Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im Berichtsjahr 2024/2025 mehrere KI-gestützte Systeme unter datenschutzrechtlichen Gesichtspunkten begleitet und bewertet. Die Anwendungen betreffen sowohl den öffentlichen Sektor als auch den Gesundheitsbereich und zeigen exemplarisch, welche Herausforderungen mit dem Einsatz lernender Systeme verbunden sind. 1. KI-gestützte Entlassbrief-Erstellung am UKE („ARGO CL“) Das Universitätsklinikum Hamburg-Eppendorf nutzt

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im Rahmen von zwei Beschwerden die Zulässigkeit der Angabe gesundheitsbezogener Daten auf Lohn- und Gehaltsabrechnungen überprüft. Im Zentrum der datenschutzrechtlichen Bewertung steht der Umgang mit besonders sensiblen personenbezogenen Daten im Spannungsfeld zwischen Transparenz und Persönlichkeitsrechten. Hintergrund der Prüfung Rechtliche Bewertung Erforderlichkeitsprüfung und Interessenabwägung Empfehlungen des HmbBfDI

Der Umgang mit Bildnissen ehemaliger Beschäftigter ist aus datenschutzrechtlicher Sicht ein sensibles Thema. In zahlreichen aktuellen Fällen stellen Datenschutzaufsichtsbehörden fest, dass Unternehmen Bildmaterialien von ehemaligen Mitarbeitenden weiterhin nutzen, obwohl keine gültige Rechtsgrundlage für diese Verarbeitung besteht. Dies betrifft insbesondere die Verwendung von Fotos und Videos auf Unternehmenswebsites und Social-Media-Plattformen. Rechtslage: Einwilligung und Zweckbindung Grundsätzlich erfolgt

Das Bayerische Verwaltungsgericht Ansbach hat entschieden, dass ein bereits geltend gemachter datenschutzrechtlicher Auskunftsanspruch durch eine vergleichsweise Einigung erlöschen kann (VG Ansbach, U. v. 03.05.2024 – AN K 21.00653). Die Entscheidung betrifft insbesondere den Beschäftigtenkontext und stellt klar, dass auf einen Auskunftsanspruch auch im Rahmen eines arbeitsrechtlichen Vergleichs verzichtet werden kann. Ein Arbeitnehmer hatte beim Bayerischen

Der Europäische Datenschutzausschuss (EDSA) hat in seiner Stellungnahme 22/2024 wesentliche Klarstellungen zur Kontrollverantwortung des Verantwortlichen bei der Auftragsverarbeitung getroffen. Insbesondere wird betont, dass der Verantwortliche auch bei mehrstufigen Auftragsverhältnissen seine datenschutzrechtlichen Pflichten nicht delegieren kann. Wesentliche Punkte der EDSA-Stellungnahme: Datentransfer in Drittländer Fazit Die EDSA-Stellungnahme betont die unveräußerliche Kontrollverantwortung des Verantwortlichen. Die Prüfintensität variiert je

Nach der Datenschutz-Grundverordnung (DS-GVO) haben betroffene Personen das Recht, von Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu erhalten. Dieses Auskunftsrecht ist von großer Bedeutung, da nur wer über die Verarbeitung seiner Daten informiert ist, weitere Rechte wie Berichtigung, Löschung oder Schadenersatz in Anspruch nehmen kann. Im Kontext des Beschäftigtendatenschutzrechts sind etwaige Datensammlungen, die (auch)