Legal Session: Bewerbungen, deutsche Datenschutzerklärungen, Microsoft Copilot, …

Bild: Hinweis auf Legal Session am 17. April 2025An Legal Sessions können Mitglieder unserer Datenschutz-Academy ihre eigenen Fragen zum Datenschutzrecht stellen und von den Antworten auf die Fragen anderer Mitglieder profitieren.

An der Legal Session vom 17. April 2025 beantworte Rechtsanwalt Martin Steiger unter anderem, ob Referenzen bei ehemaligen Arbeitgebern von Bewerbern eingeholt werden dürfen, ob deutsche Datenschutzerklärungen für die Schweiz verwendet werden können und wieso dsgvo-beschwerde.de keine Aussagen über den Inhalt einer Datenschutzerklärung treffen kann.

Weitere Fragen betrafen beispielsweise die KI-basierte Bearbeitung von Personendaten durch Microsoft Copilot und den amerikanischen CLOUD Act.

Aufzeichnung

Mitglieder können sich nachfolgend die aufgezeichnete Legal Session anhören:

Die Aufzeichnung ist nur für Mitglieder der Datenschutz-Academy verfügbar.
Mehr erfahren!

Fragen an der Legal Session

An der Legal Session wurden die folgenden Fragen gestellt:

«Es können Bearbeitungen von Personendaten mittels KI, z. B. mittels Copilot, je nach konkretem Prompting eine subjektive Bewertung persönlicher Aspekte im Sinne von Art. 5 lit. f DSG (Profiling) darstellen. Wäre auch ein Profiling anzunehmen, wenn der KI-Output vor Verwendung von einem Menschen überprüft und nicht automatisiert weiterverwendet wird?»

«Gemäss dsgvo-beschwerde.de ist meine Website trotz Datenschutzerklärung aus dem Datenschutz-Generator nicht rechtskonform. Was muss ich unternehmen?»

«Gewisse KI-Systeme, wie z. B. Copilot können ja für verschiedene Zwecke verwendet werden, welche in der Regel wohl nicht unter Hochrisiko-KI-Anwendungen fallen. Sie könnten aber auch z. B. für die Auswahl von Bewerbern eingesetzt werden, was gemäss EU AI Act eine Hochrisiko-Anwendung wäre. Wie soll man als Unternehmen damit umgehen, wenn man vermeiden möchte, ein Hochrisiko-System anzuwenden? Müssen die Mitarbeiter angewiesen werden, alle Verwendungszwecke, welche unter Art. 6 EU AI Act fallen, zu unterlassen oder gibt es noch andere Möglichkeiten?»

«Was ist der aktuelle Stand beim Data Privacy Framework?»

«Ein Kunde verlangt die Gesprächsaufzeichnungen heraus. Gespräche werden bei uns zu Qualitäts- und Schulungszwecken aufgezeichnet. Könnte dies aufgrund überwiegender Interessen der auch aufgezeichneten Mitarbeiter verweigert werden oder wie können in diesem Fall die Interessen der Mitarbeiter gewahrt werden?»

«Wir haben Angst, bei Auskunftsbegehren, die wir immer häufiger erhalten, etwas falsch zu machen. Worauf müssen wir besonders achten?»

«Bei Bewerbern recherchieren wir auf Social Media. Dort sehen wir die bisherigen Arbeitgeber. Dürfen wir Referenzen einholen?»

«Kann eine deutsche Datenschutzerklärung 1:1 für die Schweiz verwendet werden?»

«Von unserem M365-Anbieter wissen wir, dass unsere Daten auf Schweizer Servern gespeichert sind. Habe ich das richtig verstanden, dass es sein kann, dass durch den CLOUD Act von den USA aus trotzdem auf unsere Daten zugegriffen werden kann/darf? Wie soll man damit umgehen?»

«Vorher wurde Copilot erwähnt. Dürfen Personendaten dort eingegeben werden, um z. B. einen kompletten Bericht einer Sozialmassnahme korrigieren zu lassen?»

Wir diskutieren immer wieder über Themen aus Veranstaltungen der Datenschutz-Academy in unseren «Datenschutz-Plaudereien» auf. Hast Du unseren Podcast schon abonniert?