Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Das Recht zur Einsichtnahme ist umfassend und bezieht sich auf sämtliche Personalakten im materiellen und formellen Sinne. Wichtig Der Anspruch auf Einsichtnahme nach § 3 Abs. 5 TVöD bzw. § 3 Abs. 6 TV-L ist umfassend und bezieht sich auf die materielle Personalakte, also auf alle Unterlagen und Vorgänge, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters b...mehr

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Im Hinblick auf die Vorgaben der Verordnung muss zukünftig genau geprüft werden, wer in welchen Fällen zu benachrichtigen ist. Es sind nicht mehr Aufsichtsbehörde und Betroffene stets gleichermaßen zu benachrichtigen. Die DSGVO enthält eine abgestufte Melde- und Benachrichtigungspflicht. Dieses ist umfangreicher als das im BDSG. Meldepflicht gegenüber Aufsichtsbehörde (Art. 3...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gemäß Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich ...mehr

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) Anzahl der Betroffenen, ...mehr

Sollte es sich bei einem entsprechender Vorfall um eine Schutzverletzung darstellen, so ist – auch gerade aufgrund der engen 72h-Frist – ein innerbetrieblicher Ablauf- und Kommunikationsplan unerlässlich. Ein solcher ist nachfolgend exemplarisch aufgelistet, der je nach Unternehmensorganisation entsprechend anzupassen ist. Hierbei ist wie folgt vorzugehen: Der Mitarbeiter, de...mehr

Den Inhalt der Personalakte bestimmt grundsätzlich der Arbeitgeber. Diese Gestaltungsfreiheit des Arbeitgebers findet ihre Grenzen in den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG sowie in den grundrechtlichen Wertentscheidungen. Für die Frage, welche konkreten Vorgänge und Informationen aufbewahrt und damit zur materiellen Personalakte genommen werden dürfen, si...mehr

Die Kenntnis von einer Schutzverletzung steht an erster Stelle. In der betrieblichen oder behördlichen Praxis ist oft nicht klar, wann der Verantwortliche von einer "Feststellung" im Sinne der Verordnung ausgehen muss. Relevant ist nämlich u. a., dass ab der Feststellung (und nicht ab Eintritt der Schutzverletzung) die Zeit hinsichtlich der durch die DSGVO vorgeschriebene 72...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben (letztes Update: 20...mehr

Ist von der Schwere eines Schadens (Schadenshöhe) die Rede, dann stellt sich die Frage, was die DSGVO darunter versteht. Hier hilft Erwägungsgrund 75 DSGVO weiter. Demnach kann eine Verarbeitung personenbezogener Daten zu physischen, materiellen und immateriellen Schäden führen, wie: Diskriminierung Identitätsdiebstahl oder -betrug Finanzieller Verlust Rufschädigung Verlust der V...mehr

5.1.1 Inhalt der Meldung Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) ...mehr

Voraussetzungen Eine öffentliche Bekanntmachung kommt nur als Ersatz für die direkte Benachrichtigung der Betroffenen in Betracht, wenn eine solche Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (Art. 34 Abs. 3 Buchst. c DSGVO). Sie ist also die Ausnahme und setzt voraus, dass die direkte Benachrichtigung der Betroffenen tatsächlich einen sehr hohen Aufwand...mehr

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten: Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt. Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet. Verlust (Data Loss...mehr

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab. Quelle: GDPC GbR Abb. 1: Risikomatrix So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einst...mehr

Der Verantwortliche muss die Betroffenen in 2 Ausnahmefällen nicht benachrichtigen:[1] Wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehören z. B. eine sichere Verschlüsselung oder Pseudonymisierungsmaßnahmen. Wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherste...mehr

"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zuga...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Beim Führen von Personalakten stellt sich für Arbeitgeber regelmäßig die Frage, wie lange die Informationen und Unterlagen aufbewahrt werden dürfen bzw. müssen. Es besteht keine pauschale gesetzliche Aufbewahrungsfrist für allgemeine personenbezogene Daten und Unterlagen im Arbeitsverhältnis. Ob und wann ein Arbeitgeber eine Information oder eine Unterlage aus der Personalak...mehr

Hat der Arbeitgeber rechtmäßig eine Abmahnung ausgesprochen, kann der Arbeitnehmer nach §§ 242, 1004 Abs. 1 Satz 1 BGB (analog) die Entfernung der Abmahnung verlangen, wenn seitens des Arbeitgebers kein schutzwürdiges Interesse am Verbleib der Abmahnung in der Personalakte besteht. Nach Auffassung des Bundesarbeitsgerichts lässt sich für das Recht auf Entfernung der an sich ...mehr

Für verbeamtete Personen beinhalten die Vorschriften § 50 BeamtStG und §§ 106 – 115 BBG ausführliche Regelungen rund um die Personalakte. In der Regel haben die Bundesländer in ihren Beamtengesetzen und zugehörigen Erlassen entsprechende Regelungen getroffen. Nach § 50 Abs. 1 Satz 1 BeamtStG ist für jeden Beamten der Länder, Gemeinden und Gemeindeverbände sowie der sonstigen ...mehr

Der Anspruch auf Entfernung nach §§ 242, 1004 Abs. 1 BGB (analog) hat nicht nur für die Entfernung von Abmahnungen aus der Personalakte Bedeutung. Ein Entfernungsanspruch des Beschäftigten besteht auch bezüglich solcher Angaben aus der Personalakte, die nicht als rechtmäßige Bestandteile von Personalakten gelten und dennoch in die Personalakte des Beschäftigten gelangt sind (...mehr

Begriff Sozialdatenschutz bezeichnet den Schutz personenbezogener Daten des Einzelnen. Diese Daten sollen auch insbesondere von den Sozialleistungsträgern vor Missbrauch geschützt werden. Damit ist der Sozialdatenschutz gleichzeitig auch Persönlichkeitsschutz. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Der Sozialdatenschutz ist im SGB I und SGB X geregelt. D...mehr

Ein zentrales Problemfeld beim Einsatz Künstlicher Intelligenz im notariellen Kontext betrifft die berufsrechtlich normierte Verschwiegenheitspflicht (§ 18 BNotO) sowie die datenschutzrechtliche Zulässigkeit der Verarbeitung besonders schutzwürdiger personenbezogener Daten, wie sie insbesondere im Bereich der Nachlassermittlung regelmäßig anfallen. Die Bewertung der rechtlic...mehr

Sozialdaten sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem SGB verarbeitet werden.[1] Betriebs- und Geschäftsgeheimnisse, die gem. § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischar...mehr

Die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten durch die in § 35 SGB I genannten Stellen ist zulässig, soweit es gesetzliche Bestimmungen erlauben oder anordnen.[1] Dies gilt auch für die besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO.[2] Die Übermittlung von biometrischen, genetis...mehr

Rz. 8 Seit dem 25.5.2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 v. 4.5.2016, S. 1; L 314 v. 22.11.2016, S. 72; L 127 v. 23.5.2018, S. 2) in a...mehr

Rz. 3 Das soziale Datenschutzrecht ist allgemeinrechtlich im SGB X geregelt. Korrespondierende Regelungen finden sich in §§ 67b, 67d, 67e und 68 ff. SGB X. Weitere ergänzenden Vorschriften finden sich insbesondere in § 75 SGB X (Übermittlung von Sozialdaten für die Forschung und Planung), in § 9e Abs. 1 Satz 1 Nr. 6 Adoptionsvermittlungsgesetz und in der Datenschutz-Grundver...mehr

Rz. 5 Nach Abs. 1 dürfen Sozialdaten zu dem Zweck übermittelt oder genutzt werden, zu dem sie erhoben worden sind. Bei Übereinstimmung von Erhebungs- und Weiterverwendungszweck entfällt im Hinblick auf die Datenübermittlung und -nutzung damit eine eigenständige Zulässigkeitsprüfung. Dies ist vor dem Hintergrund, dass die Datenerhebung zweckorientiert (mit dem Ziel der weiter...mehr

Rz. 26 Das Verhältnis der Datenschutzgrundverordnung zu nationalstaatlichen Regelungen über Datenschutz in den EU-Mitgliedstaaten regelt die Datenschutzgrundverordnung ausdrücklich selbst, und zwar in Art. 6 Abs. 2 und 3 VO (EU) 2016/679 ; danach behalten die EU-Mitgliedstaaten ihre Sozialdatenschutzregelungen. In Deutschland bleiben daher die Regelungswerke im SGB I, X und V...mehr

Rz. 30 Die durch das KJSG v. 3.6.2021 (BGBl. I S. 1444) mit Wirkung zum 10.6.2021 eingefügte Regelung entspricht der ebenfalls durch das KJSG eingefügten Regelung in § 64 Abs. 2b und regelt die Befugnis zur Weitergabe und Übermittlung anvertrauter Sozialdaten, soweit dies für die Durchführung bestimmter wissenschaftlicher Vorhaben zur Erforschung möglicher politisch motivier...mehr

Rz. 14 Die durch das KJSG v. 3.6.2021 (BGBl. I S. 1444) mit Wirkung zum 10.6.2021 eingefügte Regelung in Abs. 2b regelt die Befugnis der Jugendhilfeträger, Sozialdaten zu übermitteln und zu nutzen, soweit dies für die Durchführung bestimmter wissenschaftlicher Vorhaben zur Erforschung möglicher politisch motivierter Adoptionsvermittlung in der DDR erforderlich ist (vgl. inso...mehr

Rz. 58 OVG Lüneburg, Beschluss v. 28.11.2023, 11 LC 273/21: Zur Übermittlung von Sozialdaten vom Jugendamt an die Ausländerbehörde; VG München, Urteil v. 22.9.2022, M 10 K 21.30727: Zum Sozialdatengeheimnis der Angaben eines unbegleiteten minderjährigen Flüchtlings zu seinen (§ 42a Abs. 1 Satz 1 SGB VIII) unterfallen dem Sozialgeheimnis; BVerfG, Urteil v. 15.12.1983, 1 BvR 209...mehr

Rz. 51 § 83 SGB VIII regelt ein Auskunftsrecht betroffener Personen nach Art. 15 DSGVO. Ein Auskunftsbegehren ist jedoch nur in den Grenzen der gesetzlichen Vorgaben zulässig. Insoweit begrenzt auch 82a Abs. 1 Nr. 2 SGB X den Anspruch. Die hier geregelte Informationspflicht einer in § 35 SGB I genannten Stelle scheidet jedenfalls dann aus, wenn und soweit die Daten oder die ...mehr

Rz. 19 Der Schutz von Sozialdaten greift nach Satz 1 bei ihrer Verarbeitung. Der Oberbegriff "(Daten-)Verarbeitung" fand erst durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1626) mit Wirkung zum 26.11.2019 Eingang in § 61 Abs. 1 Satz 1. Damit wurde das bis dahin geltende Recht nicht verändert. Es handelte sich ledig...mehr

Rz. 8 Nach § 65 Abs. 1 Satz 1 werden Sozialdaten, die zum Zwecke persönlicher und erzieherischer Hilfe anvertraut worden sind, besonders geschützt (Salgo/Kepert, ZKJ 2020, 333, 338) und dürften nur unter den weiteren Voraussetzungen der Nr. 1 bis 6 weitergegeben oder übermittelt werden. § 65 normiert damit einen besonderen Vertrauensschutz (LG Koblenz, Beschluss v. 15.9.2022...mehr

Rz. 54 Darlegungslast bedeutet im Prozess die Verpflichtung, dass jede Partei sämtliche Tatbestandsmerkmale einer für sie günstigen Rechtsnorm behaupten muss. Hinweis Schlüssig- und Erheblichkeit des Sachvortrags Ein Sachvortrag zur Begründung eines Klaganspruchs ist dann schlüssig und erheblich, wenn der Kläger Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeign...mehr

Rz. 2 § 32i AO ist im Verhältnis zu § 63 FGO die speziellere Norm bei Verfahren vor dem FG nach der DSGVO; im Regelfall ergeben sich aufgrund des auch dort geltenden Behördenprinzips keine abweichenden Rechtsfolgen.[1] Rz. 3 § 367 Abs. 2b S. 6 AO hat rein deklaratorischen Charakter und bestätigt die Regelung des § 63 Abs. 1 Nr. 1 AO in Fällen, in denen der Einspruch durch All...mehr

Rz. 3 Eine fristlose Kündigung nach § 543 Abs. 1 setzt voraus, dass der andere Vertragsteil in solchem Maße seine Verpflichtungen verletzt, dass dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere eines Verschuldens der Vertragsparteien, und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Mietverhältnisses bis zum Ablauf...mehr

Mit der Digitalisierung ergeben sich auch neue Anforderungen an den Datenschutz. Hierbei geht es um die Verarbeitungssysteme und deren Konformität zur Datenschutzgrundverordnung (DSGVO). Außerdem ist zu befürchten, dass die Abmahnrisiken im Bereich des Datenschutzes auch für Vereine steigen werden.mehr

mehr

Rz. 14 Besonderheiten gelten für den Rechtsschutz betreffend Verfahren des Datenschutzes im Steuerverwaltungsverfahren nach der DSGVO, die die örtliche Zuständigkeit entweder nach dem Sitz der Aufsichtsbehörde[1] oder nach dem Sitz des Beklagten[2] zuweist. Für weitere Einzelheiten wird auf die Kommentierung von Myßen [3] verwiesen.mehr

Rz. 10 Der Finanzrechtsweg nach § 33 Abs. 1 Nr. 1 FGO setzt ferner voraus, dass es sich bei der Streitigkeit um eine öffentlich-rechtliche Streitigkeit über Abgabenangelegenheiten handelt. Während das Tatbestandsmerkmal der öffentlich-rechtlichen Streitigkeit die Entscheidungskompetenz zwischen den ordentlichen Gerichten bzw. der Arbeitsgerichtsbarkeit sowie den allgemeinen ...mehr

Rz. 29 Von der Möglichkeit der spezialgesetzlichen Zuweisung zur Finanzgerichtsbarkeit hat der Bundesgesetzgeber Gebrauch gemacht in öffentlich-rechtlichen Streitigkeiten über die Altersvorsorgezulagen im Sinne des XI. Abschnitts des EStG [1], Arbeitnehmersparzulage i. Z. mit vermögenswirksamen Leistungen[2], Bergmannsprämien [3], Datenschutzrechtliche Streitigkeiten i. Z. mit der...mehr

Soweit vor dem Abschlussstichtag begangene Verstöße gegen die EU-Datenschutzgrundverordnung oder andere Rechtsgrundlagen, die Ansprüche Dritter begründen, bei Bilanzaufstellung bekannt sind, sind für die daraus entstehenden Aufwendungen (z. B. zur Berichtigung oder Löschung von Daten) Rückstellungen zu bilden. Ggf. ist darüber hinaus auf Basis von Erfahrungswerten eine Pausc...mehr

Rz. 55 Nach Abs. 4 dürfen personenbezogene Daten verarbeitet werden, soweit dies für die in Abs. 2 genannten Zwecke erforderlich ist. Rz. 56 Die Vorschrift bestimmt, zu welchem Zweck personenbezogene Daten verarbeitet werden können (vgl. auch die Gesetzesmotive: BR-Drs. 368/24 S. 65 = BT-Drs. 20/13183 S. 61). Sind solche personenbezogenen Daten daher insbesondere im Zusammenh...mehr

Rz. 1 Die Vorschrift wurde durch Art. 1 Pflege-Qualitätssicherungsgesetz (PQsG) v. 9.9.2001 (BGBl. I S. 2320) mit Wirkung zum 1.1.2002 eingefügt. Zuletzt wurde durch Art. 132 Nr. 14 des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1705) mit Wirkung zum 26.11.2019 der Wortlaut des Abs. 1 Satz 1 terminologisch an die DSGVO...mehr

Rz. 6 Im Rahmen der Zusammenarbeit kann es auch erforderlich sein, personenbezogene Daten von Leistungsberechtigten zu erheben, zu verarbeiten oder zu nutzen. Zur Sicherung des Sozialdatenschutzes bestimmt deshalb Abs. 4, dass Sozialdaten im Rahmen der Zusammenarbeit nur erhoben, verarbeitet oder genutzt werden dürfen, soweit dies zur Aufgabenerfüllung erforderlich ist oder ...mehr

Rz. 20 Aufzug Der Einbau eines (Außen-)Aufzugs in einem umgewandelten Altbau ist bauliche Veränderung.[35] Auf die Gestattung seines Einbaus kann nach Absatz 2 Satz 1 Nr. 1 ein gesetzlicher Anspruch bestehen. Sie kann dann regelmäßig mit einfacher Mehrheit beschlossen werden und ist in der Regel weder eine grundlegende Umgestaltung der Wohnanlage noch eine unbillige Benachte...mehr

Der reibungslose Transfer von Arbeitnehmerdaten von und in das Vereinigte Königreich wird auch in Zukunft unumgänglich sein. Das Brexit-Abkommen sah zunächst ab dem 1.1.2021 noch einen Übergangszeitraum vor. Danach galt das Vereinigte Königreich für 4 Monate nicht als (unsicheres) Drittland im Sinne der DSGVO. Diese Frist verlängerte sich automatisch um 2 weitere Monate. Nac...mehr