Lobby watchdogs file complaint against AI Office over conflict of interest | Corporate Europe Observatory

Corporate Europe Observatory (CEO) and LobbyControl filed a complaint with the European Ombudsman against the Commission's decision to hire two consultancies to assist drafting AI rules. Wavestone and Intellera have a direct commercial interest in the AI market and should not have been hired by the AI Office.

Arbeitsrechtliche Fallstricke als Preistreiber bei M&A-Transaktionen – Kliemt.blog

Kennzeichnungspflicht für KI-Inhalte: Die Position der BRAK

Wie sich die BRAK zur neuen EU-Verordnung in Bezug auf KI und den Art. 50 KI-VO positioniert, erfahren Sie hier.

Der Umgang mit verdächtigen Entschädigungsbegehren nach dem AGG

In der Praxis werden immer wieder Entschädigungsansprüche von Bewerbern nach dem AGG geltend gemacht, bei denen der Eindruck entsteht, dass es den erfolglosen Bewerbern nicht um die Stelle, sondern nur um die Entschädigung geht. Gelegentlich entsteht auch der Eindruck, dass Bewerbungen nicht nur wegen der Entschädigung, sondern wegen einer dauerhaften Einnahmequelle eingereicht werden. Ein Beispiel [...]

Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Die DSGVO gibt vor, dass Datenpannen binnen einer bestimmten Frist zu beantworten sind. Doch es fehlen Regelungen zur Berechnung.

BfDI - Pressemitteilungen - BfDI verhängt Geldbußen gegen Vodafone

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Klärung zur Stellung als Verantwortlicher: Eigenständige Verantwortlichkeit von Betriebsrat, Wahlvorstand und Betriebsratsfonds nach der DSGVO

Behörde: Bundesverwaltungsgericht Datum: 31.03.2025 GZ: W287 2246105-1/54E Rechtssatz: Betriebsrat, Wahlvorstand und Betriebsratsfonds sind jeweils eigenständige Verantwortliche iSd Art. 4 Z 7 DSGVO. Die datenschutzrechtliche Verantwortlichkeit bestimmt sich nach dem funktionalen Kontext der Verarbeitung der entsprechenden personenbezogenen Daten je nach Zuständigkeitsbereich. Sachverhalt Eine ehemalige stellvertretende Vorsitzende eines Angestelltenbetriebsrates brachte Beschwerde wegen einer angeblichen Verletzung ihres Rechts auf Geheimhaltung ein. Anlass war die Übermittlung personenbezogener Unterlagen an die Geschäftsleitung ihres Arbeitgebers, die im Zuge arbeitsgerichtlicher Verfahren verwendet wurden. Die Beschwerde richtete sich gegen die Vorsitzende des Angestelltenbetriebsrates. Die Datenschutzbehörde wies die Beschwerde ab, woraufhin die Beschwerdeführerin das Bundesverwaltungsgericht anrief. Im Verfahren wurde umfangreich ermittelt, welche Unterlagen wann, von wem und in wessen Funktion an den Arbeitgeber weitergegeben worden waren. Rechtliche Begründung Zentraler Punkt der Entscheidung war die datenschutzrechtliche Einordnung der Rolle des Betriebsrates, des Betriebsratsfonds sowie des Wahlvorstandes: 1. Verantwortliche iSd DSGVO Das BVwG stellte klar: Der Betriebsrat ist ein eigenständiger Verantwortlicher nach Art. 4 Z 7 DSGVO. Seine Datenverarbeitung geschieht in einem eigenständigen, vom Arbeitgeber abgegrenzten Zuständigkeitsbereich (Stichwort: Weisungsfreiheit nach § 115 Abs. 2 ArbVG). Gleiches gilt für den Wahlvorstand, der als Kollegialorgan der Arbeitnehmerschaft mit eigenständiger Entscheidungsbefugnis agiert. Auch der Betriebsratsfonds ist eine eigene datenschutzrechtliche Einheit, vertreten durch den Vorsitzenden des Betriebsrates, mit Rechtspersönlichkeit und Vermögensfähigkeit (§ 74 ArbVG). 2. Zurechnung der Datenweitergabe Im Verfahren konnte nicht festgestellt werden, dass die mitbeteiligte Partei (die Vorsitzende des Angestelltenbetriebsrates) in ihrer Funktion als solche personenbezogene Daten eigenmächtig übermittelt hätte. Ein Teil der Dokumente stammte: vom Betriebsratsfonds (z. B. Bewirtungskosten, Abrechnungen), vom Wahlvorstand (z. B. Wahldokumente), andere wurden direkt von der Geschäftsleitung beschafft, bei einigen war die Quelle nicht mehr eindeutig feststellbar. Damit fehlte es an der Passivlegitimation der beschuldigten mitbeteiligten Partei. 3. Rechtmäßigkeit der Datenverarbeitung Selbst wenn die Dokumente vom Angestelltenbetriebsrat übermittelt worden wären, hätte ein überwiegendes berechtigtes Interesse des Arbeitgebers vorgelegen (Art. 6 Abs. 1 lit. f DSGVO, § 1 Abs. 2 DSG). Ziel war die interne Aufklärung eines möglichen Missbrauchs von Skonti aus Apothekenbestellungen. Fazit und Empfehlung für Verantwortliche Das BVwG bestätigt erneut, dass unterschiedliche arbeitsrechtliche Gremien jeweils eigenständige datenschutzrechtliche Verantwortliche darstellen. Organisationen sollten deshalb sorgfältig prüfen, wer in welcher Rolle über personenbezogene Daten verfügt oder diese verarbeitet. Für Verantwortliche bedeutet das: Klare Abgrenzung von Zuständigkeiten zwischen Betriebsrat, Wahlvorstand und Betriebsratsfonds, Separate Verzeichnisse von Verarbeitungstätigkeiten je Verantwortlichem, Dokumentation von Datenweitergaben mit konkreter Rollen- und Zweckzuweisung, Sensibilisierung aller Beteiligten hinsichtlich datenschutzkonformer Handhabung sensibler Daten. Relevante Normen Art. 4 Z 7 DSGVO Art. 6 Abs. 1 lit. f DSGVO Art. 9 Abs. 2 lit. f DSGVO § 1 Abs. 2 DSG § 115 ArbVG § 74 ArbVG (Verwaltung des Betriebsratsfonds)

Einsicht in berufliche E-Mails nach Ende des Dienstverhältnisses zulässig - es überwiegen regelmäßig die Interessen des Dienstgebers

Entscheidung der Datenschutzbehörde vom 13.01.2022, GZ: 2021-0.450.072 (DSB-D124.3952) Rechtssatz: Die Einsichtnahme und Weiterleitung beruflicher E-Mails nach dem Ende des Dienstverhältnisses kann auf ein berechtigtes Interesse gestützt werden und verletzt nicht das Recht auf Geheimhaltung, wenn keine privaten E-Mails betroffen sind. Sachverhalt Ein ehemaliger Mitarbeiter eines Transportunternehmens beschwerte sich bei der Datenschutzbehörde (DSB), weil seine ehemalige Arbeitgeberin nach seinem Ausscheiden weiterhin Zugriff auf seine dienstliche E-Mail-Adresse hatte. Er behauptete, dass darüber hinaus auch private E-Mails eingesehen und weitergeleitet worden seien, ohne dass er ausreichend informiert worden sei oder ihm Auskunft gewährt wurde. Außerdem verlangte er die Datenübertragbarkeit, Löschung und Einschränkung der Verarbeitung seiner Daten. Die Arbeitgeberin argumentierte, dass die E-Mail-Adresse ausschließlich beruflich genutzt werden durfte und dass nur zwei berufliche E-Mails nach dem Ausscheiden weitergeleitet wurden, die Rechnungen betrafen. Der Account wurde kurz darauf deaktiviert und schließlich gelöscht. Rechtliche Beurteilung Die Datenschutzbehörde wies die Beschwerde in allen Punkten ab: Recht auf Geheimhaltung (§ 1 DSG, Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung (Einsichtnahme und Weiterleitung) der beruflichen E-Mails war zur Sicherstellung des Geschäftsbetriebs erforderlich und damit durch überwiegende berechtigte Interessen gedeckt. Die DSB verwies dabei auch auf das Urteil des EGMR in der Sache Barbulescu gegen Rumänien. Fazit und Empfehlung für Verantwortliche Verantwortliche dürfen unter bestimmten Voraussetzungen nach dem Ausscheiden eines Mitarbeiters auf dessen dienstliche E-Mails zugreifen – insbesondere, wenn es sich um berufliche Inhalte handelt und eine dienstliche Weisung zur ausschließlichen beruflichen Nutzung besteht. Für Unternehmen empfiehlt es sich: Dienstliche E-Mail-Nutzung klar zu regeln (z. B. Verbot privater Nutzung dokumentieren), E-Mail-Postfächer bei Austritt schnell zu deaktivieren, Auto-Replys einzurichten, und personenbezogene Daten nur im Rahmen gesetzlicher Aufbewahrungspflichten zu speichern.

Auftragsverarbeitungsverträge für Hochschulen – Muster AVV nach DSGVO

Vielfach werden im Hochschulumfeld Dienstleister eingesetzt, die im Auftrag und nach Weisung der Hochschulen personenbezogene Daten verarbeiten. Gemäß Artikel 28 Absatz 3 Europäische Datenschutz-Grundverordnung (DSGVO) muss diese Verarbeitung personenbezogener Daten durch einen Dienstleister – einem Auftragsverarbeiter – auf Grundlage eines Vertrages erfolgen.

de lege data | Zum Cookie-Banner-Urteil des VG Hannover: Gericht verpflichtet nicht zu „Alles ablehnen“-Schaltfläche