Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Sofern eine Rechtspflicht zur Datenverarbeitung im Rahmen der Überwachungsmaßnahme besteht, ist auch diese Rechtsgrundlage denkbar. Arbeitgeber werden immer konkreter dazu verpflichtet, IT-Sicherheitsmaßnahmen zu treffen, z. B. unter der NIS2-Richtlinie. Da die Rechtspflicht konkret auf die Datenverarbeitung bezogen sein muss (z. B. im Steuerrecht, wo gewissen Daten aufbewah...mehr

Beschäftigte haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Dieses Mittel wird bekanntlich gerne und häufig verwendet als "Gegenschlag" zu Überwachungsmaßnahmen, z. B. im Rahmen von internen Ermittlungen. Arbeitgeber sollten diesen Aspekt stets bei der Implementierung von Überwachungsmaßnahmen auf dem R...mehr

Bei der Überwachung von Beschäftigen ist der Daten- und Privatsphärenschutz von zentraler Bedeutung. Dieser gilt auch im beruflichen Umfeld und am Arbeitsplatz. Kaum eine Überwachungsmaßnahme wird ohne einen Bezug zu einem konkreten Beschäftigten auskommen. Aufgrund des Prinzipien-Charakters dieser Gesetze haben sich Arbeitgeber daher entlang der datenschutzrechtlichen Kernp...mehr

Bei der Nutzung des betrieblichen E-Mail-Postfachs, des Telefons oder des Internets ausschließlich zu betrieblichen Zwecken richtet sich die Erhebung, Verarbeitung und Nutzung von anfallenden personenbezogenen Daten nach der DSGVO und dem BDSG. Die Verarbeitung personenbezogener Daten erfordert, wie eingangs beschrieben, stets eine Rechtsgrundlage, also einer Einwilligung ode...mehr

Ein weiterer Fall aus der Praxis ist die Überwachung des Standorts der Beschäftigten mittels technischer Einrichtungen wie GPS-Systemen oder RFID-Chips. Diese kommt unter anderem im Rahmen des Gebrauchs von Dienstfahrzeugen sowie zunehmend auch der Nutzung von mobilen Endgeräten oder der Verwendung von Mitarbeiterkarten (bspw. Zugangskarten) zum Einsatz. Grundsätzlich stellt ...mehr

Der Verantwortliche muss geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß den Art. 13 und 14 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.[1] Die Informationen müssen zum Zeitpunkt der Erhebung mitgeteilt werden, sofern...mehr

Die erhobenen Daten müssen korrekt und auf dem aktuellen Stand sein.[1] Zudem dürfen sie nur so lange gespeichert werden, wie dies für den verfolgten Zweck notwendig ist.[2] Der Verantwortliche ist zudem verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig s...mehr

Eine Datenschutzfolgeabschätzung ("DSFA")[1] ist dann durchzuführen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Überwachungsmaßnahmen, die umfassend oder kontinuierlich erfolgen und tief in die Privatsphäre der Beschäftigten eingreifen, ist eine DSFA regelmäßig erforderlich. Arbeitgeber sollten diese vor Begin...mehr

Die Überwachung des Inhalts von Privatgesprächen ist unzulässig. Das Mithören oder Aufzeichnen durch Dritte nur mit ausdrücklicher oder konkludenter Einwilligung der beteiligten Gesprächspartner zulässig. Die Überwachung des Inhalts von privaten E-Mails richtet sich ebenfalls wieder nach den Grundsätzen und Prinzipien des § 26 BDSG beziehungsweise den allgemeinen Rechtsgrundl...mehr

Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, so auch bei Maßnahmen zur Überwachung.[1]mehr

Die Abgrenzung zwischen einer Werkleistung und einer Werklieferung ist auch im Hinblick auf den Ort der Leistung bzw. der Lieferung vorzunehmen. Beide Umsatzformen unterscheiden sich nämlich bezüglich der Bestimmung des Liefer- bzw. Leistungsorts. Zeitpunkt und Ort der Werklieferung bestimmen sich nach den für die Lieferung gültigen Regeln (§ 3 Abs. 5a, Abs. 6 bis 8 UStG). Fü...mehr

Jede Datenverarbeitung muss rechtmäßig sein[1] – es gilt das Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass die Überwachung der Mitarbeiter als Datenverarbeitung im Grundsatz verboten ist, es sei denn sie ist ausdrücklich erlaubt. Die Verarbeitung personenbezogener Daten erfordert daher stets eine explizite Rechtsgrundlage. Folgende Rechtsgrundlagen sind im R...mehr

Personenbezogene Daten dürfen nur zu vorher klar definierten Zwecken verarbeitet werden.[1] Der Arbeitgeber muss demnach im Vorhinein klar und eindeutig festlegen, zu welchem Zweck die Überwachung erfolgt. Werden z. B. personenbezogene Daten für Zugriffszwecke verarbeitet, wäre die Nutzung derselben Daten für eine Leistungskontrolle nicht mehr vom Ursprungszweck abgedeckt. Z...mehr

Die Nutzung von Videokameras in einem nicht-öffentlichen Bereich, die nicht den Zweck der Mitarbeiterüberwachung verfolgt, etwa der Einsatz zur Aufsicht von Produktionsabläufen oder Sicherung von Zugängen zu sensiblen Bereichen, kann gerechtfertigt sein.[1] Der Aufnahmebereich ist jedoch auf den sicherheitsrelevanten Bereich einzugrenzen und die Erfassung von Mitarbeitern is...mehr

Die Überwachungsmaßnahme hat sich am Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit zu orientieren.[1] Danach dürfen nur solche Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Eine umfassende Überwachung der Mitarbeiter, die unverhältnismäßig oder exzessiv ist, verstößt gegen den Grundsatz der Datenminimierung.mehr

Der Einsatz von Videoüberwachungssystemen am Arbeitsplatz stellt einen erheblichen Eingriff in die informationelle Selbstbestimmung der Beschäftigten dar, da sie umfangreiche Informationen über ihr Verhalten erfasst und kann regelmäßig über die zur Erfüllung des Verarbeitungszwecks erforderliche Datenverarbeitung hinausgehen. Die Videoüberwachung von Arbeitsplätzen ist folgl...mehr

Beschäftigtenüberwachung bezeichnet die systematische Erfassung, Analyse und Kontrolle von Aktivitäten, Verhalten und Kommunikation von Arbeitnehmern am Arbeitsplatz durch den Arbeitgeber selbst oder eine technische Einrichtung des Arbeitgebers.[1] Ziel der Überwachung ist in der Regel, die Produktivität zu steigern, Sicherheitsrisiken zu minimieren und die Einhaltung rechtli...mehr

Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH[1] nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die dat...mehr

Rz. 32 Im Steuerstrafverfahren kann eine Postbeschlagnahme [1] erfolgen; zuständig hierfür ist grundsätzlich der Richter.[2] Bei Gefahr im Verzug kann die Staatsanwaltschaft bzw. die Bußgeld- und Strafsachenstelle (nicht die Fahndung) eine solche Verfügung treffen, die aber dann binnen drei Tagen vom Richter bestätigt werden muss.[3] Unter die Postbeschlagnahme fällt auch die...mehr

Begriff Unter Personalakte ist jede Sammlung von Urkunden und Vorgängen durch den Arbeitgeber zu verstehen, die Angaben zu den persönlichen und dienstlichen Verhältnissen des Arbeitnehmers enthalten und in einem inneren Zusammenhang mit dem Arbeitsverhältnis stehen. Eine Personalakte liegt unabhängig davon vor, an welcher Stelle die Sammlung geführt wird und welche Form (nor...mehr

Bei einem bestehenden Arbeitsverhältnis ist eine Aufbewahrungspflicht dann anzunehmen, wenn ein berechtigtes Interesse des Arbeitnehmers an der Aufbewahrung besteht.[1] Dazu gehören Dokumente wie Arbeitsverträge, Zeugnisse, Krankmeldungen, Urlaubsanträge und andere relevante Unterlagen. Während des bestehenden Arbeitsverhältnisses trifft den Arbeitgeber auch eine Aufbewahrun...mehr

Rz. 18 Die Steuerfahndung ist nach § 158 StPO berechtigt und verpflichtet, die Anzeige von (Steuer-)Straftaten entgegenzunehmen.[1] Die Strafanzeige ist die Mitteilung eines Sachverhalts, der nach Meinung des Anzeigenden Anlass für eine Strafverfolgung bietet. Sie kann mündlich oder schriftlich angebracht werden; die Formvorschrift des § 158 Abs. 2 StPO spielt bei Steuerstra...mehr

Jeder Arbeitnehmer hat das Recht, in die über ihn geführten vollständigen Personalakten Einsicht zu nehmen. Das Einsichtsrecht folgt im laufenden Arbeitsverhältnis aus § 83 Abs. 1 Satz 1 BetrVG für alle betriebsangehörigen Beschäftigten, die dem Anwendungsbereich des Betriebsverfassungsgesetzes unterfallen. Die Norm ist als individualrechtlicher Anspruch konzipiert, auf das ...mehr

Der Arbeitgeber ist arbeitsrechtlich gegenüber dem Arbeitnehmer nicht zur Führung einer Personalakte verpflichtet. Er wird jedoch kaum anders als durch Führung von Personalakten den arbeits-, handels-, gesellschafts- und steuerrechtlich gebotenen Pflichten nachkommen und z. B. die für Krankheitsfälle notwendige Abrechnung der Entgeltfortzahlung gegenüber den gesetzlichen Kra...mehr

Eine Legaldefinition des Begriffs der Personalakte besteht nicht. Gesetzliche, aber auch tarifvertragliche Normen setzen den Begriff regelmäßig voraus (vgl. § 83 BetrVG, § 3 Abs. 5 TVöD-AT). Das BAG unterscheidet zwischen dem formellen und dem materiellen Personalaktenbegriff.[1] Personalakten im formellen Sinn sind danach die Schriftstücke, die der Arbeitgeber als "Personal...mehr

Für die Bestimmung von Reichweite und Grenzen des Inhalts der Personalakte sind die divergierenden Interessen von Arbeitnehmer und Arbeitgeber zu berücksichtigen und gegeneinander abwägen.[1] Die Personalakte soll ein möglichst vollständiges, wahrheitsgemäßes und sorgfältiges Bild über die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers geben.[2] Deshalb gehören...mehr

Rz. 31 Die Aufdeckung und Ermittlung unbekannter Steuerfälle ist eine steuerliche Aufgabe der Fahndung. Die Fahndung hat nach § 208 Abs. 1 S. 2 AO die Ermittlungsbefugnisse, die den FÄ oder HZÄ[1] im Besteuerungsverfahren zustehen[2], die allerdings durch § 208 Abs. 1 S. 3 AO modifiziert werden. Die Fahndung kann sich demgemäß bei diesen Ermittlungen nur der Beweisvorschrifte...mehr

Zusammenfassung Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzu...mehr

Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzung (BSIG) zu be...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Im Fall einer Verletzung des Schutzes personenbezogener Daten gelten sowohl die Bestimmungen der DSGVO als auch die ergänzenden Regelungen des BDSG. Die DSGVO hat zwar Vorrang, das BDSG konkretisiert und ergänzt sie aber in einigen Bereichen für Deutschland. Konkret bedeutet das: Die Meldepflichten bei Datenschutzverletzungen nach Art. 33 DSGVO gelten unmittelbar. Die DSGVO sc...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Kann ein Mieter in einer Wohnungseigentumsanlage Schadensersatz beim Verwalter geltend machen wegen DSGVO-Verstößen? Nein, er muss sich an die GdWE wenden, die bei einem Verstoß nach § 31 BGB haftet.mehr

Aus dem Jahresbericht des Hessischen Datenschutzbeauftragten geht hervor, dass eine Arztpraxis ein Bußgeld erhielt, weil sie Patientenakten in einem öffentlich zugänglichen Müllcontainer entsorgt hatte. Diese Unterlagen waren teils geschreddert, aber leicht rekonstruierbar, einige wurden ungeschreddert weggeworfen. Mildernd wurde berücksichtigt, dass die Praxis den Vorfall e...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Die Landesbeauftragte für den Datenschutz von Niedersachsen hat ein Bußgeld gegen den Online-Versandhändler notebooksbilliger.de verhängt, weil das Unternehmen seine Mitarbeiter und Kunden ohne angemessene rechtliche Grundlage überwacht hatte. Die Videoüberwachung war pauschal und zeitlich unbegrenzt, was gegen die Datenschutzbestimmungen verstößt. Das Bußgeld entspricht 1,1...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Neben den Bußgeldern, die von den Aufsichtsbehörden bei Verstößen gegen die DSGVO verhängt werden können, sieht die DSGVO auch Schadenersatzansprüche für betroffene Personen vor (Art. 82 DSGVO). Auch bei Verstößen gegen den EU Data Act und die NIS2-Anforderungen können Schadenersatzansprüche geltend gemacht werden. Dies stellt ein zusätzliches zivilrechtliches Haftungsrisiko...mehr

Als Konkretisierung der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO statuiert Art. 33 Abs. 5 DSGVO die Dokumentation im Falle von Schutzverletzungen. Eine sorgfältige Dokumentation ist wichtig, um die Rechenschaftspflicht zu erfüllen und bei Audits oder Anfragen der Aufsichtsbehörde Nachweise erbringen zu können. Im Gegensatz zur Meldepflicht, wird die Dokumenta...mehr

mehr

Die Bewertung, Verfolgung und Ahndung von Datenschutzverstößen ist Aufgabe der zuständigen Aufsichtsbehörden. Zu diesen zählen der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbeauftragten. Für Verstöße gegen IT-Sicherheitsanforderungen (NIS2) ist in Deutschland das Bundesamt für Sicherheit in der Informationst...mehr

Personalakten beinhalten sensible personenbezogene Daten. Der Arbeitgeber hat bei der Personalaktenführung auf die Belange des Datenschutzes und des Persönlichkeitsrechts des Beschäftigten Rücksicht zu nehmen und den Grundsatz der Vertraulichkeit zu wahren (siehe dazu auch Abschnitt 4.1.5). Die Vorschriften der DSGVO sowie des BDSG – insbesondere § 26 BDSG – sind zu beachten...mehr

Für bestimmte Verstöße sind Geldbußen bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres festgelegt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO). Hier muss unterschieden werden. Die genannte Geldstrafe wird im Fall schwerer Verstöße verhängt. Hierzu zählen...mehr

Das Recht zur Einsichtnahme ist umfassend und bezieht sich auf sämtliche Personalakten im materiellen und formellen Sinne. Wichtig Der Anspruch auf Einsichtnahme nach § 3 Abs. 5 TVöD bzw. § 3 Abs. 6 TV-L ist umfassend und bezieht sich auf die materielle Personalakte, also auf alle Unterlagen und Vorgänge, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters b...mehr

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Im Hinblick auf die Vorgaben der Verordnung muss zukünftig genau geprüft werden, wer in welchen Fällen zu benachrichtigen ist. Es sind nicht mehr Aufsichtsbehörde und Betroffene stets gleichermaßen zu benachrichtigen. Die DSGVO enthält eine abgestufte Melde- und Benachrichtigungspflicht. Dieses ist umfangreicher als das im BDSG. Meldepflicht gegenüber Aufsichtsbehörde (Art. 3...mehr

Seit dem 12.9.2023 gilt der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen EU-Mitgliedstaaten. Er regelt den Zugang zu und die Nutzung von Daten, insbesondere bei vernetzten Produkten, Cloud-Diensten und Datenteilungen zwischen Unternehmen (B2B) und zwischen Unternehmen und öffentlichen Stellen. Bei Verstößen gegen Kapitel II des Data Act (Datenzugang und -nutzu...mehr

Ist von der Schwere eines Schadens (Schadenshöhe) die Rede, dann stellt sich die Frage, was die DSGVO darunter versteht. Hier hilft Erwägungsgrund 75 DSGVO weiter. Demnach kann eine Verarbeitung personenbezogener Daten zu physischen, materiellen und immateriellen Schäden führen, wie: Diskriminierung Identitätsdiebstahl oder -betrug Finanzieller Verlust Rufschädigung Verlust der V...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gemäß Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich ...mehr