Datenschutzwoche
Hamburg: Bewerberdatenschutz im Fokus der Aufsichtsbehörde
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Positionspapier zum Thema Bewerberdatenschutz und Recruiting veröffentlicht. Das Papier unterstreicht die Bedeutung des Datenschutzes im Bewerbungsprozess vor dem Hintergrund der Digitalisierung und des Einsatzes von KI. Mit seinem Urteil vom 30. März 2023 (C-34/21) hatte der EuGH die Konformität und Anwendbarkeit des § 26 Abs. 1 S. 1 BDSG in Bezug auf die Datenverarbeitungen im Beschäftigtenkontext in Frage gestellt und so eine Diskussion über die Neuregelung ausgelöst.
Der HmbBfDI gibt auch Hinweise zu englischsprachigen Begriffe im Bewerbungsprozess, wie Recruiting, Headhunting oder Active Sourcing, und beleuchtet den Einsatz von KI-basierten Systemen wie Large Language Models (LLM) und Chatbots bei Stellenausschreibungen.
EDSB veröffentlicht Leitfaden zur Nutzung von generativer KI
Der Europäische Datenschutzbeauftragte (EDSB) hat Leitlinien für generative Künstliche Intelligenz und personenbezogene Daten für Organe, Einrichtungen, Ämter und Agenturen der EU veröffentlicht. Die Leitlinien sollen sicherstellen, dass die datenschutzrechtlichen Vorgaben der Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU eingehalten werden. Ziel ist es, mögliche Einsatzszenarien zu erfassen, um Risiken und Herausforderungen des Einsatzes der generativen KI zu antizipieren.
Der Leitfaden gibt unter anderem Empfehlungen zur Rechtsgrundlage der Verarbeitung, der Datenminimierung und zur Wahrung der Betroffenenrechte. Der Einsatz von KI soll fair und diskriminierungsfrei erfolgen und ethischen Standards entsprechen. Darüber hinaus wird empfohlen, spezifische Kontrollen gegen bekannte Schwachstellen zu integrieren.
Internationale Nachrichten
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat Empfehlungen zur Entwicklung von Systemen der künstlichen Intelligenz veröffentlicht.
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat diverse Datenschutzverstöße festgestellt und neun Sanktionen verhängt.
Aktuelle Gerichtsentscheidungen:
- ArbG Düsseldorf, Urteil vom 03.05.2021, Az. 14 Ca 4602/20 (BeckRS 2021, 65868): Weil die Beklagte nicht die konkret gespeicherten personenbezogenen Daten, sondern lediglich Datenkategorien mitgeteilt hat, steht der Klägerin ein Schadenersatz i.H.v. 100 Euro zu.
- LAG Düsseldorf, Beschluss vom 06.05.2022, Az. 4 Ta 108/22 (BeckRS 2022, 26856): Der Wert eines Auskunftsbegehrens nach Art. 15 DSGVO beträgt im Regelfall 500 Euro.
- LG Kleve, Urteil vom 10.08.2023, Az. 6 O 143/22 (Volltext): Die Überprüfung vorgenommener Prämienanpassungen einer privaten Krankenversicherung wegen möglicher formeller Mängel ist nicht vom Schutzzweck der DSGVO gedeckt.
- LG Berlin, Urteil vom 07.09.2023, Az. 16 O 49/23 Kart (GRUR-RS 2023, 45785): Eine Auftragsverarbeitung gem. Art. 28 Abs. 1 DSGVO setzt voraus, dass die „Verarbeitung im Auftrag eines Verantwortlichen“ erfolgt.
- ArbG Mainz, Urteil vom 08.04.2024, Az. 8 Ca 1474/23 (BeckRS 2024, 11804): Verspätete Auskunft an einen abgelehnten Bewerber - Der dem Kläger entstandene „Schaden“ ist zwar schwindend gering, gleichwohl hält die Kammer die begehrten 5.000 € für einen angemessenen Betrag.
- ArbG Berlin, Beschluss vom 18.04.2024, Az. 17 Ca 15093/23 (BeckRS 2024, 11803): Der Rechtsweg zur Arbeitsgerichtsbarkeit ist eröffnet, wenn ein Kläger die von ihm erhobenen datenschutzrechtlichen Ansprüche allein auf Vorgänge rund um seine Bewerbung stützt.
- LG Lübeck, Hinweisbeschluss vom 08.05.2024, Az. 15 O 224/23 (GRUR-RS 2024, 12422): Anknüpfungspunkt für die Haftung nach Art. 82 DSGVO ist ein (schadensursächlicher) Datenverarbeitungsvorgang.
- LG Stuttgart, Urteil vom 25.04.2024, Az. 55 O 104/23 (GRUR-RS 2024, 11758): Auch wenn für Art. 82 DSGVO keine Erheblichkeitsschwelle gilt, muss eine über das allgemeine Lebensrisiko hinausgehende spürbare Beeinträchtigung des Betroffenen vorliegen.
- OLG Oldenburg, Urteil vom 14.05.2024, Az. 13 U 114/23 (juris): Wegen einem Scraping bei einem sozialen Netzwerk hat die Klägerin gegen die beklagte Plattformbetreiberin aus Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadenersatz in Höhe von 250 €.
- OLG Oldenburg, Urteil vom 21.05.2024, Az. 13 U 100/23 (juris): Ein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO setzt neben dem Verlust der Kontrolle über personenbezogene Daten den Nachweis voraus, dass der Betroffene einen Schaden tatsächlich erlitten hat.
- LG Traunstein, Endurteil vom 22.05.2024, Az. 6 O 2465/23 (GRUR-RS 2024, 12349): Der Auskunftsanspruch nach Art. 15 Absatz 1 lit. h DSGVO betrifft nur die Fälle einer automatisierten Entscheidungsfindung gemäß Art. 22 Abs. 1 und 4 DSGVO.
- LG Ulm, Urteil vom 27.05.2024, Az. 2 O 8/24 (Az. GRUR-RS 2024, 11842): Wegen der generalpräventiven Wirkung des immateriellen Schadenersatzes ist es im Hinblick auf die Ziele der DSGVO geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren.
- LG Gießen, Urteil vom 31.05.2024, Az. 9 O 530/23 (GRUR-RS 2024, 12261): Auch unter Berücksichtigung eines weiten Verständnisses des immateriellen Schadens nach Art. 82 DSGVO kann ein formelhafter, nicht individueller Vortrag das Tatbestandsmerkmal nicht schlüssig ausfüllen.
- LG Traunstein, Endurteil vom 03.06.2024, Az. 9 O 2353/23 (GRUR-RS 2024, 12100): Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden i.S.d. Art. 82 DSGVO nicht aus. Für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast.
Neuigkeiten aus den Aufsichtsbehörden:
- Bundesdatenschutzbeauftragter: „Berlin Group beschließt Arbeitspapier zur Facial Recognition Technology“ – Pressemitteilung vom 05.06.2024
- Datenschutzaufsicht Niedersachsen: „Tätigkeitsbericht für das Jahr 2023 veröffentlicht!“– Pressemitteilung vom 06.06.2024
- Bundesdatenschutzbeauftragter: „Kritik von Kelber: Private Stellen sollen Zugriff auf E-Pass-Daten erhalten“ – Heise online, Bericht vom 06.06.2024