Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 13 Der Schutz von Sozialdaten greift nach Satz 1 bei ihrer Verarbeitung. Der Oberbegriff (Daten-)Verarbeitung fand Eingang in § 61 Abs. 1 Satz 1 erst durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1626) mit Wirkung zum 26.11.2019. Damit wurde das bis dahin geltende Recht nicht verändert. Es handelte sich ledigli...mehr

Rz. 1 § 39 wurde durch das am 1.1.1989 in Kraft getretene Gesundheits-Reformgesetz (GRG) v. 20.12.1988 (BGBl. I S. 2477) im Hinblick auf die Bedeutung der Leistung im Rahmen der GKV gegenüber dem bis dahin geltenden Recht mit dem Ziel konkretisiert, den Vorrang der preisgünstigen ambulanten Behandlung stärker zu beachten und verstärkt preisgünstige Krankenhäuser in Anspruch ...mehr

Rz. 6 Nach § 65 Abs. 1 Satz 1 werden Sozialdaten, die zum Zwecke persönlicher und erzieherischer Hilfe anvertraut worden sind, besonders geschützt (Salgo/Kepert, ZKJ 2020, 333, 338) und dürften nur unter den weiteren Voraussetzungen der Nr. 1 bis 6 weitergegeben oder übermittelt werden. § 65 normiert damit einen besonderen Vertrauensschutz (LG Koblenz, Beschluss v. 15.9.2022...mehr

Rz. 1 Mit Erlass der – in den EU-Mitgliedstaaten ab dem 25.5.2018 unmittelbar geltenden (Art. 288 Abs. 2 AEUV) – DSGVO [1] finden sich die – früher in §§ 4f, 4g BDSG a. F. enthaltenen – Regelungen zum Datenschutzbeauftragten in Art. 37 bis 39 DSGVO . Sie werden durch die – auf Grundlage des Art. 37 Abs. 4 Satz 1 Halbsatz 2, 38 Abs. 5 DSGVO erlassenen – Regelungen für nicht öff...mehr

Rz. 12 Der (interne) Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 Satz 2 DSGVO). Darin liegt eine besondere Ausformung des allgemeinen Maßregelungsverbots (§ 612a BGB). Verstößt der Arbeitgeber gegen das Benachteiligungsverbot, ist die benachteiligende Maßnahme (z. B. Abmahnung, Kündigung) unwirksam...mehr

Rz. 26 Bereits aus dem Wortlaut ("Kündigung des Arbeitsverhältnisses") folgt, dass der besondere Kündigungsschutz nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG nur für den internen und nicht den externen Datenschutzbeauftragten gilt.[1] Die Regelungen finden auch Anwendung, wenn der Datenschutzbeauftragte zunächst als Externer bestellt wird und dann ein Arbeitsverh...mehr

Rz. 15 Das Arbeitgeberunternehmen kann die Bestellung des Datenschutzbeauftragten analog § 626 BGB widerrufen, wenn ein wichtiger Grund vorliegt (§ 6 Abs. 4 Satz 1 BDSG); dies gilt nach § 38 Abs. 2 BDSG bei nicht öffentlichen Stellen (wie Privatunternehmen) aber nur, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (nach Art. 37 Abs. 1 DSGVO bzw. Art. 37 Ab...mehr

Rz. 10 Anders als nach früherem Recht (§ 4f Abs. 1 Satz 1 BDSG a. F.) ist die – auch befristet mögliche[1] – Bestellung des internen oder externen Datenschutzbeauftragten formfrei und bedarf insbesondere nicht der Schriftform des § 126 BGB. Art. 37 Abs. 7 DSGVO bestimmt lediglich, dass der Verantwortliche und der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragt...mehr

Rz. 8 Nach der Neuregelung des § 4f BDSG (a. F.) mit Wirkung ab dem 28.6.2006[1] war die Vorschrift mit Wirkung ab 1.9.2009 geändert worden.[2] Zuvor war hochumstritten, ob das Arbeitsverhältnis des internen Datenschutzbeauftragten für die Dauer seiner Bestellung (mittelbar) einem besonderen Kündigungsschutz unterliegt.[3] Den Streit, ob eine ordentliche Kündigung des Arbeit...mehr

Rz. 37 Im Hinblick auf die Beendigung der arbeitsvertraglichen Rechte und Pflichten des internen Datenschutzbeauftragten liegt ein wichtiger Grund für die Änderungskündigung z. B. dann vor, wenn der Datenschutzbeauftragte die gesetzlichen Voraussetzungen der Fachkunde oder Zuverlässigkeit nicht mehr erfüllt (vgl. Rz. 3). Das ergibt sich aus der gesetzlichen Wertung der Art. ...mehr

Rz. 14 Die Aufsichtsbehörde kann die Abberufung des Datenschutzbeauftragten nach § 40 Abs. 6 Satz 2 BDSG verlangen, wenn er die zur Erfüllung der Aufgaben erforderliche Fachkunde nicht besitzt oder ein schwerwiegender Interessenkonflikt vorliegt (Art. 38 Abs. 6 DSGVO) und es daher an der Zuverlässigkeit fehlt (s. Rz. 3).mehr

Rz. 20 Der Widerruf der Bestellung, d. h. die Abberufung als Datenschutzbeauftragter ist ebenso wie der actus contrarius (die Bestellung) formfrei.[1] In formeller Hinsicht ist außerdem die 2-wöchige Erklärungsfrist ab Kenntnis der widerrufsberechtigten Person von dem wichtigem Grund (§§ 38 Abs. 2, 6 Abs. 4 Satz 1 BDSG i. V. m. § 626 Abs. 2 BGB) zu beachten.mehr

Rz. 7 Um die unabhängige Aufgabenerfüllung des Datenschutzbeauftragten zu gewährleisten und ihn vor Repressalien und Vergeltungsmaßnahmen des Arbeitgebers im Hinblick auf die Amtstätigkeit des Datenschutzbeauftragten zu schützen, sieht das Gesetz 3 Schutzkomponenten vor: Schutz gegen Benachteiligung und Abberufung wegen der Erfüllung seiner Aufgaben (Art. 38 Abs. 3 Satz 2 DSG...mehr

Rz. 33 In zeitlicher Hinsicht gilt der besondere Kündigungsschutz des internen Datenschutzbeauftragten von seiner gesetzlich vorgesehenen Bestellung bis ein Jahr nach dem Ende seines Amtes (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG). Für das Eingreifen des Sonderkündigungsschutzes ist es ohne Bedeutung, dass die Kündigung während der Probezeit bzw. Wartezeit von 6 M...mehr

Rz. 1 § 139c AO trifft Regelungen, die mit dem Identifikationsmerkmal wirtschaftlich Tätiger, der Wirtschafts-Identifikationsnummer, in Zusammenhang stehen.[1] Ausdrücklich nicht ausgeschlossen ist die Vergabe sowohl der Wirtschafts- und Identifikationsnummer nach § 139b AO. Sind natürliche Personen zugleich nach § 139a Abs. 3 Nr. 1 AO wirtschaftlich tätig sind, erhalten sie...mehr

Rz. 35 Die Beendigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch außerordentliche Kündigung ist nur in Ausnahmefällen zulässig. Als wichtiger Grund zur Beendigung des Arbeitsverhältnisses insgesamt kommen insbesondere verhaltens- und personenbedingte Kündigungsgründe in Betracht. Sie können arbeitsvertragsbezogen oder amtsbezogen sein.[1] Unabhängig von der T...mehr

Rz. 21 Die Bestellung kann wirksam widerrufen werden, ohne dass im selben Rechtsakt das Grundverhältnis (Arbeitsverhältnis oder Dienst-/Geschäftsbesorgungsvertrag) beendet oder das aus dem Grundverhältnis folgende schuldrechtliche Pflichtenprogramm angepasst wird. Dies entspricht der im Gesetzeswortlaut angelegten Trennungstheorie (s. Rz. 10). Denoch kommt das BAG im Ergebni...mehr

Rz. 7 Die Wirtschafts-Identifikationsnummer unterliegt gem. § 139c Abs. 2 AO im Hinblick auf Art und Umfang der Erhebung und Verwendung ähnlichen Restriktionen wie die Identifikationsnummer für natürliche Personen. Auch hier werden den Finanzbehörden weitergehende Befugnisse eingeräumt als anderen öffentlichen oder nicht öffentlichen Stellen.[1] Aufgrund der höheren Öffentlic...mehr

Die dem Betriebsrat obliegende Pflicht, die für den Arbeitsschutz zuständigen Behörden zu unterstützen, berechtigt ihn nicht stets und einschränkungslos, den Aufsichtsbehörden die z. B. vom Arbeitgeber elektronisch erfassten tatsächlich geleisteten Arbeitszeiten der Arbeitnehmer namensbezogen mitzuteilen. Aus Gründen des Datenschutzes muss er vielmehr im Einzelfall die Erfor...mehr

Rz. 33 Für die zu erteilende Auskunft gilt grds. Formfreiheit, Abs. 4 S. 1. Sie kann danach – vorbehaltlich anderweitiger behördlicher Anordnung, Abs. 4 S. 2, Abs. 5 S. 1 – schriftlich, mündlich oder fernmündlich erteilt werden. Rz. 34 Mündlichkeit erleichtert vor allem schriftungewandten Personen die Auskunftserteilung und minimiert damit die Belastungswirkung der Verpflicht...mehr

Rz. 1 §§ 85, 88, 92 S. 2 Nr. 1 AO normieren die Befugnis der Finanzbehörden, zur Erfüllung ihres Besteuerungsauftrags Auskünfte jeder Art von den Beteiligten und anderen Personen einzuholen. § 93 AO ist hierzu Ausführungsnorm und gilt als allgemeine Beweismittelvorschrift gleichermaßen im Festsetzungs-, Erhebungs- und Vollstreckungsverfahren.[1] Im Rahmen ihrer Verpflichtung,...mehr

Video: Datenschutz bei Homeoffice und Mobile Work Der Datenschutz im Homeoffice unterliegt denselben Anforderungen wie am innerbetrieblichen Arbeitsplatz und bei den innerbetrieblichen Abläufen. Im Rahmen des Homeoffice sind die öffentlich-rechtlichen Datenschutzvorschriften[1] zu beachten. Die Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in...mehr

Rz. 68 Die im steuerlichen Bereich bestehenden Probleme bei der vollständigen Ermittlung der Einkünfte stellen sich gleichermaßen in Verfahren, die auf eine Inanspruchnahme sozialer Transferleistungen, der Bekämpfung von Straftaten oder der Vollstreckung sonstiger öffentlicher Forderungen abzielen. Auch in diesem Bereich bietet das Kontenabrufverfahren ein präventiv wirkende...mehr

Rz. 73 Die bis zum 17.8.2007 geltende Gesetzesfassung sah noch keine Hinweis- und Benachrichtigungspflichten vor. Die Steuerverwaltung wurde jedoch durch AEAO zu § 93 verpflichtet, den Betroffenen – wenn auch unter bestimmten Umständen erst nachträglich – in jedem Fall über einen durchgeführten Kontenabruf in Kenntnis zu setzen. Dies galt unabhängig davon, ob durch den Konte...mehr

Rz. 74 Die Rechtmäßigkeit eines Kontenabrufs nach § 93 Abs. 7 AO kann vom FG im Rahmen der Überprüfung des Steuerbescheids oder eines anderen Verwaltungsakts, zu dessen Vorbereitung der Kontenabruf vorgenommen wurde, überprüft werden. Der Kontenabruf entspricht einer elektronischen Einnahme des Augenscheins und stellt – anders als das nachfolgende allgemeine Auskunftsersuche...mehr

Rz. 55 Nach § 93 Abs. 7 AO in der bis zum 31.12.2008 geltenden Fassung[1] war die für die Besteuerung zuständige Finanzbehörde[2] zur Durchführung eines Kontenabrufs berechtigt, wenn dies zur Festsetzung oder Erhebung von – bundesgesetzlich geregelten[3] – Steuern erforderlich war. Der Kontenabruf war im gesamten Besteuerungsverfahren nach der AO, also nicht nur im Steuerfes...mehr

Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Arbeitnehmern für die Zwecke des Beschäftigungsverhältnisses dann erhoben, verarbeitet oder genutzt werden, wenn dies erforderlich ist für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung. Dies galt bereits ...mehr

Überblick Die Kontrolle von Mitarbeitern ist für Unternehmen eine regelmäßig notwendige, jedoch auch heikle Angelegenheit, die zahlreiche Rechtsfragen aufwirft. Der Kontrollbefugnis des Arbeitgebers sind vom Gesetzgeber und der Rechtsprechung vielfältige Grenzen gesteckt. Zu beachten sind hierbei insbesondere die individuellen Rechte der Arbeitnehmer, Mitbestimmungsrechte de...mehr

Hinsichtlich biometrischer Erkennungsverfahren – beispielsweise als Zugangskontrolle für besonders sensible Bereiche in Unternehmen – ist zu beachten, dass u. U. bereits die Erhebung unzulässig sein kann, wenn sie sich auf "besondere Kategorien personenbezogener Daten" bezieht. Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist in § 26 Abs. 3 BDSG geregel...mehr

Für dienstliche E-Mails richtet sich die Überwachungsbefugnis wie bei der Telefonkommunikation nach dem BDSG, in dessen Rahmen die Grundrechte des Arbeitnehmers berücksichtigt werden, sowie nach den Art. 6 und 9 DSGVO (siehe dazu die Ausführungen oben in Abschn. 1.3). Danach ist eine Einwilligung oder eine sonstige Rechtsgrundlage zur Kontrolle der Verbindungsdaten (die pers...mehr

Nützlich erscheint eine Nutzung von KI beispielsweise für die automatisierte Auswertung von Videoaufnahmen. Rechtsgrundlage hierfür sind entweder eine Einwilligung des Arbeitnehmers oder, wie bei den anderen Technologien auch, § 26 Abs. 1 Satz 1 DSGVO, Art. 6, 9 DSGVO oder eine Betriebsvereinbarung.[1] Indes ist eine erteilte Einwilligung die "unsicherste" Ermächtigungsgrund...mehr

Sogenannte RFID-Chips[1] können als Bestandteil von Hausausweisen, die Mitarbeiter bei sich führen müssen, oder zur Ortung von Dienstwagen eingesetzt werden und ermöglichen eine detaillierte Überwachung der Arbeitnehmer durch Standortbestimmung und ggf. weitere Angaben. Eine solche verdachtsunabhängige Dauerkontrolle ist aber nach § 26 Abs. 1 BDSG i. V. m. Art. 6, 9 DSGVO un...mehr

Nach der Gesetzesbegründung sollen Maßnahmen zur Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Arbeitsverhältnis stehen, nicht dem strengen Maßstab des § 26 Abs. 1 Satz 2 BDSG unterliegen, sondern nach den allgemeinen Regeln von § 26 Abs. 1 Satz 1 BDSG (sowie Art. 6 und 9 DSGVO) erfolgen.[1] Gerade für präventive Kontrollmaßnahmen de...mehr

Wichtig Klassische Mitarbeiterkontrollen Wichtig für Arbeitgeber ist, dass die besondere Arbeitnehmerdatenschutzregel des § 26 Abs. 1 BDSG aufgrund ausdrücklicher Anordnung in § 26 Abs. 7 BDSG nicht (wie das BDSG im Übrigen) nur bei automatisierter Verarbeitung[1] der Daten gilt, sondern für überhaupt jede, auch nicht automatisierte Datenverarbeitung.[2] Somit sind auch klass...mehr

Bei der repressiven Kontrolle im Einzelfall sowie für die Implementierung von Revisionsprüfungen oder bei einer unternehmensinternen Investigation, die sich (auch) auf mögliche Straftaten wie z. B. Korruptionsdelikte und Vermögensdelikte im Unternehmen richtet, sind die Maßstäbe des § 26 Abs. 1 Satz 2 BDSG zu beachten. Für die Verarbeitung personenbezogener Daten im Arbeitsve...mehr

Wie bei der E-Mail-Nutzung sind auch bei der dienstlichen Internet-Nutzung allein das BDSG und die DSGVO einschlägig. § 26 Abs. 1 Satz 1 BDSG spricht nur von der Verarbeitung der Daten und nicht auch von der Erhebung und Nutzung. Allerdings dürfte davon auszugehen sein, dass der Begriff umfassend auszulegen ist. Die umfassende Kontrolle der Verbindungsdaten muss schon deshal...mehr

Manche Unternehmen führen Datenabgleiche – sog. Datenscreenings oder Rasterungen – durch, um Korruptionsfälle aufzudecken. In der Vergangenheit wurden Datenscreens etwa auch zu Krankendaten von Mitarbeitern vorgenommen. Dies ist jedenfalls unzulässig, soweit die Daten dazu nicht mit Einwilligung der Arbeitnehmer erhoben werden.[1] Widersprüchliche Ansichten herrschen in der a...mehr

Die Zulässigkeit der präventiven Videoüberwachung nicht öffentlich zugänglicher Arbeits- und Betriebsräume richtet sich grundsätzlich nach dem Maßstab des § 26 Abs. 1 Satz 1 BDSG (sowie der Art. 6 und 9 DSGVO).[1] Eine dauerhafte Überwachung in nicht öffentlichen Räumen wurde vom BAG aber wegen seiner Intensität als reine Präventivmaßnahme für unzulässig erklärt.[2] Es gelten...mehr

Taschenkontrollen sowie Kontrollen des persönlichen Spinds des Arbeitnehmers und persönliche Durchsuchungen (z. B. Leibesvisitation) bedeuten einen erheblichen Eingriff in das allgemeine Persönlichkeitsrecht des betroffenen Arbeitnehmers.[1] Nach der herrschenden arbeitsrechtlichen Ansicht sind diese Mitarbeiterkontrollen grundsätzlich zulässig, allerdings je nach Art der Ko...mehr

Eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten stellt die Einwilligung dar. In Art. 7 DSGVO sind die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung festgehalten. Eine Einwilligung kann nur dann wirksam erteilt werden, wenn der Betroffene in voller Kenntnis des Umfangs der geplanten Verarbeitung und freiwillig sein Einverständnis...mehr

Überblick Seit dem 25.5.2018 entfaltet die "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG," kurz Datenschutz-Grundverordnung (DSGVO) ihre unmittelbare Wirkung. Durch die DSGVO wurden die Regelungen zur Verarbeitung von persone...mehr

Die Datenschutz-Grundverordnung bringt zwar einige Neuerungen mit sich, behält aber die bisherigen bekannten Datenschutzgrundsätze im Wesentlichen bei. Neu hinzu kam die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Die Unternehmen sind daher nicht nur zur Einhaltung der nachfolgenden Grundsätze verpflichtet, sondern müssen die Einhaltung der Grundsätze auch nachwei...mehr

Die Datenschutz-Grundverordnung entfaltet seit dem 25.5.2018 unmittelbare Wirkung und bildet neben dem Bundesdatenschutzgesetz den Rahmen für die Verarbeitung personenbezogener (Beschäftigten-)Daten. Die DSGVO umfasst insgesamt 99 Artikel und ist als "Prinzipiengesetz" gestaltet, d. h. die Verarbeitung personenbezogener Daten hat sich stets an denen in der DSGVO aufgeführten...mehr

Die Regelungen der DSGVO haben grundsätzlich Vorrang vor dem BDSG. Aufgrund der Öffnungs- und Spezialklauseln der DSGVO müssen die ergänzenden Vorschriften des BDSG aber ebenfalls beachtet werden. Es ist daher ratsam, vor der Beurteilung eines datenschutzrechtlichen Sachverhaltes zunächst zu prüfen, ob die DSGVO für den zu betrachtenden Vorgang eine Öffnungs- oder Spezialkla...mehr

Im Fall einer Verletzung des Schutzes personenbezogener Daten (umgangssprachlich häufig als "Datenpanne") bezeichnet, ist häufig eine unverzügliche Meldung an die zuständige Aufsichtsbehörde erforderlich. Die Meldung hat möglichst binnen 72 Stunden zu erfolgen und zwar dann, wenn die Datenpanne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.[1] Dies...mehr

Damit die im vorstehenden Kapitel genannten neuen Bußgelder nicht von den Aufsichtsbehörden verhängt werden, sollten die Unternehmen sich auf folgende Bereiche besonders fokussieren. Zunächst sollten alle Verantwortlichen im Unternehmen, insbesondere die Geschäftsführung, für die Wichtigkeit des Schutzes personenbezogener Daten sensibilisiert werden. Aufgrund der mit der Rech...mehr

1.1 Unmittelbare Geltung und Öffnungsklauseln Die Datenschutz-Grundverordnung entfaltet seit dem 25.5.2018 unmittelbare Wirkung und bildet neben dem Bundesdatenschutzgesetz den Rahmen für die Verarbeitung personenbezogener (Beschäftigten-)Daten. Die DSGVO umfasst insgesamt 99 Artikel und ist als "Prinzipiengesetz" gestaltet, d. h. die Verarbeitung personenbezogener Daten hat ...mehr

Wie die bisherigen Regelungen zum Datenschutz, umfasst der Anwendungsbereich der DSGVO die Verarbeitung von personenbezogenen Daten.[1] Der Begriff "personenbezogene Daten" ist in Art. 4 Nr. 1 DSGVO legaldefiniert und entspricht der bisher gültigen Definition. Als personenbezogene Daten gelten damit weiterhin alle Informationen, die sich auf eine entweder identifizierte oder...mehr

Mit Inkrafttreten der DSGVO wurde der Rahmen für Bußgelder drastisch erhöht. Die Obergrenzen für Bußgelder betragen 10 bzw. 20 Mio. EUR.[1] Soll ein Unternehmen mit einem Bußgeld bestraft werden, können gar bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres als Bußgeld fällig werden. Die bislang höchsten verhängten Bußgelder in Deutschland be...mehr

Zusammenfassung Überblick Seit dem 25.5.2018 entfaltet die "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG," kurz Datenschutz-Grundverordnung (DSGVO) ihre unmittelbare Wirkung. Durch die DSGVO wurden die Regelungen zur Verarbeit...mehr