Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

In der arbeitsrechtlichen Praxis gewinnt zunehmend das sog. "Datenschutz-Hopping" an Bedeutung. Dabei machen insbesondere (abgelehnte) Bewerber, teilweise aber auch (ehemalige) Arbeitnehmer gezielt Ansprüche nach Art. 15 Abs. 1 DSGVO geltend, ohne dass ein ernsthaftes Interesse an der Auskunft besteht. Ziel ist vielmehr, Datenschutzverstöße zu provozieren, um anschließend Sc...mehr

Im Datenschutz maßgeblich sind vor allem die Regelungen der DSGVO sowie das BDSG. In § 26 BDSG wird dabei speziell die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geregelt. Zu beachten ist allerdings, dass der EuGH § 26 BDSG für europarechtswidrig erklärt hat, demzufolge sind sämtliche Maßnahmen im Rahmen des Beschäftigtendatenschutzes zumindest auch auf Art...mehr

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen: "Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer...mehr

Löschpflichten ergeben sich auch aus dem BDSG, das neben der DSGVO weiterhin Anwendung findet. Es erweitert die Pflichten des Arbeitgebers, schafft daneben aber auch Ausnahmen von der Löschpflicht nach Art. 17 Abs. 1 DSGVO. Teilweise ergeben sich aus den Regelungen gleiche oder jedenfalls vergleichbare Pflichten. So besteht nach § 26 Abs. 1 Satz 1 BDSG genau wie bei Art. 17 A...mehr

Soweit gesetzliche Aufbewahrungspflichten bestehen, ist die Speicherung der Arbeitnehmerdaten durch § 26 Abs. 1 Satz 1 BDSG legitimiert.[1] Personenbezogene Daten von Beschäftigten dürfen auch nach der Beendigung des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Ausübung oder Erfüllung der sich aus einem Gesetz, einem Tarifvertrag oder einer Kollektivvere...mehr

Soweit Löschpflichten bestehen, stellt sich die Frage, was überhaupt unter dem Begriff "Löschen" zu verstehen ist. In den aktuellen Gesetzen finden sich keine klaren Angaben dazu, welche Anforderungen an das "Löschen" von Daten gestellt werden. Aus dem Wortlaut des Art. 4 Nr. 2 DSGVO geht zumindest hervor, dass keine "Vernichtung" notwendig ist, da sich beide Begriffe in den ...mehr

Hinweis Defintion: Aufbewahrungspflicht Aufbewahrungspflicht meint die Pflicht des Arbeitgebers, bestimmte geschäftliche Unterlagen in einer geordneten Form aufzubewahren, um diese bei einem berechtigten Verlangen Dritter, beispielsweise einer Betriebsprüfung durch das Finanzamt, vorlegen zu können.[1] Während des bestehenden Arbeitsverhältnisses trifft den Arbeitgeber neben d...mehr

Gerade vor dem Hintergrund bereits wiederholt in Millionenhöhe verhängter Bußgelder wird ein gutes Aufbewahrungs- bzw. Löschmanagementkonzept für Arbeitnehmerdaten immer bedeutender. Abschreckende Beispiele sind hierbei Fälle mit Millionenbußgeldern bei der "Deutsche Wohnen" und "1&1". Zwar lagen den dortigen Fällen keine arbeitsrechtlichen Datenschutzverstöße zugrunde – die...mehr

Rz. 24 Modellvorhaben nach Abs. 1 können insbesondere informationstechnische und organisatorische Verbesserungen der Datenverarbeitung, einschließlich der Erweiterungen der Befugnisse zur Verarbeitung von personenbezogenen Daten betreffen (Satz 1). Rz. 24a Die bisherige Begriffstrias der Erhebung, Verarbeitung und Nutzung wird redaktionell an die Begriffsbestimmung des Art. 4...mehr

Rz. 34 Die Krankenkassen stellen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die Krankenkassen sind befugt, für die Identifizierung Daten aus dem Personalausweis oder dem Pass auszulesen und zu verarbeiten (Satz 2). Die digitale Identität ist nicht an eine Chipkarte g...mehr

Rz. 11 Primärpräventive Leistungen beziehen sich auf die Veränderung des individuellen Verhaltens und auf die Veränderung der Verhältnisse in den Lebenswelten der Versicherten. Dementsprechend werden als Leistungen erbracht: Leistungen zur verhaltensbezogenen Prävention nach Maßgabe von Abs. 5, Leistungen zur Gesundheitsförderung und Prävention in Lebenswelten für in der geset...mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 40 Die Modellvorhaben sind im Regelfall auf längstens 8 Jahre zu befristen (Satz 1). Für eine längere Laufzeit ist eine Begründung erforderlich. Die zeitliche Höchstgrenze soll verhindern, dass Modellvorhaben zweckentfremdet und bestimmte Versorgungsstrukturen oder Leistungsangebote dauerhaft ohne Bewertung ihrer Auswirkungen eingeführt werden (BT-Drs. 13/6087 S. 27). Un...mehr

Rz. 34 Die mit dem Siebten Gesetz zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 12.6.2020 (BGBl. I S. 1248) eingefügten weiteren Sätze (Sätze 2 ff.) traten aufgrund Art. 2e des Gesetzes zur Umsetzung der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen und zu...mehr

Rz. 61 Abs. 6 Satz 5 verpflichtet das Bundesinstitut für Arzneimittel und Medizinprodukte zur Erstellung einer bis zum 31.3.2022 laufenden nichtinterventionellen Begleiterhebung, die dazu dient, Erkenntnisse über die Wirkung von Cannabis zu medizinischen Zwecken zu gewinnen. Hierdurch soll eine Grundlage für die Entscheidung über die dauerhafte Aufnahme in die Versorgung ges...mehr

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Rz. 15 Die gematik legt die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten nach den Abs. 6 und 7 fest (Satz 1). Dazu setzt sich die gematik mit dem BSI und dem BfDI auf Basis der jeweils gültigen Technischen Richtlinien des BSI ins Benehmen (Satz 2). Rz. 16 Das ursprünglich herzustellende Einvernehmen wird zugunsten der Herstellung des Benehme...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr

Rz. 28 Die Krankenkassen dürfen Komponenten und Dienste der elektronischen Patientenakte den Unternehmen der privaten Krankenversicherung (PKV) zur Verfügung stellen und in deren Auftrag betreiben (Satz 1). Die Regelung gilt auch für die sonstigen in § 362 Abs. 1 genannten Einrichtungen (z. B. Postbeamtenkrankenkasse). Ob die PKV oder die sonstigen Einrichtungen diese Möglic...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingeführt. Sie wurde seitdem mehrfach geändert, zuletzt durch Art. 3 Nr. 38a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2026. Rz. 2 Die Norm regelt abschließend ("auss...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 33 des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2026. Rz. 2 Die Vorschrift regelt die Ausgabe von elektronischen Heilberufs- und Beruf...mehr

Überblick Digitale Systeme werden im Personalbereich schon seit Jahren eingesetzt und ihr Gebrauch wird in Zukunft voraussichtlich weiter zunehmen. Die Digitalisierung bietet Vorteile wie mehr Effizienz, bessere Transparenz, Zeitgewinn und größere Flexibilität. Allerdings bringt sie auch Herausforderungen mit sich: Besonders bei sensiblen Mitarbeiterdaten entstehen komplexe ...mehr

Dem Beklagten (Auftraggeber und Zahlender) stehe allerdings ein Schadensersatzanspruch gegen den Werkunternehmer in Höhe des gezahlten Betrags zu. Diesen könne er dem Anspruchsteller unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten. Der Anspruch resultiere aus Art. 82 der Datenschutz-Grundverordnung (DS-GVO).[10] Die Vorschrift eröffne einen dir...mehr

Nachrichtenprogramme (sog. Messenger) haben mit den Smartphones eine weite Verbreitung erfahren. Es ist inzwischen Standard geworden, der eigentlichen Textnachricht Anhänge unterschiedlichster Art – und damit auch Rechnungen – beifügen zu können. Eine Reihe von Messengern bietet auch die sog. Ende-zu-Ende-Verschlüsselung, die es gewährleistet, dass die Daten der jeweiligen N...mehr

Der Schutz personenbezogener Daten ist ein wesentliches Element bei der Implementierung digitaler Prozesse. Die Einführung und Nutzung digitaler Technologien wird in aller Regel die Verarbeitung personenbezogener Daten[1] umfassen. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richtet sich nach der DSGVO und dem BDSG. Nach Art. 88 Abs. 1 DSGVO ist eine na...mehr

Die Einwilligung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Einwilligung muss frei, spezifisch und unmissverständlich erteilt werden.[1] In einem Beschäftigungsverhältnis kann die Einwilligung eines Mitarbeiters aufgrund des Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber in der Regel nicht als freiwilli...mehr

Die Verarbeitung ist außerdem zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Das Kriterium der Erforderlichkeit ist dabei eng auszulegen.[1] Demnach sind digitale Maßnahmen nur dann zulässig, wenn sie zur Durchführung des Arbeitsverhältnisses unmittelbar notwendig sind, z. B. zur Erfassung der Arbeitszeiten.mehr

Für die Verarbeitung der personenbezogenen Daten der Beschäftigten ist in der Praxis häufig Art. 6 Abs. 1f DSGVO heranzuziehen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt jedoch nur, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Perso...mehr

Gemäß Art. 12 ff. DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß Art. 13 DSGVO und 14 DSGVO und alle Mitteilungen gemäß Art. 15–22 DSGVO und Art. 34 DSGVO die sich auf die Verarbeitung beziehen, bereitzustellen. Diese Informationen müssen präzise, transparent, verständlich und leicht zugänglich und in klarer und...mehr

Art. 22 Abs. 1 DSGVO verbietet, Betroffene einer ausschließlich auf einer automatisierten Datenverarbeitung beruhenden Entscheidung zu unterwerfen, die ihnen gegenüber Rechtswirkung entfaltet oder sie auf eine ähnliche Weise erheblich beeinträchtigt. Damit sollen Betroffene vor vollautomatisierten Entscheidungen durch Algorithmen geschützt werden und die Letztentscheidungsbe...mehr

Die erhobenen Daten müssen korrekt und auf dem aktuellen Stand sein.[1] Zudem dürfen sie nur so lange gespeichert werden, wie dies für den verfolgten Zweck notwendig ist.[2] Der Verantwortliche ist darüber hinaus gemäß Art. 17 DSGVO verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet w...mehr

Mitarbeiter haben nach den Art. 15–21 DSGVO verschiedene Rechte, die sie gegenüber dem Arbeitgeber geltend machen können. Auskunftsrecht (Art. 15 DSGVO): Zunächst haben Mitarbeiter das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Praxis-Tipp Erforderlichkeit der Datenübersicht Um das Auskunftsersuchen eines Betro...mehr

Der Einsatz von KI ist im Recruiting mittlerweile sehr verbreitet. Während Personalprozesse dadurch effizienter, zügiger und oftmals weniger fehleranfällig werden, erhöhen sich zugleich die Anforderungen an den Schutz personenbezogener Daten. Gerade im Bewerbungsverfahren, das häufig eine Vielzahl hochsensibler Informationen enthält, müssen Unternehmen besonders sorgfältig u...mehr

Das Arbeiten im Homeoffice ist seit der Corona-Pandemie in vielen Unternehmen ein fester Bestandteil des Arbeitsalltags. Es stellt Arbeitgeber, Mitarbeiter und Arbeitsschutzbehörden vor neue Herausforderungen. Aus einer datenschutzrechtlichen Perspektive stellt sich die Frage, wie die Vorgaben des BDSG und der DSGVO außerhalb der klassischen Büroumgebung eingehalten werden k...mehr

Der Einsatz von KI in der Beendigungsphase eines Arbeitsvertrags, etwa bei der automatisierten Analyse von Leistungsdaten zur Entscheidung über Kündigungen oder bei der Vorhersage von Personalabbaupotenzialen, wirft erhebliche datenschutzrechtliche Fragen auf. Da in dieser Phase besonders sensible personenbezogene Daten verarbeitet werden, unterliegt die Nutzung von KI den s...mehr

Gemäß Art. 5 Abs. 1a DSGVO muss jede Datenverarbeitung rechtmäßig, nach Treu und Glauben und in einer für die betroffenen Personen nachvollziehbaren Weise erfolgen. Rechtmäßig ist die Verarbeitung nur dann, wenn eine Einwilligung oder eine sonstige zulässige Rechtsgrundlage vorliegt.[1] Folgende Rechtsgrundlagen kommen bei der Einführung und Nutzung von digitalen Technologie...mehr

Personenbezogene Daten dürfen nur zu den vorher klar definierten Zwecken verarbeitet werden.[1] Der Arbeitgeber muss daher von Anfang an klar und eindeutig festlegen, zu welchem Zweck der Einsatz digitaler Systeme erfolgt.mehr

Die Datenverarbeitung hat sich am Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit zu orientieren.[1] Danach dürfen nur solche Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Digitale Systeme sollten die Datenerhebung auf ein verhältnismäßiges Maß begrenzen.mehr

Zudem kommt eine Verarbeitung der personenbezogenen Daten der Arbeitnehmer auf Grundlage des § 26 BDSG in Betracht. § 26 Abs. 1 Satz 1 BDSG [1] erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. § 26 Abs. 1 Satz 2 BDSG erlaubt die Verarbeitung personenbezogener Dat...mehr

Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgeführten Datenschutzprinzipien verantwortlich und muss deren Einhaltung nachweisen können.[1] Der Arbeitgeber muss demnach Maßnahmen ergreifen, um die Konformität des Einsatzes digitaler Systeme mit den Datenschutzanforderungen nachweisen zu können.mehr

Der Einsatz von KI im Personalmanagement steht exemplarisch für die Chancen und Herausforderungen der digitalen Transformation des Arbeitslebens. Digitale Systeme können Personalentscheidungen effizienter, datenbasierter und objektiver gestalten, bergen jedoch gleichermaßen erhebliche Risiken im Hinblick auf den Datenschutz. Aus einer datenschutzrechtlichen Perspektive ist in...mehr

Die Einführung digitaler Personalakten bietet Unternehmen zahlreiche Vorteile, wie effizientere Prozesse, eine bessere Nachvollziehbarkeit und eine ortsunabhängige Zugriffsmöglichkeit. Gleichzeitig stellt sie erhöhte Anforderungen an den Datenschutz, da die darin enthaltenen personenbezogenen Informationen oftmals besonders sensibel sind. Demnach sind die oben skizzierten Gr...mehr

Sofern Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, sind die Anforderungen an internationale Datenübermittlungen zu prüfen und einzuhalten.[1]mehr

Für digitale Personalsysteme sind geeignete TOMs nach Art. 32 DSGVO zu ergreifen. Diese können beispielsweise rollenbasierte Berechtigungen nach dem need-to-know-Prinzip, eine Protokollierung von Zugriffen, Verschlüsselung, sichere Authentifizierung (MFA), Backup-Konzepte sowie klare Berechtigungs- und Löschprozesse umfassen.mehr

Werden Personalsysteme durch externe Anbieter betrieben (z. B. Plattformen für das Bewerbermanagement), ist regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Verantwortliche sollten darin insbesondere Regelungen zu Unterauftragsverarbeitung, Support, Löschfristen, Audit-Rechten sowie technischen und organisatorischen Maßnahmen (TOMs) vereinbaren.mehr

Außerdem muss gewährleistet sein, dass die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Beschädigung oder Zerstörung geschützt sind.mehr

Gemäß Art. 38 Abs. 1 DSGVO muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Im Rahmen der Einführung und Nutzung digitaler Systeme stellt der Datenschutzbeauftragte sicher, dass die Maßnahmen rechtskonform, verhältnismäßig und transpar...mehr

Eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Unternehmensgröße ist für diese Pflicht nicht entscheidend. Bei der Nutzung von Hochrisiko-KI-Systemen ist eine DSFA regelmäßig erforderlich. Arbeitgeber sollten diese vor ...mehr

Die Überwachung von Beschäftigten, etwa mittels Videoaufzeichnungen, der Analyse von E-Mail-Korrespondenz, der Ortung des Beschäftigtenstandorts und des Einsatzes von KI, ist nur unter engen datenschutzrechtlichen Grenzen zulässig.[1] So ist regelmäßig eine DSFA nach Art. 35 DSGVO erforderlich, da Überwachungsmaßnahmen üblicherweise ein hohes Risiko für die Rechte und Freihe...mehr

Für die Einwilligungserklärung gelten die datenschutzrechtlichen Grundsätze von § 26 Abs. 2 BDSG sowie der DSGVO. Nach Art. 4 Nr. 11 DSGVO muss die betroffene Person in informierter Weise und unmissverständlich den Willen zu einer Einwilligung bekunden. Es ist daher ratsam, dass der Arbeitgeber den Bewerber vor der Einwilligungserklärung mindestens über den Zweck der Datenvera...mehr