Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Den Inhalt der Personalakte bestimmt grundsätzlich der Arbeitgeber. Diese Gestaltungsfreiheit des Arbeitgebers findet ihre Grenzen in den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG sowie in den grundrechtlichen Wertentscheidungen. Für die Frage, welche konkreten Vorgänge und Informationen aufbewahrt und damit zur materiellen Personalakte genommen werden dürfen, si...mehr

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) Anzahl der Betroffenen, ...mehr

Sollte es sich bei einem entsprechender Vorfall um eine Schutzverletzung darstellen, so ist – auch gerade aufgrund der engen 72h-Frist – ein innerbetrieblicher Ablauf- und Kommunikationsplan unerlässlich. Ein solcher ist nachfolgend exemplarisch aufgelistet, der je nach Unternehmensorganisation entsprechend anzupassen ist. Hierbei ist wie folgt vorzugehen: Der Mitarbeiter, de...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben (letztes Update: 20...mehr

Die Kenntnis von einer Schutzverletzung steht an erster Stelle. In der betrieblichen oder behördlichen Praxis ist oft nicht klar, wann der Verantwortliche von einer "Feststellung" im Sinne der Verordnung ausgehen muss. Relevant ist nämlich u. a., dass ab der Feststellung (und nicht ab Eintritt der Schutzverletzung) die Zeit hinsichtlich der durch die DSGVO vorgeschriebene 72...mehr

5.1.1 Inhalt der Meldung Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) ...mehr

Voraussetzungen Eine öffentliche Bekanntmachung kommt nur als Ersatz für die direkte Benachrichtigung der Betroffenen in Betracht, wenn eine solche Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (Art. 34 Abs. 3 Buchst. c DSGVO). Sie ist also die Ausnahme und setzt voraus, dass die direkte Benachrichtigung der Betroffenen tatsächlich einen sehr hohen Aufwand...mehr

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten: Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt. Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet. Verlust (Data Loss...mehr

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab. Quelle: GDPC GbR Abb. 1: Risikomatrix So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einst...mehr

Der Verantwortliche muss die Betroffenen in 2 Ausnahmefällen nicht benachrichtigen:[1] Wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehören z. B. eine sichere Verschlüsselung oder Pseudonymisierungsmaßnahmen. Wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherste...mehr

"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zuga...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Beim Führen von Personalakten stellt sich für Arbeitgeber regelmäßig die Frage, wie lange die Informationen und Unterlagen aufbewahrt werden dürfen bzw. müssen. Es besteht keine pauschale gesetzliche Aufbewahrungsfrist für allgemeine personenbezogene Daten und Unterlagen im Arbeitsverhältnis. Ob und wann ein Arbeitgeber eine Information oder eine Unterlage aus der Personalak...mehr

Hat der Arbeitgeber rechtmäßig eine Abmahnung ausgesprochen, kann der Arbeitnehmer nach §§ 242, 1004 Abs. 1 Satz 1 BGB (analog) die Entfernung der Abmahnung verlangen, wenn seitens des Arbeitgebers kein schutzwürdiges Interesse am Verbleib der Abmahnung in der Personalakte besteht. Nach Auffassung des Bundesarbeitsgerichts lässt sich für das Recht auf Entfernung der an sich ...mehr

Für verbeamtete Personen beinhalten die Vorschriften § 50 BeamtStG und §§ 106 – 115 BBG ausführliche Regelungen rund um die Personalakte. In der Regel haben die Bundesländer in ihren Beamtengesetzen und zugehörigen Erlassen entsprechende Regelungen getroffen. Nach § 50 Abs. 1 Satz 1 BeamtStG ist für jeden Beamten der Länder, Gemeinden und Gemeindeverbände sowie der sonstigen ...mehr

Der Anspruch auf Entfernung nach §§ 242, 1004 Abs. 1 BGB (analog) hat nicht nur für die Entfernung von Abmahnungen aus der Personalakte Bedeutung. Ein Entfernungsanspruch des Beschäftigten besteht auch bezüglich solcher Angaben aus der Personalakte, die nicht als rechtmäßige Bestandteile von Personalakten gelten und dennoch in die Personalakte des Beschäftigten gelangt sind (...mehr

Begriff Der Datenschutz erhält zunehmend in der öffentlichen Diskussion eine größere Bedeutung. Dabei geht es um den Schutz von personenbezogenen Daten, die auch den Sozialversicherungsträgern (z. B. Krankenkassen, Rentenversicherungsträgern, Arbeitsagenturen, Berufsgenossenschaften) zur Kenntnis gelangen. Aus dem Sozialgeheimnis folgt der Anspruch des Einzelnen, dass die So...mehr

Begriff Sozialdatenschutz bezeichnet den Schutz personenbezogener Daten des Einzelnen. Diese Daten sollen auch insbesondere von den Sozialleistungsträgern vor Missbrauch geschützt werden. Damit ist der Sozialdatenschutz gleichzeitig auch Persönlichkeitsschutz. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Der Sozialdatenschutz ist im SGB I und SGB X geregelt. D...mehr

Rechte der betroffenen Person, die u. a. verletzt werden und bei Vorliegen der Voraussetzungen im Einzelnen geltend gemacht werden können, sind beispielsweise: Auskunftsrecht[1]; Recht auf Berichtigung unrichtiger personenbezogener Daten/Recht auf Vervollständigung unvollständiger personenbezogener Daten[2]; Recht auf Löschung[3]; Recht auf Einschränkung der Verarbeitung[4]; Rech...mehr

Begriff Das Akteneinsichtsrecht ermöglicht den Beteiligten eines Verwaltungsverfahrens die Einsicht in die Akten, die das Verfahren betreffen. Gesetze, Vorschriften und Rechtsprechung Den Rechtsanspruch auf Akteneinsicht regelt § 25 SGB X. Ein spezielles Akteneinsichtsrecht in der Adoption für die Vermittlungsakten bestimmt § 9c AdVermiG. Ein spezielles Informationsrecht in d...mehr

Mit "personenbezogene Daten" sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder ...mehr

Wenn personenbezogene Daten bei der betroffenen Person erhoben werden, muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten grundsätzlich u. a. mitteilen: den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, ggf. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeit...mehr

Alle Leistungsträger haben das Sozialgeheimnis zu beachten. Es besagt, dass jeder darauf Anspruch hat, dass seine Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden dürfen.[1] Der Schutz der Sozialdaten bezieht sich auf alle personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach...mehr

Wann und unter welchen Voraussetzungen Sozialdaten verarbeitet werden dürfen, ist u. a. im Zweiten Kapitel des SGB X geregelt. Dort finden sich Vorschriften über die Möglichkeiten, Sozialdaten zu erheben, zu speichern, zu verändern, zu nutzen und an andere zu übermitteln.[1]mehr

Sozialdaten sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem SGB verarbeitet werden.[1] Betriebs- und Geschäftsgeheimnisse, die gem. § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischar...mehr

Ein zentrales Problemfeld beim Einsatz Künstlicher Intelligenz im notariellen Kontext betrifft die berufsrechtlich normierte Verschwiegenheitspflicht (§ 18 BNotO) sowie die datenschutzrechtliche Zulässigkeit der Verarbeitung besonders schutzwürdiger personenbezogener Daten, wie sie insbesondere im Bereich der Nachlassermittlung regelmäßig anfallen. Die Bewertung der rechtlic...mehr

Die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten durch die in § 35 SGB I genannten Stellen ist zulässig, soweit es gesetzliche Bestimmungen erlauben oder anordnen.[1] Dies gilt auch für die besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO.[2] Die Übermittlung von biometrischen, genetisc...mehr

Bei den einzelnen Leistungsträgern, z. B. den Krankenkassen, existieren Datenschutzbeauftragte. An diese bzw. an die Aufsichtsbehörde kann sich der Bürger wenden, wenn er meint, ihm gegenüber sei der Datenschutz/seien seine Rechte verletzt worden. Personen, die bezüglich ihrer Daten z. B. bei einem Sozialversicherungsträger Probleme und Fragen haben, können sich an diesen Bea...mehr

Der Anspruch auf Geheimhaltung richtet sich gegen die Leistungsträger.[1] Die Wahrung des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden.[2] Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen t...mehr

Eine "Verletzung des Schutzes personenbezogener Daten" versteht sich als Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.[1] Folgerichtig wir...mehr

In jedem Fall wird die Akteneinsicht durch berechtigte Geheimhaltungsinteressen begrenzt. Dies gilt auch für Akteneinsicht nach den Informationsfreiheitsgesetzen der Länder.[1] Solche ergeben sich aus dem Sozialgeheimnis und dem Weitergabeverbot.[2] Die personenbezogenen Daten Dritter müssen daher bei der Akteneinsicht geschützt werden. Dies kann durch Schwärzen oder Herausn...mehr

Begriff Die Bewerbung bzw. das Bewerbungsverfahren zielt auf die Besetzung eines Arbeitsplatzes durch den Arbeitgeber zur Deckung eines bestehenden Personalbedarfs. Regelmäßig erfolgt die Bewerbung als Reaktion auf eine Stellenausschreibung; möglich ist aber auch eine Initiativbewerbung. Mit Einleitung des Bewerbungsverfahrens entsteht ein vorvertragliches Schuldverhältnis z...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. d. Art. 4 Nr. 1 und Nr. 2 DSGVO dar, deren Vorgaben zu beachten sind.[1] Die DSGVO enthält keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Allerdings sind bestimmte Vorgaben der D...mehr

Beschlussfassung Muss der Beschluss zur Hybridversammlung einstimmig sein? Nein, es reicht eine einfache Mehrheit (§ 25 Abs. 1 WEG). Kann der Online-Eigentümer abstimmen? Ja, wenn in dem Beschluss nach § 23 Abs. 1 Satz 2 WEG bestimmt ist, dass die Wohnungseigentümer, die online teilnehmen, abstimmen dürfen. Kann man beschließen, dass ein Wohnungseigentümer an der Versammlun...mehr

Fällt die Installation einer Videoüberwachung auch unter die Regelung in § 20 Abs. 2 Nr. 3 WEG (Einbruchsschutz)? Wenn ja, wie geht man dann mit dem Konflikt zu der bestehenden BGH-Rechtsprechung um, die eine Videoüberwachung in einer WEG nur unter strengen Voraussetzungen erlaubt? Ja. Tatsächlich besteht kein Konflikt, da die BGH-Rechtsprechung nur versucht, die Anforderun...mehr

Angenommen, ein Wohnungseigentümer zeichnet eine Präsenzversammlung heimlich auf Video auf bzw. macht Tonaufnahmen. Auf Hinweis, dies zu unterlassen und zu löschen, verlässt er die Versammlung. Wie verhalte ich mich vor Ort und was ist im Nachgang zu tun. Anzeige? Löschung? Der Wohnungseigentümer hat sich rechtswidrig verhalten und strafbar gemacht. Er sollte vor Ort darauf...mehr

Rz. 54 Darlegungslast bedeutet im Prozess die Verpflichtung, dass jede Partei sämtliche Tatbestandsmerkmale einer für sie günstigen Rechtsnorm behaupten muss. Hinweis Schlüssig- und Erheblichkeit des Sachvortrags Ein Sachvortrag zur Begründung eines Klaganspruchs ist dann schlüssig und erheblich, wenn der Kläger Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeign...mehr

Rz. 2 § 32i AO ist im Verhältnis zu § 63 FGO die speziellere Norm bei Verfahren vor dem FG nach der DSGVO; im Regelfall ergeben sich aufgrund des auch dort geltenden Behördenprinzips keine abweichenden Rechtsfolgen.[1] Rz. 3 § 367 Abs. 2b S. 6 AO hat rein deklaratorischen Charakter und bestätigt die Regelung des § 63 Abs. 1 Nr. 1 AO in Fällen, in denen der Einspruch durch All...mehr

Die gesetzlichen Anspruchsgrundlagen für die verschuldensabhängige Haftung des Arbeitgebers ergeben sich aus den §§ 280 ff. BGB. Grundsätzlich erfordert ein arbeitsvertraglicher Haftungsanspruch eine Pflichtverletzung des Arbeitgebers, ein darauf bezogenes "Vertretenmüssen" [1] sowie den Eintritt eines Schadens beim Arbeitnehmer. Im Rahmen des Vertretenmüssens wird dem Arbeit...mehr

Rz. 3 Eine fristlose Kündigung nach § 543 Abs. 1 setzt voraus, dass der andere Vertragsteil in solchem Maße seine Verpflichtungen verletzt, dass dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere eines Verschuldens der Vertragsparteien, und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Mietverhältnisses bis zum Ablauf...mehr

Mit der Digitalisierung ergeben sich auch neue Anforderungen an den Datenschutz. Hierbei geht es um die Verarbeitungssysteme und deren Konformität zur Datenschutzgrundverordnung (DSGVO). Außerdem ist zu befürchten, dass die Abmahnrisiken im Bereich des Datenschutzes auch für Vereine steigen werden.mehr

mehr

Rz. 14 Besonderheiten gelten für den Rechtsschutz betreffend Verfahren des Datenschutzes im Steuerverwaltungsverfahren nach der DSGVO, die die örtliche Zuständigkeit entweder nach dem Sitz der Aufsichtsbehörde[1] oder nach dem Sitz des Beklagten[2] zuweist. Für weitere Einzelheiten wird auf die Kommentierung von Myßen [3] verwiesen.mehr

Rz. 10 Der Finanzrechtsweg nach § 33 Abs. 1 Nr. 1 FGO setzt ferner voraus, dass es sich bei der Streitigkeit um eine öffentlich-rechtliche Streitigkeit über Abgabenangelegenheiten handelt. Während das Tatbestandsmerkmal der öffentlich-rechtlichen Streitigkeit die Entscheidungskompetenz zwischen den ordentlichen Gerichten bzw. der Arbeitsgerichtsbarkeit sowie den allgemeinen ...mehr

Rz. 29 Von der Möglichkeit der spezialgesetzlichen Zuweisung zur Finanzgerichtsbarkeit hat der Bundesgesetzgeber Gebrauch gemacht in öffentlich-rechtlichen Streitigkeiten über die Altersvorsorgezulagen im Sinne des XI. Abschnitts des EStG [1], Arbeitnehmersparzulage i. Z. mit vermögenswirksamen Leistungen[2], Bergmannsprämien [3], Datenschutzrechtliche Streitigkeiten i. Z. mit der...mehr

Soweit vor dem Abschlussstichtag begangene Verstöße gegen die EU-Datenschutzgrundverordnung oder andere Rechtsgrundlagen, die Ansprüche Dritter begründen, bei Bilanzaufstellung bekannt sind, sind für die daraus entstehenden Aufwendungen (z. B. zur Berichtigung oder Löschung von Daten) Rückstellungen zu bilden. Ggf. ist darüber hinaus auf Basis von Erfahrungswerten eine Pausc...mehr

Rz. 1 Die Vorschrift wurde durch Art. 1 Pflege-Qualitätssicherungsgesetz (PQsG) v. 9.9.2001 (BGBl. I S. 2320) mit Wirkung zum 1.1.2002 eingefügt. Zuletzt wurde durch Art. 132 Nr. 14 des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1705) mit Wirkung zum 26.11.2019 der Wortlaut des Abs. 1 Satz 1 terminologisch an die DSGVO...mehr

Rz. 6 Im Rahmen der Zusammenarbeit kann es auch erforderlich sein, personenbezogene Daten von Leistungsberechtigten zu erheben, zu verarbeiten oder zu nutzen. Zur Sicherung des Sozialdatenschutzes bestimmt deshalb Abs. 4, dass Sozialdaten im Rahmen der Zusammenarbeit nur erhoben, verarbeitet oder genutzt werden dürfen, soweit dies zur Aufgabenerfüllung erforderlich ist oder ...mehr

Rz. 20 Aufzug Der Einbau eines (Außen-)Aufzugs in einem umgewandelten Altbau ist bauliche Veränderung.[35] Auf die Gestattung seines Einbaus kann nach Absatz 2 Satz 1 Nr. 1 ein gesetzlicher Anspruch bestehen. Sie kann dann regelmäßig mit einfacher Mehrheit beschlossen werden und ist in der Regel weder eine grundlegende Umgestaltung der Wohnanlage noch eine unbillige Benachte...mehr

Der reibungslose Transfer von Arbeitnehmerdaten von und in das Vereinigte Königreich wird auch in Zukunft unumgänglich sein. Das Brexit-Abkommen sah zunächst ab dem 1.1.2021 noch einen Übergangszeitraum vor. Danach galt das Vereinigte Königreich für 4 Monate nicht als (unsicheres) Drittland im Sinne der DSGVO. Diese Frist verlängerte sich automatisch um 2 weitere Monate. Nac...mehr