenbezogene Daten zu gewährleisten.
Der Europäische Gerichtshof hat in einem Urteil vom 4. Oktober 2024 (C-21/23) festgestellt, dass die von einem Kunden bei der Onlinebestellung apothekenpflichtiger Arzneimittel eingegebenen Daten (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen) Gesundheitsdaten im Sinne der DSGVO darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Bei jeder Datenschutz-Folgenabschätzung ist der nach Art. 35 Abs. 7 DSGVO gesetzlich vorgegebene Mindestinhalt einer Datenschutz-Folgenabschätzung abzubilden.
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) kennen keine Ausnahmen oder Spezialregelungen für das mobile Arbeiten. Werden personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO verarbeitet, so sind die datenschutzrechtlichen Regelungen der DSGVO und des BDSG zu beachten.