Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

In der Praxis wird ein (künftiger) Unternehmer regelmäßig zuerst zu seinem Steuerberater gehen, um dessen betriebswirtschaftliches Know-how in Anspruch zu nehmen und um für sich möglichst günstige steuerliche Gestaltungsmöglichkeiten zu erfragen. Die Erwartungshaltung des Mandanten an seinen Steuerberater, der dann i. d. R. auch nach einem Kauf des Unternehmens die weitere st...mehr

Der Mandanten- bzw. Patientenstamm ist für den Käufer einer Freiberuflerkanzlei/-praxis besonders wichtig, wie der Steuerberater regelmäßig aus eigener Erfahrung weiß.[1] Die Zahl der niedergelassenen Anwälte sinkt schon seit Jahren. Die Anzahl der Steuerberater nimmt auch leicht ab. Zudem steht in den nächsten Jahren ein Generationenwechsel an. Berufsträger bevorzugen u. U. ...mehr

Rz. 44 Nach § 20 Abs. 7 ErbStG ist die Haftung nach § 20 Abs. 6 ErbStG nicht geltend zu machen, wenn der ins Ausland ausgezahlte oder einem im Ausland wohnhaften Berechtigten zur Verfügung gestellte Betrag 5.000,00 EUR (vormals 600,00 EUR) nicht übersteigt. Hierbei handelt es sich um eine Freigrenze, die für jeden Steuerfall einzeln gilt (s. Esskandari/Winter in Lippross/Sei...mehr

Werbung mittels Telefon und E-Mail ist nur zulässig, wenn eine vorherige Einwilligung des Adressaten vorliegt.[1] Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich" sind, "sofern nicht die Interessen oder Grundrechte und Grundfreiheiten ...mehr

Es ist zulässig, dass sich Lohnsteuerhilfevereine im Internet präsentieren.[1] Neben der eigenen Homepage gewinnen soziale ­Netzwerke [2] zunehmend an Bedeutung. In ihnen präsentieren sich häufig auch die Mitarbeiter von Lohnsteuerhilfevereinen. Diese übernehmen eine (wettbewerbs)rechtliche Verantwortung, wenn sie z. B. auf ihrer Facebook-Seite, auf X (vormals Twitter) oder au...mehr

Im Fall einer unvollständigen oder verspäteten Auskunft macht der Bewerber sodann einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO geltend. Danach hat "jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter". U...mehr

Was nun folgt, unterscheidet sich vom "AGG-Hopping" und sollte den Arbeitgeber bereits aufmerksam werden lassen: Der Bewerber begehrt nach Art. 15 DSGVO Auskunft darüber, ob und welche Daten zu seiner Person beim Unternehmen verarbeitet werden. Schließlich handelt es sich bei den im Rahmen des Bewerbungsprozesses erlangten Daten um personenbezogene Daten, die dem Schutz der ...mehr

Am leichtesten entgeht man als Arbeitgeber einer Schadensersatzforderung, indem man möglichst rasch der Anfrage nachkommt und die Auskunft nach Art. 15 DSGVO erteilt. Hierbei ist wichtig, dass die Auskunft "unverzüglich" zu erfolgen hat.[1] Achtung 1-Monatsfrist aus Art. 12 Abs. 3 DSGVO Die 1-Monatsfrist darf gerade nicht routinemäßig, sondern nur in schwierigen Fällen ausgesc...mehr

Gemäß Art. 12 Abs. 3 DSGVO muss die Auskunft über die etwaige Datenverarbeitung "unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags" zur Verfügung gestellt werden. Das Unternehmen muss nach vorheriger interner Prüfung also entweder die Auskunft erteilen, dass überhaupt keine personenbezogenen Daten verarbeitet werden (sog. Negativauskunft) oder – so...mehr

Sofern die Frist des Art. 12 Abs. 3 DSGVO überschritten oder die Auskunft anderweitig nicht ordnungsgemäß erteilt wurde, sollte der Bewerber aufgefordert werden, genau vorzutragen, worin der geltend gemachte Schaden liegt. Denn nicht jeder Verstoß gegen die ordnungsgemäße Auskunftserteilung begründet automatisch einen Anspruch auf Schadensersatz. Dies hat auch der EuGH so en...mehr

Überblick "Hopper" waren im Arbeitsrecht bislang nur im Bereich der Gleichbehandlung ein Thema. "AGG-Hopper" meint Personen, die sich ohne ernstliche Absichten auf Arbeitsstellen bewerben, um wegen vermuteter Diskriminierung durch den Arbeitgeber später Entschädigung nach § 15 AGG verlangen zu können. Einen solchen "AGG-Hopper" zu erkennen, richtig zu reagieren und sogar im ...mehr

Sofern Arbeitgeber eine Anfrage gemäß Art. 15 DSGVO erreicht, sind mehrere Aspekte zu berücksichtigen. Praxis-Tipp Vermeiden von Schadensersatzansprüchen Unternehmen ist zu raten, eine funktionierende Organisationsstruktur mit gut dokumentierten Abläufen zu schaffen, um etwaigen Schadensersatzansprüchen von vornherein entgegentreten zu können. Sodann können Auskünfte in der Re...mehr

Die Auskunftserteilung sollte sorgfältig und umfassend unter Berücksichtigung der Auflistung in Art. 15 Abs. 1 Halbsatz 2 DSGVO erfolgen. Auch unvollständige Angaben können einen Schadensersatzanspruch auslösen. Hinweis Inhalt des Auskunftsausspruchs Gemäß Art. 15 hat die auskunftsverlangende Person ein Recht auf Auskunft über die folgenden personenbezogenen Daten und Informat...mehr

Wie beim "AGG-Hopping" auch, steht zu Beginn eine Stellenausschreibung des Unternehmens sowie die Bewerbung einer Person auf diese Stelle. Zu diesem Zweck reicht der Bewerber seine Bewerbungsunterlagen ein. Im weiteren Verlauf erhält der Bewerber, wie von vornherein von ihm beabsichtigt, eine Absage.mehr

Der übliche Ablauf von Bewerbungen "Hopper" lässt sich in 4 Schritte aufteilen: 1.1 Die Bewerbung Wie beim "AGG-Hopping" auch, steht zu Beginn eine Stellenausschreibung des Unternehmens sowie die Bewerbung einer Person auf diese Stelle. Zu diesem Zweck reicht der Bewerber seine Bewerbungsunterlagen ein. Im weiteren Verlauf erhält der Bewerber, wie von vornherein von ihm beabsi...mehr

Weiterhin empfiehlt es sich, für die datenschutzrechtlichen Auskunftsansprüche eine Organisations- und Dokumentationsstruktur mit festen Abläufen zu implementieren. Auf diese Weise ist es möglich, den konkreten Ablauf der Bearbeitungsvorgänge festzuhalten und im Streitfall nachzuweisen. Es sollte im Einzelnen dokumentiert werden, welche Schritte das Unternehmen zu welchem Ze...mehr

Zusammenfassung Überblick "Hopper" waren im Arbeitsrecht bislang nur im Bereich der Gleichbehandlung ein Thema. "AGG-Hopper" meint Personen, die sich ohne ernstliche Absichten auf Arbeitsstellen bewerben, um wegen vermuteter Diskriminierung durch den Arbeitgeber später Entschädigung nach § 15 AGG verlangen zu können. Einen solchen "AGG-Hopper" zu erkennen, richtig zu reagiere...mehr

Es stellt sich die Frage, ob Arbeitgeber einer Schadensersatzforderung durch den Nachweis entgehen können, dass es dem Bewerber von vornherein nur darum ging, einen solchen Anspruch zu erlangen. Im Rahmen des "AGG-Hoppings" ist den Bewerbern der Schadensersatzanspruch aus § 15 AGG verwehrt, sofern die Person sich nicht beworben hat, um die ausgeschriebene Stelle zu erhalten, ...mehr

Rz. 1 Die Norm in ihrer Ausgangsfassung wurde durch das Gesetz zur Bekämpfung des Missbrauchs und zur Bereinigung des Steuerrechts[1] in die AO eingefügt. Zur Anpassung an die Terminologie des Art. 4 Nr. 2 DSGVO [2] wurde die Norm sprachlich modifiziert[3], ohne dass damit eine Änderung des Regelungsinhalts verbunden sein sollte.[4] Allerdings führt die Umstellung des Norminh...mehr

Rz. 22 Die von der Datensammlung in ihrem Recht auf informationelle Selbstbestimmung betroffene Person hat grds. einen Informationsanspruch gegen die die Daten sammelnde Stelle.[1] Seit dem Inkrafttreten der DSGVO sind die dort geregelten Informationsansprüche betroffener Personen für das steuerliche Verfahrensrecht maßgeblich. Mit der Einführung der Art. 12ff. DSGVO, hier i...mehr

Rz. 8 Geregelt wird die Verarbeitung in Dateisystemen. Der Begriff der Dateisysteme umfasst jede strukturierte Sammlung geschützter Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird.[1] Dateisysteme können sowohl als Papierakten, als auch als elektr...mehr

Rz. 2 Der Pflicht zur Geheimhaltung unterliegen die Beschäftigten der Integrations- bzw. Inklusionsämter und der Bundesagentur für Arbeit, diese Behörden sind in erster Linie mit der Durchführung der Aufgaben nach dem Teil 3 SGB IX befasst. Rz. 3 Über die in § 52 des Schwerbehindertengesetzes getroffene Vorgängerregelung hinaus sind ausdrücklich auch die Beschäftigten der Reh...mehr

Der ZVL führt Zertifizierungen nach DIN 77700 weitgehend elektronisch durch. Das Online-Zertifizierungssystem ermöglicht eine effiziente Verwaltung der Zertifizierungsanträge, einschließlich der Prüfung der Fragebögen und der Dokumentation. Die Nutzung elektronischer Medien trägt zur Vereinfachung und Beschleunigung des Zertifizierungsprozesses bei. Der ZVL trägt die Vereinsd...mehr

Bei dienstlichen Internet- und E-Mail-Anschlüssen handelt es sich um Betriebsmittel des Arbeitgebers, die ohne dessen Erlaubnis nicht privat genutzt werden dürfen. Ein Anspruch auf Privatnutzung folgt auch nicht aus Art. 9 Abs. 3 GG, wenn der Arbeitnehmer den Account für Zwecke des Arbeitskampfes nutzen will.[1] Die private Internet- und E-Mail-Nutzung am Arbeitsplatz stellt ...mehr

Das Einspruchsverfahren wird als "verlängertes Festsetzungsverfahren" vom Untersuchungsgrundsatz beherrscht[1], d. h., das Finanzamt ist an das Vorbringen und die Beweisanträge des Einspruchsführers nicht gebunden. Dessen Antrag und Begründung begrenzen die Befugnisse und Pflichten der Behörde nicht. Dabei sind auch die für ihn günstigen Umstände zu berücksichtigen. Eine Bin...mehr

Überblick Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreic...mehr

Die DSGVO, konkretisiert durch das BDSG, gilt gemäß Art. 2 Abs. 1 DSGVO für die Verarbeitung von Daten, soweit Daten ganz oder teilweise automatisiert verarbeitet werden. Sofern die Daten nicht automatisiert verarbeitet werden, aber in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten die Vorschriften der DSGVO und des BDSG ebenfalls. Für die Praxis g...mehr

Vor der Inbetriebnahme eines digitalisierten Personalaktensystems sollte eine Risikoanalyse durchgeführt werden, um Risiken für die Rechte und Freiheiten der Beschäftigten zu identifizieren. Im Rahmen dieser Risikoanalyse muss zunächst der geplante Verarbeitungsvorgang zusammengefasst und beschrieben werden. Anschließend wird evaluiert, welche spezifischen Risiken mit der en...mehr

Dem Verantwortlichen werden durch die DSGVO zahlreiche Informationspflichten auferlegt. Die Erfüllung dieser Informationspflichten wird insbesondere dann relevant, wenn die Personalakte digital geführt werden soll. Hier ist der Beschäftigte z. B. über etwaig eingesetzte Drittanbieter oder den Transfer personenbezogener Daten in Drittstaaten zu informieren. Häufig erfolgt die...mehr

Den Beschäftigten stehen im Rahmen der DSGVO zahlreiche Betroffenenrechte zu. Hierzu zählen z. B. das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Gerade im Rahmen der Einführung einer digitalen Personalakte müssen diese Betroffenenrechte berücksichtigt werden und es muss sichergestellt sein, dass die...mehr

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen: So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von...mehr

Die Vertraulichkeit einer Akte ist gewährleistet, wenn die Zugriffsmöglichkeiten so gering wie möglich gehalten werden und der Nutzerkreis nach genauen Regeln definiert ist. Außerhalb dieses Nutzerkreises ist jeder weiteren Person der Zugriff zu verweigern bzw. sicherzustellen, dass ein Zugriff nicht erfolgen kann. Die berechtigten Nutzer haben die erhaltenen Informationen n...mehr

Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttre...mehr

Gemäß Art. 30 Art. 1 DSGVO sind Verantwortliche dazu verpflichtet, alle Verarbeitungstätigkeiten in ihrem Zuständigkeitsbereich übersichtlich und kompakt in einem Verarbeitungsverzeichnis festzuhalten. Im Verarbeitungsverzeichnis sollte auch der Einsatz der digitalen Personalakte dokumentiert sein. Insbesondere sollte festgehalten werden, zu welchem Zweck der Einsatz der dig...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Um Gesundheitsdaten von Beschäftigten und damit personenbezogene Daten besonderer Kategorien rechtswirksam verarbeiten zu können, bedarf es für den Arbeitgeber einer passenden Rechtsgrundlage. Denn die DSGVO stellt die Verarbeitung von Gesundheitsdaten unter ein Verbot mit Erlaubnisvorbehalt. Das heißt, die Verarbeitung von personenbezogenen Daten besonderer Kategorien ist g...mehr

Wie lässt sich Künstliche Intelligenz sinnvoll in der Immobilienverwaltung nutzen, ohne gegen Datenschutzvorgaben zu verstoßen? Rechtliche Grundlagen, Risiken und praxisnahe Tipps für einen sicheren KI-Einsatz. Die Immobilienverwaltung wird mit Künstlicher Intelligenz schneller, datengetriebener und automatisierter. Dabei stehen Effizienzgewinne gegen sensible personenbezogen...mehr

Hinsichtlich einer Speicherung von auf Grundlage des § 20a IfSG erhobenen Gesundheitsdaten von Beschäftigten ist zu beachten, dass nicht der Impfnachweis selbst gespeichert werden darf, sondern lediglich die Information, dass ein gültiger Nachweis erbracht wurde und ggf. das Ablauf-/ Enddatum dieses Nachweises. Das Kopieren, Einscannen oder Aufbewahren des Nachweises ist unz...mehr

Für Mitarbeiter von bestimmten Einrichtungen und Unternehmen des Gesundheitssektors, z. B. Krankenhäuser, Arztpraxen, Alten- und Pflegeheime besteht nach § 20a IfSG eine einrichtungsbezogene Impfpflicht. Das bedeutet, dass diese Personen entweder genesen oder geimpft sein müssen, zumindest solange keine medizinische Kontraindikation hinsichtlich einer Impfung vorliegt. Die B...mehr

Der Arbeitgeber muss die erhobenen Daten nach Art. 17 Abs. 1 Buchst. a DSGVO grundsätzlich dann löschen, wenn der Zweck für die Verarbeitung entfallen ist. Ungeachtet eines etwaigen Zweckentfalls sind die Daten spätestens dann zu löschen, wenn die entsprechende Rechtsgrundlage entfällt. Arbeitgeber müssen die zur Erfüllung des § 20a IfSG erhobenen Gesundheitsdaten ihrer Besc...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Aufgabe des Betriebsarztes ist die Förderung von Gesundheit und Arbeitssicherheit im Unternehmen. Dabei schützt er die Gesundheit der Arbeitnehmer, seine Tätigkeit dient aber gleichzeitig auch den Interessen des Arbeitgebers. Angesichts der Notwendigkeit der Durchführung bestimmter betriebsärztlichen Untersuchungen und Vorsorgen kann hinsichtlich der Legitimation auf Art. 9 ...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Überblick Durch moderne Medien wie Internet, E-Mail und Telefon sind heute so viele Daten über die eigene Person im Umlauf, dass sie kaum noch zu kontrollieren sind. Arbeitgeber tragen hier insbesondere Verantwortung für den Umgang mit den Daten ihrer eigenen Mitarbeiter. Ist erst der Eindruck entstanden, dass die Daten nicht vor Zugriffen Unberechtigter geschützt sind, ents...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Am 31.5.2023 hat der Bundestag mit Zustimmung des Bundesrats das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz – HinSchG) verabschiedet. Das Gesetz ist am 2.7.2023 in Kraft getreten. Ziel des Gesetzes ist eine Erweiterung des Schutzes vo...mehr