Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 2 § 18 Abs. 1 Satz 1 PStTG verpflichtet den Plattformbetreiber zur Überprüfung der erhobenen Informationen anhand aller ihm rechtmäßig vorliegenden Informationen und Unterlagen, es sei denn, er macht von der Erleichterungsregelung des § 18 Abs. 2 PStTG Gebrauch. Dem Plattformbetreiber können die Informationen beispielsweise bereits aufgrund anderer fachgesetzlicher Vorga...mehr

1. Die Datenschutz-Grundverordnung steht weder der Preisgabe der persönlichen Daten des Fahrzeugführers durch den Fahrzeughalter an die Polizei- oder Bußgeldbehörden noch dem Führen eines Fahrtenbuchs entgegen. 2. Zur Verhältnismäßigkeit der Dauer einer Fahrtenbuchanordnung. OVG Rheinl.-Pfalz, Beschl. v. 20.6.2023 – 7 B 10360/23mehr

“Die zulässige Beschwerde bleibt in der Sache ohne Erfolg. Die Ausführungen der Antragstellerin im Beschwerdeverfahren, auf die sich die Prüfung des Senats beschränkt, enthalten keine Gründe, aus denen der angegriffene Beschl. des VG abzuändern oder aufzuheben wäre (§ 146 Abs. 4 S. 3 und 6 VwGO). Das VG (VG Mainz, Beschl. v. 17.4.2023 – 3 L 108/23.MZ) hat den auf Gewährung v...mehr

Liebe Leserinnen und Leser, unter der Rubrik "Literaturkritik: Erbrecht" stellen wir monatlich eine Auswahl von Neuerscheinungen aus dem Bereich des Erbrechts, des Erbschaftsteuerrechts sowie der erbrechtsrelevanten Nebengebiete vor. Beck/Depré/Ampferl Praxis der Sanierung und Insolvenz Ein Handbuch für die Beteiligten und ihre Berater 4. Auflage, 2023 Vahlen, ISBN 978-3-8006-6673...mehr

2. Die Berufung des Kl. ist jedoch in der Sache unbegründet und allein die erstinstanzliche Kostengrundentscheidung zu korrigieren: a) Ansprüche des Kl. aus Art. 82 Abs. 1 DSGVO bestehen nicht. Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DSGVO Grundlage für einen Ersatzanspruch gemäß Art. 82 Abs. 1 DSGVO sein können (Senat NJW-RR 2023, 5...mehr

DSGVO Art. 15 Abs. 1, Abs. 3 Art. 82; BGB § 259 § 260 Leitsatz 1. Auch in Ansehung der Tatsache, dass es nach der Rechtsprechung des EuGH keinen sog. "Bagatellvorbehalt" und keine "Erheblichkeitsschwelle" bei Art. 82 Abs. 1 DS-GVO gibt, bedeutet dies nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vo...mehr

1. Auch in Ansehung der Tatsache, dass es nach der Rechtsprechung des EuGH keinen sog. "Bagatellvorbehalt" und keine "Erheblichkeitsschwelle" bei Art. 82 Abs. 1 DS-GVO gibt, bedeutet dies nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt haben soll, vollständig vom Nachweis befreit wäre, dass überhaupt solche Fo...mehr

Die Parteien, des Kl. als Mandant eines insolventen Rechtsanwalts und die Bekl. als dessen Haftpflichtversicherer streiten – um Ansprüche im Zusammenhang mit einer Auskunftserteilung nach Art. 15 Abs. 1, 3 DSGVO. Der Kl. hat die Verurteilung der Bekl. zur Erteilung einer Datenauskunft durch Überlassung einer Kopie und zur Zahlung eines angemessenen "Schmerzensgeldes" wegen u...mehr

Alternative 2: mangelnde zweckentsprechende Verwendung Erhält der Mieter Leistungen für die Unterkunft und Heizung an sich gezahlt und setzt diese aber nicht für die Erfüllung seiner Mietzinsverpflichtung ein, steht die Zahlung der Leistungen für die Unterkunft und Heizkosten an den Vermieter nach § 22 Abs. 7 S. 2 SGB II im Ermessen des Jobcenters oder der sonst zuständigen S...mehr

Bisher wurden "Betriebs- und Geschäftsgeheimnisse" definiert als Tatsachen, die im Zusammenhang mit einem Geschäftsbetrieb stehen, nicht offenkundig und nur einem eng begrenzten Personenkreis bekannt sind, nach dem bekundeten Willen des "Betriebsinhabers" geheim gehalten werden sollen und an deren Geheimhaltung der "Betriebsinhaber" ein berechtigtes wirtschaftliches Interess...mehr

Überblick Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch relevante Rech...mehr

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Nach dieser Definition ist jedenfalls der Arbeitgeber...mehr

Nach Art. 88 Abs. 2 DSGVO müssen alle nationalen Vorschriften zum Beschäftigungskontext[1] – also insbesondere auch Betriebsvereinbarungen – so ausgestaltet werden, dass die Grundrechte und Interessen der Betroffenen hinreichend geschützt sind. Damit sind in erster Linie die oben aufgezeigten Grundsätze nach Art. 5 DSGVO in der Betriebsvereinbarung abzubilden. Darüber hinaus ...mehr

Eine weitere für die Praxis wichtige Frage ist, ob die Anforderungen von Art. 88 DSGVO für sämtliche Betriebsvereinbarungen gelten, die die Verarbeitung personenbezogener Daten von Arbeitnehmern regeln oder voraussetzen, oder nur für solche Betriebsvereinbarungen, die solche Verarbeitungen datenschutzrechtlich legitimieren sollen, also als eigenständiger datenschutzrechtlich...mehr

Bei der Gestaltung von (Rahmen-)Betriebsvereinbarungen zur Umsetzung der Anforderungen des Datenschutzrechts kommt eine nicht unerhebliche Anzahl von Regelungskomplexen in Betracht. Welche Punkte die Betriebsparteien im Rahmen entsprechender Betriebsvereinbarungen regeln werden, hängt von einer Vielzahl von Faktoren ab. Gerade die Beziehungen zwischen Arbeitgeber und Betrieb...mehr

Rz. 1 Mit dem 2. SGB V-ÄndG v. 20.12.1991 (BGBl. I S. 2325) ist die ursprünglich auf den 1.1.1992 festgelegte erhöhte Zuzahlungspflicht um 1 ½ Jahre hinausgeschoben und gleichzeitig verringert worden. Eine grundlegende Änderung mit Abkehr von diesem Zahlungssystem hatte das zum 1.1.1993 in Kraft getretene GSG (BGBl. I S. 2266) gebracht. Dadurch wurde erstmals eine einheitlich...mehr

Rz. 9 § 24b Abs. 2 Satz 1 bestimmt, dass das fachlich zuständige BMFSFJ für das Internetportal – auch datenschutzrechtlich – verantwortlich ist (Art. 4, Art. 24 DSGVO). Mit der Regelung wird zudem von der Öffnungsklausel in Art. 4 Nr. 7 der DSGVO (Verordnung EU 2016/679) Gebrauch gemacht. Rz. 10 § 24b Abs. 2 Satz 2 schafft einen Erlaubnistatbestand für die Verarbeitung person...mehr

In Art. 5 Abs. 1 Buchst. a DSGVO ist der Grundsatz der Rechtmäßigkeit niedergelegt. Dies bedeutet, dass für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage erforderlich ist.[1] Im nationalen Recht wurde dieses Strukturprinzip des Datenschutzrechts bislang als Verbot mit Erlaubnisvorbehalt[2] bezeichnet. Der Grundsatz der Rechtmäßigkeit kommt vor allem in den Generalklaus...mehr

Adressat des alten wie des seit 2018 geltenden Datenschutzrechts ist der "Verantwortliche"[1], also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte.[2] Er muss die Einhaltung des Datenschutzes nachweisen[3] und für Verstöße geradestehen, denn Schadensersatzansprüche von Be...mehr

Zusammenfassung Überblick Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch...mehr

Betriebsvereinbarungen sollten jedenfalls die zentralen Grundsätze der DSGVO für den Umgang mit Daten abbilden bzw. die Betriebsparteien sollten diese als eine erste, noch recht grobkörnige Checkliste für eine datenschutzgerechte Vereinbarung durchgehen. Art. 5 DSGVO gibt folgende Grundsätze für den Umgang mit personenbezogenen Daten vor, die auch für etwaige Verarbeitungen ...mehr

Eine solche Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, Rechtsgrundlagen zur Verarbeitung personenbezogener Daten zu schaffen, sieht Art. 88 Abs. 1 DSGVO für den Beschäftigungskontext vor.[1] Die Mitgliedstaaten können Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext nach Art. 88 Abs. 1 DSGVO entweder selbst durch entsprechende Gesetzgebung sc...mehr

Ein weiterer Regelungsbereich der Vorgaben der DSGVO, bei dem eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat sinnvoll ist, betrifft die Dokumentations- und Rechenschaftspflichten. Wie bereits dargestellt, unterliegen Verantwortliche umfassenden Dokumentationspflichten, etwa nach Art. 30 DSGVO. Dabei haben Unternehmen zudem noch ein ganz erhebliches Eigeninteresse da...mehr

Schwierigkeiten bereitete lange Zeit im Rahmen der DSGVO die Einordnung der datenschutzrechtlichen Rolle des Betriebsrats. Nach bisherigem Recht ging das BAG tendenziell davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der vera...mehr

Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende sogenannte Verarbeitungsverzeichnis. Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: wen...mehr

Die Betriebsparteien sind grundsätzlich gut beraten, wenn sie die Verteilung der Verantwortung für den Datenschutz sowie entsprechende Prozesse gemeinsam in einer Betriebsvereinbarung regeln.[1] Diese ist das geeignete Instrument, um das Spannungsfeld von datenschutzrechtlicher Compliance, für die der Arbeitgeber verantwortlich ist (s. o. Abschn. 1) und Unabhängigkeit des Be...mehr

Ähnlich wie beim Verarbeitungsverzeichnis kann eine Mitwirkung des Betriebsrats auch bei der nach Art. 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung zweckmäßig sein, soweit es um die Verarbeitung personenbezogener Daten von Arbeitnehmern (auch) durch den Betriebsrat geht. Zwar werden Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG im Rahmen einer Datenschutz-Folge...mehr

Die letztlich sicherste Methode, Datenverarbeitungen auf der Grundlage von Betriebsvereinbarungen an die DSGVO anzupassen wäre es, sämtliche im Betrieb abgeschlossenen und noch abzuschließenden Betriebsvereinbarungen an den Vorgaben des neuen Beschäftigtendatenschutzes auszurichten. In der Praxis wird es allerdings nur den allerwenigsten Unternehmen tatsächlich und lückenlos...mehr

Gerade da der Verantwortliche grundsätzlich beweisen muss, dass er personenbezogene Daten im Einklang mit der DSGVO verarbeitet[1], kann der Abschluss entsprechender Betriebsvereinbarungen in Bezug auf den Datenschutz am Arbeitsplatz ein wesentlicher Baustein der Erfüllung der Rechenschaftspflichten des Arbeitgebers sein. Zudem lassen sich auch einzelne Dokumentationssysteme...mehr

Art. 12 ff. DSGVO sehen umfassende Betroffenenrechte vor. Diese Rechte gelten uneingeschränkt auch im Beschäftigungsverhältnis. Die konkrete Umsetzung der Betroffenenrechte gegenüber Arbeitnehmern sollte erfahrungsgemäß mit dem Betriebsrat abgestimmt werden. In entsprechenden Betriebsvereinbarungen kann z. B. geregelt werden, in welcher Form und auf der Grundlage welcher Vorl...mehr

Die vorstehenden Beispiele haben deutlich gemacht, dass bei vielen Bausteinen eines Datenschutz-Compliance-Systems eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat hilfreich sein kann, um die Anforderungen des Datenschutzrechts umzusetzen. Bereits in der Vergangenheit waren Betriebsvereinbarungen dabei ein effektives Mittel, um die Zwecke sowie die Art und Weise von ...mehr

Rz. 2 § 24b beschreibt die Unterstützungsmöglichkeit der Antragsteller durch ein bundesweites Internetportal und stellt klar, dass die Aufgaben und Befugnisse der nach § 12 BEEG zuständigen Stellen (Beratung, Bearbeitung von Anträgen) davon unberührt bleiben. Das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) hat bereits ein bundesweit einheitliches Port...mehr

Sowohl für Arbeitgeber und Betriebsräte, aber auch für Arbeitnehmer haben betriebliche Vereinbarungen über Datenverarbeitungen und zum Datenschutz erhebliche Vorteile. Zum einen schaffen sie ein hohes Maß an Rechtssicherheit, zum anderen können klare Regelungen in Betriebsvereinbarungen auch die nach der DSGVO geforderte Transparenz schaffen und sonstige Anforderungen des Da...mehr

Art. 88 Abs. 1 DSGVO sieht ausdrücklich vor, dass Arbeitgeber und Betriebsrat Datenverarbeitungen durch entsprechend gestaltete Betriebsvereinbarungen rechtfertigen können. Gerade wenn im Rahmen einer Betriebsvereinbarung klarstellend geregelt wird, dass neben der Rechtfertigung der Datenverarbeitung durch die genannte Betriebsvereinbarung auch ein Rückgriff auf gesetzliche ...mehr

Betriebsvereinbarungen dienen gleichzeitig der Ausübung von Mitbestimmungsrechten des Betriebsrats[1], insbesondere nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Einrichtungen, die eine Leistungs- oder Verhaltenskontrolle ermöglichen) oder nach § 87 Abs. 1 Nr. 1 BetrVG (Fragen der Ordnung des Betriebs). Gerade die aktuelle Rechtsprechung des BAG zu § 87 Abs. 1 Nr. 6 ...mehr

Rz. 61 Abs. 6 Satz 5 verpflichtet das Bundesinstitut für Arzneimittel und Medizinprodukte zur Erstellung einer bis zum 31.3.2022 laufenden nichtinterventionellen Begleiterhebung, die dazu dient, Erkenntnisse über die Wirkung von Cannabis zu medizinischen Zwecken zu gewinnen. Hierdurch soll eine Grundlage für die Entscheidung über die dauerhafte Aufnahme in die Versorgung ges...mehr

Wo die Ransomware-Attacke gemeldet werden muss, ist abhängig von der Art des Unternehmens. Betreiber kritischer Infrastrukturen, Betreiber von Energieversorgungsnetzen und Anbieter digitaler Dienste melden die Ransomware-Attacke "unverzüglich" als Sicherheitsvorfall beim BSI ( § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 8c Abs. 3 BSIG ). Betreiber von öffentlichen Telekommunikations...mehr

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Rz. 4 § 24a Abs. 1 ist eine Ermächtigung an das Statistische Bundesamt. Dieses wird ermächtigt, Daten aus seinen Erhebungen für die Entwicklung und den Betrieb von Mikrosimulationsmodellen an das fachlich zuständige Bundesministerium zu übermitteln. Die Übermittlung von statistischem Material wird gestattet, auch wenn es sich um Einzelangaben handelt. Das Statistische Bundes...mehr

Rz. 2 Die Telematikinfrastruktur soll als zentrale Sicherheitsinfrastruktur des Gesundheitswesens eine sichere Umgebung für die Digitalisierung und Vernetzung des gesamten Gesundheitswesens bieten (BT-Drs. 19/18793 S. 107). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die gematik in Abstimm...mehr

Rz. 3 § 25 ermächtigt die Standesämter, Personenstandsdaten an die Elterngeldstellen zu übermitteln. Es geht um eine Befugnis zur Übermittlung von personenbezogenen Daten zwischen Behörden verschiedener Träger. Ähnliche Regelungen finden sich z. B. in § 101 und § 101a SGB X. Die Daten können nur von den zuständigen Standesämtern an die nach § 12 BEEG zuständigen Elterngeldst...mehr

Rz. 11 Abs. 3 regelt als weitere organisatorische Anforderung, dass die mit der Durchführung von Zusatzaufbereitungen beauftragten Personen zur Geheimhaltung zu verpflichten sind (§ 16 Abs. 1 und 10 BStatG). Die Anforderungen gelten auch für Auftragnehmerinnen und -nehmer in einem Auftragsdatenverarbeitungsverhältnis (Art 28 DSGVO). Rz. 12 Es muss sichergestellt sein, dass di...mehr

Im Falle eines Ransomware-Angriffs müssen IT-Verantwortliche schnell handeln, um die betroffenen Geräte zu isolieren und die Arbeitsfähigkeit wiederherzustellen. Kommt es trotz aller Vorsichtsmaßnahmen doch zu einer Infektion durch Ransomware müssen IT-Verantwortliche unverzüglich feststellen, welche Geräte und Systeme betroffen sind. Infizierte Geräte müssen isoliert und vom...mehr

Rz. 5 Der Bund kann ein Internetportal zur elektronischen Unterstützung der Antragstellung einrichten. Träger des Portals ist der Bund. Für Einrichtung und Betrieb des Portals ist das BMFSFJ zuständig (Abs. 1 Satz 3). Die Verwaltungskompetenz der Elterngeldstellen der Länder, die das BEEG in Auftragsverwaltung ausführen, bleibt unberührt (Abs. 1 Satz 4). Kern des Abs. 1 ist ...mehr

Grundsätzlich hat der Arbeitgeber die Einhaltung und Durchführung des BDSG und der DSGVO durch technische und organisatorische Maßnahmen zu gewährleisten. Dies gilt unabhängig davon, wo und in welcher Form der Arbeitnehmer seine Arbeitsleistung erbringt. Auch bei der mobilen Arbeit muss daher sichergestellt werden, dass die innerbetrieblich geltenden Richtlinien, eventuelle ...mehr

Rz. 25 Die Nutzung des Verfahrens nach § 108a SGB IV setzt weiter die Einwilligung des Arbeitnehmers oder der Arbeitnehmerin voraus (Abs. 2 Satz 2). Die Elterngeldstellen dürfen die Abfrage nur beauftragen, wenn sich die Betroffenen "zuvor", d. h. vor der Abfrage, mit der Nutzung dieses Verfahrens einverstanden erklärt haben. Die Elterngeldstellen (§ 12 Abs. 1 BEEG) ihrersei...mehr

Seit dem 25.5.2018 werden die Regelungen zum Beschäftigtendatenschutz maßgeblich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bestimmt. Nach Art. 12 ff. DSGVO ist der Arbeitgeber verpflichtet, die Beschäftigten umfassend über die Datenerhebung und -verarbeitung zu informieren. Ziel der umfassenden Informationspflichten ist es, eine tra...mehr

Bei dienstlichen Internet- und E-Mail-Anschlüssen handelt es sich um Betriebsmittel des Arbeitgebers, die ohne dessen Erlaubnis nicht privat genutzt werden dürfen. Ein Anspruch auf Privatnutzung folgt auch nicht aus Art. 9 Abs. 3 GG, wenn der Arbeitnehmer den Account für Zwecke des Arbeitskampfes nutzen will.[1] Die private Internet- und E-Mail-Nutzung am Arbeitsplatz stellt ...mehr

(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates vorzuschreiben, dass der Energieverbrauch der Benutzer von heizungs-, kühl- oder raumlufttechnischen oder der Versorgung mit Warmwasser dienenden gemeinschaftlichen Anlagen oder Einrichtungen erfasst wird, die Betriebskosten dieser Anlagen oder Einrichtungen so auf die Benutzer zu ve...mehr

(1) Die zuständige Behörde (Kontrollstelle) unterzieht Inspektionsberichte über Klimaanlagen oder über kombinierte Klima- und Lüftungsanlagen nach § 78 und Energieausweise nach § 79 nach Maßgabe der folgenden Absätze einer Stichprobenkontrolle. (2) 1Die Stichproben müssen jeweils einen statistisch signifikanten Prozentanteil aller in einem Kalenderjahr neu ausgestellten Energ...mehr