Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Art. 15 DSGVO greift von vornherein nicht im finanzgerichtlichen Verfahren, da die FGO anders als § 2a Abs. 5 AO keinen entsprechenden Verweis auf die DSGVO enthält, was im Einklang mit Art. 23 Abs. 1 Buchst. f DSGVO zum Schutz der Unabhängigkeit der Justiz und zu Schutz von Gerichtsverfahren steht (BFH v. 8.2.2024 – IX B 113/22, BFH/NV 2024, 416; v. 29.8.2019 – X S 6/19, BF...mehr

Im Besteuerungsverfahren gibt es keinen allgemeinen Rechtsanspruch auf Einsichtnahme in die Akten der Finanzverwaltung von Seiten des Steuerpflichtigen. Vielmehr steht die diesbezügliche Einsichtsgewährung im pflichtgemäßen Ermessen der Finanzverwaltung. Auch Art. 15 DSGVO gewährt keinen solchen Akteneinsichtsanspruch, sondern nur Auskunft über die verarbeiteten personenbezo...mehr

Akteneinsicht zwecks Prüfung eines Anfechtungsanspruchs: Begehrt ein Insolvenzverwalter für das Vermögen des Steuerschuldners zwecks Prüfung eines Anfechtungsanspruchs nach §§ 129 ff. InsO gegenüber dem FA Einsicht in die Vollstreckungsakten des FA, so soll es sich um eine zivilrechtliche Streitigkeit handeln, für die der Zivil- und nicht der Finanzgerichtsweg eröffnet ist (...mehr

Allerdings muss nach (bisher) h.M. die Finanzbehörde im Einzelfall und unter Beachtung von § 30 AO, des Rechtsstaatsprinzip (Art. 20 Abs. 3 GG) bzw. des Prozessgrundrecht des Art. 19 Abs. 4 GG nach pflichtgemäßem Ermessen i.S.v. § 5 AO entscheiden, ob Einsicht in die Besteuerungsakten zu gewähren ist (BFH v. 7.5.2024 – IX R 21/22, BFH/NV 2024, 1070 = AO-StB 2024, 234 (Gehm);...mehr

Dr. Matthias Gehm[*] Oftmals stellt sich im Zuge der steuerlichen Beratung die Frage, über welche konkreten Informationen die Finanzverwaltung verfügt, die sie ihrem Handeln zugrunde legt. Letztlich ist dies ein Problem der "Waffengleichheit" zwischen Steuerbürger und Fiskus. Ein zentraler Punkt innerhalb dieser Thematik ist die Frage, ggf. steuerliche Verwertungsverbote aufz...mehr

Auch leitet sich ein solcher Anspruch nicht aus Art. 41 EuGrdRCh her, da sich dieser Anspruch gegen Organe, Einrichtungen und sonstige Stellen der EU, nicht aber deutsche Finanzbehörden richtet (BFH v. 20.9.2024 – IX R 24/23, BFH/NV 2025, 186; v. 7.5.2024 – IX R 21/22, BFH/NV 2024, 1070; Weber, NWB 2025, 832, 835 = AO-StB 2024, 234 (Gehm)). Das FG Niedersachsen hatte demgegen...mehr

Begriff Karriereseiten sind eigenständige oder als Subdomain integrierte Bereiche der Unternehmenswebsite, auf denen sich potenzielle Bewerber über das Unternehmen als Arbeitgeber informieren können. Sie bündeln zentrale Informationen zu offenen Stellen, zur Unternehmenskultur, Benefits, Standorten und zum Bewerbungsprozess. Als Instrument im Employer Branding und Recruiting...mehr

Die Datenschutzerklärung ist verpflichtend, wenn personenbezogene Daten verarbeitet werden, vgl. Art. 13 und 14 DSGVO – was bei Bewerbungsformularen, Tracking-Tools oder Cookies regelmäßig der Fall ist. Sie ist somit auch für Karriereseiten von Relevanz. Die Datenschutzerklärung muss von jeder Unterseite aus mit einem Klick erreichbar und klar gekennzeichnet sein.[1]mehr

Informantenschutz: In der Praxis der Besteuerung bzw. des Steuerstrafverfahrens spielen Hinweise durch Informanten eine große Rolle. Nun stellt sich die Frage, inwiefern die Finanzverwaltung deren Identität zu schützen hat, denn oftmals besteht für diese ein erhebliches Risiko, wenn der Steuerpflichtige sie bei der Akteneinsicht in Erfahrung bringen kann. Ermessen der Behörde...mehr

Rz. 5 Nach Abs. 1 Satz 1 der Vorschrift ist die Berechnungsgrundlage des JAV das Arbeitsentgelt oder Arbeitseinkommen ( §§ 14, 15 SGB IV ; "dynamische Verweisung" auf die im Zeitpunkt des Versicherungsfalles gültige Fassung: BSG, Urteil v. 23.7.2015, B 2 U 9/14 R; BSG, Urteil v. 16.5.2001, B 5 RJ 46/00 R) der Versicherten in den 12 Monaten vor dem Monat des Eintritts des Versi...mehr

Rz. 1 § 15 PStTG regelt Details zum Meldeverfahren, zur Valutierung und zur Zuordnung der Vergütung zu einzelnen Leistungsbestandteilen einer relevanten Tätigkeit im Falle von Leistungsbündeln. So darf die Meldung an das BZSt gem. § 15 Abs. 1 S. 1 PStTG ausschließlich nach amtlich vorgeschriebenem Datensatz elektronisch im Wege der Datenfernübertragung über amtlich bestimmte...mehr

Rz. 7 § 21 Abs. 3 PStTG hat lediglich klarstellende Bedeutung. Hier wird verdeutlicht, dass die Beauftragung eines Dritten nach § 21 Abs. 1 und Abs. 2 PStTG den meldenden Plattformbetreiber nicht von seinen Pflichten nach Abschn. IV befreit. Die Verantwortung zur Erfüllung der Sorgfaltspflichten verbleibt beim delegierenden, meldenden Plattformbetreiber. Der meldende Plattfo...mehr

Rz. 2 § 18 Abs. 1 Satz 1 PStTG verpflichtet den Plattformbetreiber zur Überprüfung der erhobenen Informationen anhand aller ihm rechtmäßig vorliegenden Informationen und Unterlagen, es sei denn, er macht von der Erleichterungsregelung des § 18 Abs. 2 PStTG Gebrauch. Dem Plattformbetreiber können die Informationen beispielsweise bereits aufgrund anderer fachgesetzlicher Vorga...mehr

Aus den Fürsorgepflichten können sich Hinweis- und Informationspflichten des Arbeitgebers ergeben.[1] Das ist eine Besonderheit, denn grundsätzlich hat jede Vertragspartei selbst für die Wahrnehmung ihrer Interessen zu sorgen. Die Annahme wechselseitiger Hinweis- und Informationspflichten weicht hiervon ab und bedarf deshalb einer konkreten Rechtfertigung.[2] Bestehende Inform...mehr

Rz. 16 Abs. 3 zählt detailliert auf, welche Angaben die Mitteilung enthalten muss. Die Aufzählung der mitzuteilenden Daten in Abs. 3 ist abschließend. Die Mitteilung ist nur vollständig, wenn alle Angaben, die Abs. 3 fordert, gemacht worden sind, soweit diese Angaben einschlägig sind. Ist die Mitteilung danach nicht vollständig, kann nach § 379 Abs. 2 Nr. 1e AO eine Ordnungs...mehr

Zusammenfassung Eine neue EU-Unternehmenskategorie soll die Lücke zwischen KMU und Großunternehmen schließen – mit konkreten Entlastungen bei Datenschutz, Berichtspflichten und Kapitalmarktzugang. Wer künftig als Small Mid-Cap gilt, könnte deutlich profitieren. Die EU-Kommission hat 2025 eine Reihe von sogenannten Omnibus-Paketen vorgestellt – Gesetzespakete, die mehrere best...mehr

Rz. 8 Nach der Rspr. des BVerfG bedarf es darüber hinaus eines – amtshilfefesten – Schutzes gegen Zweckentfremdung durch Weitergabe- und Verwertungsverbote. Diese strikte Zweckbindung erreicht § 139b Abs. 5 AO durch die Klarstellung, dass die Verwendung der beim BZSt gespeicherten Daten zu anderen Zwecken ausgeschlossen ist. Damit engt Abs. 5 den Verwendungszweck für die zur...mehr

Rz. 2b Andere öffentliche oder nicht öffentliche Stellen[1] unterliegen nach § 139b Abs. 2 S. 2 AO noch strengeren Restriktionen. Die Befugnisse dieser Stellen erschöpfen sich im Wesentlichen in Handlungen, die zur Vornahme von Datenübermittlungen erforderlich sind. Darüber hinaus sind aber auch diese Stellen zur Erhebung und Verwendung der Identifikationsnummer befugt, wenn...mehr

Rz. 1 § 139b AO befasst sich mit dem Identifikationsmerkmal für natürliche Personen, der Identifikationsnummer.[1] Obgleich die Zuteilung durch das BZSt nun schon einige Zeit zurückliegt und bisher wenig Beachtung erfahren hat, ist sie gerade in der jüngeren Vergangenheit in den Mittelpunkt des politischen Interesses gerückt. Zwei Kernpfeiler der Digitalisierung der Verwaltu...mehr

Rz. 49 § 200 Abs. 2 S. 2 AO soll sicherstellen, dass die Prüfer ihre Tätigkeit unter Verwendung gesicherter Laptops ortsunabhängig durchführen können.[1] Um die Auswertung der darauf gespeicherten Daten auch außerhalb der Geschäftsräume des Stpfl. bzw. außerhalb der Räume der Finanzbehörde zu ermöglichen, wird fingiert, dass beim Einsatz mobiler Endgeräte die ortsunabhängige...mehr

Rz. 19 Die Zuteilung der Identifikationsnummer stellt nicht das Ergebnis einer inhaltlichen Prüfung seitens der Finanzbehörde dar, sodass – anders als die Erteilung der Wirtschafts-Identifikationsnummer nach § 139c AO [1] – dies schlichtes Verwaltungshandeln darstellt und daher nicht die Merkmale des § 118 AO erfüllt. Anders liegt der Fall aber bei der Ablehnung der Erteilung ...mehr

Rz. 11 § 139b Abs. 6 AO gewährleistete die erstmalige Erfassung aller stpfl. natürlichen Personen zum Zwecke der Erteilung der Identifikationsnummer. Nach §§ 18, 19 und 34 Bundesmeldegesetz (BMG) beziehen die Meldebehörden die Ansässigkeitsdaten von den Standes- und den Ausländerämtern, bzw. durch Mitteilung und/oder Abruf vom Meldeamt des Wegzugs. Auf diesem Weg kann eine l...mehr

Medizinische Daten haben einen hohen Schutzbedarf. Die von der gematik konzipierten Anwendungen der TI werden mit dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI) und dem BSI abgestimmt. Das BSI zertifiziert wichtige Komponenten der TI, nachdem die einzelnen Komponenten von anerkannten Prüfstellen evaluiert worden sind. Grundlage der Datensicherh...mehr

Die TI ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiterer Akteure des Gesundheitswesens sowie der Rehabilitation und der Pflege dient (Datenautobahn des Gesundheitswesens). Ihre Gesamtarchitektur ist technikneutral vorgegeben, indem die einzelne...mehr

Rz. 1 § 27a UStG wurde mit einer ganzen Reihe anderer Vorschriften durch das Umsatzsteuer-Binnenmarktgesetz [1] mWv 1.1.1993 zur Umsetzung der Regelungen des Europäischen Binnenmarkts in das deutsche UStG eingefügt. Die Regelung beruht auf dem ursprünglichen Gesetzentwurf der Bundesregierung[2] und wurde unverändert aus diesem Entwurf in das UStG übernommen. Die nachfolgenden...mehr

Rz. 1 Sinn und Zweck der Mitteilungspflicht nach § 93a AO ist es, die steuerliche Erfassung von Zahlungen im nicht unternehmerischen Bereich sicherzustellen, da diese – insbesondere aufgrund fehlender Kontrollmöglichkeiten im Rahmen von Außenprüfungen, die auf den gewerblichen und freiberuflichen Bereich beschränkt sind – nicht in dem Maße gewährleistet ist, wie dies im unte...mehr

Leitsatz Ein laufendes Strafverfahren kann Zweifel an der charakterlichen Eignung des Bewerbers hegen. Diese Zweifel sind ein legitimer Ausschlussgrund im Rahmen des Grundsatzes der Bestenauslese nach Art. 33 Abs. 2 GG. Datenschutzrechtliche Unregelmäßigkeiten bei der Informationsbeschaffung könnten zwar einen eigenständigen Verstoß darstellen, sind jedoch nicht ursächlich für die Nichteinstellung und begründen daher keinen materiellen Schadensersatz. Sachverhalt Der Kläger, ein Volljurist, ist s...mehr

Bereits mit Aufnahme mündlicher oder schriftlicher Vorverhandlungen zwischen Arbeitgeber und künftigem Arbeitnehmer über einen Arbeitsvertrag entstehen für beide Seiten bestimmte vorvertragliche Pflichten.[1] Dabei spielt es keine Rolle, ob ein Arbeitsvertrag später zustande kommt oder nicht. Aus diesem vorvertraglichen Schuldverhältnis der "culpa in contrahendo"[2] resultie...mehr

Eine Einstellungsuntersuchung kann nur mit Einwilligung des Bewerbers durchgeführt werden. Es hat das Persönlichkeitsrecht zu wahren und muss durch berechtigte Interessen des Arbeitgebers gedeckt sein, insbesondere einen Bezug zum Arbeitsplatz und dessen Anforderungen aufweisen. Die Untersuchung ist ausschließlich von einem Arzt durchzuführen, dieser unterliegt der Schweigep...mehr

Mit Pre-Employment-Screening werden sämtliche Aktivitäten des Arbeitgebers im Vorfeld einer Einstellung beschrieben, die auf die Überprüfung der Identität, der Vita und des Umfelds eines Bewerbers abzielen. Dazu gehören neben Auskunftsersuchen beim bisherigen Arbeitgeber insbesondere Recherchen in sozialen Medien und in (Online-)Datenbanken (Wikipedia, XING, LinkedIn etc.). ...mehr

In einem sog. Personalfragebogen kann der Arbeitgeber alle Fragen auflisten, die dem Bewerber zulässigerweise gestellt werden dürfen. Da die Zulässigkeit oft von der Art der vorgesehenen Tätigkeit abhängt, darf nicht ein Fragebogen unverändert für alle Einstellungen verwendet werden. Personalfragebögen bedürfen in Betrieben mit Betriebsrat der Zustimmung des Betriebsrats.[1]...mehr

Infographic Das Fragerecht und seine Grenzen ergeben sich aus der Abwägung der Arbeitgeberinteressen an möglichst umfassender Information über den Bewerber und dem verfassungsrechtlich geschützten Persönlichkeitsrecht des Bewerbers.[1] Das Fragerecht und die damit verbundene Abwägung hat auch die datenschutzrechtlichen Schranken zu berücksichtigen, die sich aus Art. 6 Abs. 1f...mehr

Den Arbeitgeber treffen insbesondere Aufklärungspflichten.[1] Er hat die Pflicht, den künftigen Arbeitnehmer über die Anforderungen zu unterrichten, die der in Aussicht genommene Arbeitsplatz an den Arbeitnehmer stellt, wenn überdurchschnittliche Anforderungen gestellt werden oder besondere gesundheitliche Belastungen zu erwarten sind. Soweit der zukünftige Bestand des mit de...mehr

Auch Testverfahren müssen durch ein berechtigtes Interesse des Arbeitgebers legitimiert sein und bedürfen der Einwilligung des Bewerbers. Dies gilt für Assessment-Center und psychologische Tests. Sofern man die aufgrund psychologischer Begutachtungen gewonnenen Daten für besonders sensibel i. S. v. Art. 9 Abs. 1 DSGVO hält, gelten diesbezüglich die Anforderungen an die Daten...mehr

Rz. 79 [Autor/Zitation] Die durch die CSRD eingeführten Änderungen werden Unternehmen in der Zukunft vor große Herausforderungen stellen (so auch Kirsch, DStZ 2023, 762, 772). Dies gilt nicht nur für Unternehmen, die das erste Mal verpflichtet sind, eine nichtfinanzielle Erklärung zu veröffentlichen, sondern auch für Unternehmen, die bereits jetzt in den Anwendungsbereich der...mehr

Leitsatz Ein im gerichtlichen Verfahren gestellter Auskunftsanspruch nach Art. 15 der Datenschutz-Grund­verordnung (DSGVO) richtet sich nicht gegen den zur Entscheidung über den Rechtsstreit berufenen Spruchkörper, sondern gegen die Behördenleitung als Datenverantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Normenkette Art. 4 Nr. 7, Art. 15 DSGVO Sachverhalt In der Hauptsache geht es um einen Auskunftsanspruch nach Art. 15 DSGVO gegen eine Finanzbehörde. Im Rahmen dieses Klageverfahrens beantragte d...mehr

Rz. 1 Das Berufskrankheitenrecht ist deutlich jünger als die gesetzliche Unfallversicherung, die ursprünglich nur für Arbeitsunfälle in Industriebetrieben konzipiert war (Unfallversicherungsgesetz v. 6.7.1884, RGBl. 1884 S. 69, in Kraft getreten am 1.10.1885). Von einem Unfall konnte und kann begrifflich aber nur die Rede sein, wenn die schädigenden Einwirkungen auf eine Ar...mehr

Eine permanente unzulässige Überwachung nahezu der gesamten Betriebsräume und des Arbeitsplatzes über einen Zeitraum von 22 Monaten trotz Widerspruchs des betroffenen Arbeitnehmers stellt eine schwere Verletzung des Persönlichkeitsrechts dar und rechtfertigt die Zuerkennung einer Geldentschädigung in Höhe von 15.000 EUR. (amtlicher Leitsatz) Die Parteien streiten über...mehr

Datenverknüpfung: Aufgrund des vereinfachten Zugriffs auf elektronische Daten bestehen für die Finanzverwaltung leistungsfähige Kontrollmöglichkeiten. Um das Besteuerungsverfahren und dabei vor allem den Einsatz der elektronischen Risikomanagementsysteme zu effektivieren und Datenabgleiche vorzunehmen, können die Informationsbestände für eine Vielzahl von Zwecken genutzt ode...mehr

Arbeitnehmer können einen Schadensersatzanspruch aufgrund einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen.mehr

Zusammenfassung Arbeitnehmer können einen Schadensersatzanspruch aufgrund einer Verletzung der Datenschutz-Grundverordnung (DSGVO) haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung "Workday" zu testen. Hintergrund Die DSGVO ist eine EU-weite Regelung, die den ...mehr

Die DSGVO ist eine EU-weite Regelung, die den Schutz personenbezogener Daten sicherstellt und klare Vorgaben zur Erhebung, Verarbeitung und Speicherung dieser Daten macht. Arbeitgeber müssen diese Vorgaben auch im Hinblick auf ihre Mitarbeiterdaten beachten, wie ein aktueller Fall des Bundesarbeitsgerichts (BAG) zeigt. Ein Arbeitgeber plante den Einsatz einer neuen Software f...mehr

Informationsaustausch: § 88c AO regelt den Austausch von Informationen, die potentiell bestimmte Steuergestaltungen, die die Erlangung eines Steuervorteils aus der Erhebung oder Entlastung von Kapitalertragsteuer mit erheblicher Bedeutung zum Gegenstand haben, zwischen den Finanzbehörden der Länder und dem Bundeszentralamt für Steuern (BZSt). Inhalt und Struktur des § 88c AO...mehr

Vor dem BAG bekam er teilweise recht: Er erhält 200 EUR, weil er durch die unzulässige Datenweitergabe die Kontrolle über seine persönlichen Informationen verloren hat. Das Urteil zeigt: Arbeitgeber müssen beim Umgang mit Mitarbeiterdaten genau prüfen, was erlaubt ist – und was nicht.mehr

Rechtsquellenpuzzle: Die Rechtsgrundlagen des steuerlichen Datenschutzes auf nationaler Ebene ergeben sich nunmehr aus der DSGVO und der AO (§ 2a Abs. 3 AO). Dem Bundesdatenschutzgesetz kommt entsprechend § 2a Abs. 1 S. 2 AO nur eine ganz untergeordnete Rolle zu. Im Ergebnis gilt für die Steuerpflichtigen bezüglich der Verwaltung von bundesgesetzlich geregelten Steuern ein e...mehr

Im Folgenden wird aufgezeigt, wie die effiziente, sichere und datenschutzkonforme Verarbeitung von Arbeitsinhalten im Homeoffice sichergestellt werden kann. Dabei stehen 2Themenfelder im Mittelpunkt. Auf der Ebene des Datenschutzes geht es um die sichere und datenschutzkonforme Verarbeitung und Nutzung von (personenbezogenen) Daten außerhalb der Räumlichkeiten des Unternehmen...mehr

Bundesamt für Sicherheit in der Informationstechnik: "IT-Grundschutz-Kompendium". Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: "Telearbeit und Mobiles Arbeiten" (Flyer), Juli 2020. Helfrich, Marcus. Datenschutzrecht: "Datenschutz-Grundverordnung, JI-Richtlinie, Bundesdatenschutzgesetz, Informationsfreiheitsgesetz, Grundrechtecharta, Grundgesetz ...",...mehr

Unternehmen sollten klare Datenschutzrichtlinien für das Homeoffice entwickeln und sicherstellen, dass alle Mitarbeitenden diese verstehen und befolgen. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen tragen dazu bei, das Bewusstsein für Datenschutzrisiken zu schärfen. Auch ohne eigene Serverinfrastruktur müssen Ihre Angestellten zu Hause darauf achten, dass Familienmit...mehr

Überblick Die fortschreitende Digitalisierung hat die Arbeitswelt revolutioniert und das Homeoffice zu einer gängigen Arbeitsform gemacht. Doch mit diesem Wandel gehen neue Herausforderungen in Bezug auf Cybersicherheit und Datenschutz einher. Durch eine enge Zusammenarbeit der Unternehmensleitung und den Mitarbeitenden können auch außerhalb des gewohnten Arbeitsumfelds hohe...mehr

Überblick Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch relevante Rech...mehr