Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Aufgrund der vielfältigen Verpflichtungen, die Arbeitgebern durch das Arbeitsverhältnis auferlegt werden, haben diese ein hohes Interesse daran, dass Personen, die sie beabsichtigen einzustellen, nicht nur in fachlicher Hinsicht, sondern auch in gesundheitlicher Hinsicht die Anforderungen an die konkrete Tätigkeit erfüllen. Die Einstellungsuntersuchung bietet die Möglichkeit...mehr

Nach geltender Rechtslage sind ärztliche Untersuchungen im Rahmen der Einstellung nur auf freiwilliger Basis, also nur mit Einwilligung des Bewerbers zulässig. Für die Einwilligung gelten die datenschutzrechtlichen Grundsätze des BDSG und der DSGVO (siehe Abschnitt 3.2). Der Arbeitgeber darf eine Einstellungsuntersuchung nur verlangen, wenn gesundheitliche Voraussetzungen ein...mehr

Künstliche Intelligenz (KI) kann im Recruiting-Prozess in vielen Bereichen unterstützend wirken, etwa bei der Vorauswahl von Kandidaten, der Analyse von Bewerbungsunterlagen oder der Automatisierung von Kommunikation. Sie bietet die Möglichkeit, Prozesse effizienter zu gestalten und die Entscheidungsfindung durch datenbasierte Ansätze zu unterstützen. Der Einsatz von KI in de...mehr

Rz. 4 Die Vorschrift dient der Steuervollzugssicherung im Rahmen eines elektronischen Risikomanagements.[1] Zu den unterstützenden technischen Anforderungen an das Besteuerungsverfahren zählt gerade auch die Reaktionsmöglichkeit der Verwaltung auf Steuerverkürzungen durch immer stärkere Nutzung der innovativen technischen Möglichkeiten. Zu diesem Zweck wurde mit der Regelung...mehr

Ein Talentpool bezeichnet eine Sammlung von Profilen potenzieller Kandidaten, die für zukünftige Stellenbesetzungen in Betracht gezogen werden können. Ein gut gepflegter Talent Pool trägt dazu bei, den Zeitaufwand, sowie die Kosten für eine Stellenbesetzung erheblich zu minimieren. Für Unternehmen lohnt sich daher der Aufbau entsprechender Datenbanken, wobei die Qualität der g...mehr

Der Geltungsbereich für Schutzmaßnahmen sollte definiert werden, indem festgelegt wird, welche smarten Geräte hinsichtlich des Umgangs mit Daten überprüft werden müssen. Damit verbunden ist auch zu definieren, welche spezifischen Sicherheitsanforderungen die Geräte, z. B. auch eine Cloud und die über die Cloud geregelten Prozesse, erfüllen müssen. Die Sifa kann den Unternehm...mehr

Gemäß Art. 4 Nr. 15 der Datenschutzgrundverordnung (DSGVO) umfassen Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Diese dürfen nur mit Einwilligung des Patienten oder gesetzlicher Erlaubnis gespeichert werden. Sie dürfen nur dann preisgegeben werden, wenn gesetzliche Vorschriften dem Arzt e...mehr

mehr

Überblick Digitale Technologien und telemedizinische Verfahren sind mittlerweile im Gesundheitswesen weit verbreitet. Auch in der zukunftsorientierten Arbeitsmedizin sind in Ergänzung der bestehenden Betreuungsformen bereits zahlreiche Anwendungsgebiete der Telematik identifiziert. Ziel muss eine sichere Anwendung und eine breite Akzeptanz der Instrumente sein – insbesondere...mehr

Der Arbeitgeber hat an seinen Arbeitnehmer Schadensersatz ebenfalls nach den allgemeinen Regeln der §§ 249 ff. BGB zu leisten. Vorrangig ist Naturalrestitution zu leisten.[1] Ist dies nicht möglich, ist eine Entschädigung in Geld nach der Differenzhypothese zu leisten.[2] Die möglichen Anspruchsinhalte sind vielfältig. Kein deliktischer Anspruch besteht im Hinblick auf ein "...mehr

Rn. 91 Stand: EL 187 – ET: 02/2026 Im Zuge der durch das 2. DSAnpUG-EU vom 20.11.2019 (BGBl I 2019, 1626) mWv 26.11.2019 (Art 155 Abs 2 S 2 2. DSAnpUG-EU) erfolgten Anpassung des § 51a EStG an die DSGVO 2016/679/EU ist § 51a Abs 1 S 2 EStG eingefügt worden. Dieser stellt sicher, dass die personenbezogenen Daten, die bei der Erhebung der ESt im Wege des Steuerabzugs verarbeite...mehr

Rn. 2 Stand: EL 187 – ET: 02/2026 Die nunmehr in § 51a Abs 2 EStG enthaltene Regelung wurde durch das EStRefG v 05.08.1974 (BGBl I 1974, 1769) in das EStG eingefügt. Da durch das EStRefG die Kinderfreibeträge abgeschafft und durch das allgemeine Kindergeld ersetzt wurden, hätte sich ohne die Einfügung des § 51a EStG die Bemessungsgrundlage für die KiSt erhöht. Da die Landes-K...mehr

Rn. 41 Stand: EL 187 – ET: 02/2026 § 51a EStG in der durch das StMBG v 21.12.1993 (BGBl I 1993, 2310) geänderten Fassung ist seit dem VZ 1994 anzuwenden. § 51a EStG idF des JStG v 11.10.1995 (BGBl I 1995, 1259) findet ab dem VZ 1996 Anwendung. § 51a EStG in der durch das Gesetz zur Familienförderung v 22.12.1999 (BGBl I 1999, 2552) geänderten Fassung ist ab dem VZ 2000 anzuwend...mehr

Rn. 1 Stand: EL 187 – ET: 02/2026 § 51a Abs 1 EStG: § 51a Abs 1 S 1 EStG enthält die Legaldefinition der Zuschlagsteuern und ordnet mit Ausnahme des § 36a EStG die entsprechende Anwendung des EStG an. § 51a Abs 1 S 2 EStG bestimmt im Hinblick auf die DSGVO 2016/679/EU, dass die zum Zweck der Erhebung der ESt im Wege des Steuerabzugs verarbeiteten personenbezogenen Daten auch fü...mehr

Julia Roglmeier/Markus Sikora/Walter Krug (Hrsg.) 7. Aufl. 2025 1015 Seiten, 149 EUR zerb verlag, ISBN 978-3-95661-158-2 Vor zehn Jahren rezensierte ich bereits die 5. Auflage von "Anwaltformulare Testamente" (ErbR 2015, 167) und kam zu dem Schluss, dass das Werk ein herausragendes Arbeitsmittel für jeden Rechtsanwalt oder Notar ist, der sich mit der Gestaltung von Testamenten b...mehr

Rz. 49b Das Einsichtsrecht in die Bruttoentgeltlisten mit der Angabe von Klarnamen der Arbeitnehmer fällt in den sachlichen Geltungsbereich der Datenschutz-Grundverordnung (DS-GVO) [1] und in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) [2]. Die Namen der Arbeitnehmer und die ihnen zugeordneten Bruttoentgelte sind "personenbezogene Daten" im Sinne von Art. 4 Nr. 1...mehr

Rz. 7 Die Vorschrift will sicherstellen, dass alle Schutzvorschriften zugunsten der Arbeitnehmer auch tatsächlich eingehalten und angewendet werden. Der Begriff der "zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen" ist deshalb weit auszulegen [1] und umfasst auch das Richterrecht [2], bzw. die durch Richterrecht entwickelten Grundsätze, z. B. den allgemeinen arbe...mehr

Seit den ersten flugmedizinischen Untersuchungen zu Beginn des 20. Jahrhunderts und im Straßenverkehr nach dem II. Weltkrieg stellten ab 1971 auch die Berufsgenossenschaften für den betrieblichen Bereich einen Untersuchungsgrundsatz („G25“; heute E FSÜ) vor, der aus damaliger Sicht zur Unfallverhütung beitragen sollte. Heute sind FSÜ in vielen Berufen üblich, die aktiv Fahrze...mehr

Sobald KI-Systeme personenbezogene Daten verarbeiten – sei es Mandantendaten oder Daten der Mitarbeitenden – gelten vollumfänglich die Vorgaben der DSGVO. Deshalb müssen insbesondere: eine Rechtsgrundlage für die Verarbeitung vorliegen (Art. 6 DSGVO) – etwa die Erfüllung des Mandatsvertrags oder berechtigte Interessen, Auftragsverarbeitungsverträge mit KI-Dienstleistern geschlo...mehr

4.1 Welche Voraussetzungen zur Aufbewahrung und Löschung personenbezogener Daten gibt es? Bei personenbezogenen Daten gebietet die DSGVO eine Löschpflicht, wenn der ursprüngliche Zweck für die Verarbeitung erreicht ist und kein weiterer Grund mehr für eine weitere Verarbeitung vorliegt. In der DSGVO wird dieser Grundsatz dann in Art. 5 Abs. 1 lit. e mit "Speicherbegrenzung" b...mehr

Rz. 144 Durch das Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie wurden spezielle datenschutzrechtliche Regelungen zur Verarbeitung personenbezogener Daten durch die Verpflichteten in das GwG eingefügt. Nach § 11a Abs. 1 GwG dürfen personenbezogene Daten von dem Verpflichteten nur verarbeitet werden, soweit dies auf Grundlage des GwG für Zwe...mehr

Wichtigste Vorfrage und erste Weichenstellung im Datenschutz ist die Frage, ob überhaupt personenbezogene Daten verarbeitet werden. Auf die Verarbeitung (tatsächlich) anonymisierter Arbeitnehmerdaten ist das Datenschutzrecht von vornherein nicht anwendbar. Personenbezogene Daten sind z. B. dann nicht zwingend erforderlich, wenn Bewertungen von Informationen auf Unternehmens-...mehr

Bei personenbezogenen Daten gebietet die DSGVO eine Löschpflicht, wenn der ursprüngliche Zweck für die Verarbeitung erreicht ist und kein weiterer Grund mehr für eine weitere Verarbeitung vorliegt. In der DSGVO wird dieser Grundsatz dann in Art. 5 Abs. 1 lit. e mit "Speicherbegrenzung" bezeichnet. Als Verarbeitung zählt nach Art. 4 Nr. 2 auch die Speicherung von personenbezo...mehr

Überblick Hinter dem Begriff "künstliche Intelligenz" (KI oder englisch: AI – "Artificial Intelligence") verbergen sich zumeist besondere, selbstlernende Algorithmen, bzw. Modelle, die mit vorzugsweise großen Datenmengen trainiert wurden. KI-basierte Software kann u. a. selbstständig unbekannte Sachverhalte bewerten, Prognosen und Empfehlungen abgeben oder auch Entscheidunge...mehr

Datenschutzrechtlich stellt die Beauftragung der Archivierung von Dokumenten eine Verarbeitung gem. Art. 4 Nr. 2 DSGVO und, wenn dazu ein Dienstleister eingesetzt wird, eine Auftragsverarbeitung nach Art. 28 DSGVO dar. Eine Auftragsverarbeitung ist innerhalb Deutschlands, aber auch EU- bzw. EWR-weit gestattet, sofern der Dienstleister sorgfältig ausgewählt und vom Auftraggeb...mehr

Sollen Computersysteme Mitarbeitern direkt und verbindlich Anweisungen erteilen (vgl. Beispiele unter Abschn. 2.5), stellen sich aus rechtlicher Sicht zwei Fragen: Verbietet Art. 22 DSGVO eine (rein) maschinelle Entscheidung von vornherein? (meistens Nein) Welche speziellen Anforderungen stellt § 106 GewO an die Übertragung des Weisungsrechts auf Computersysteme? Art. 22 Abs. 1...mehr

Rz. 15 § 27 Abs. 1 Satz 2 verbietet ausdrücklich die unbefugte Bekanntgabe der Mitteilung der Frau über ihre Schwangerschaft bzw. das Stillen an Dritte. Die Norm stellt das klar, was nach dem BDSG, aufgrund arbeitsvertraglicher Nebenpflicht und in Anerkennung des allgemeinen Persönlichkeitsrechts der werdenden oder jungen Mutter ohnehin gilt: Es ist Sache der Frau zu entsche...mehr

Aus Datenschutz- und Geheimschutzgründen ist es ratsam, KI-Dienste zu nutzen, die in der EU gehostet werden oder zumindest ein gleichwertiges Datenschutzniveau garantieren. Bei Anbietern außerhalb der EU (z. B. in den USA) findet ein Datentransfer in Drittländer statt. Solche Transfers sind nur zulässig, wenn das Land ein von der EU anerkanntes Datenschutzniveau hat oder and...mehr

Beim Einsatz von KI in der Steuerberatung sind verschiedene rechtliche Rahmenbedingungen zu beachten: Berufsrecht: Steuerberater unterliegen einer besonderen Berufsverschwiegenheit (§ 203 StGB, StBerG, BOStB). Vertrauliche Mandantendaten dürfen nur an KI-Dienstleister weitergegeben werden, wenn diese rechtlich und vertraglich strikt an die Verschwiegenheit gebunden sind. Es ist...mehr

Für aufbewahrungspflichtige Daten und Dokumente sollte keine Löschmöglichkeit vor dem Ende der Aufbewahrungsfrist vorhanden sein. Auch sollte keine automatisierte Löschung nach Ende der Aufbewahrungsfrist (z. B.: "stets alle Daten löschen, die älter als 11 Jahre sind") erfolgen. Vor dem Löschprozess sollte zwingend eine organisatorische Freigabe eingeholt werden, um dem Umsta...mehr

Strafrecht (StGB): Nach § 201 StGB ist das Aufnehmen nichtöffentlicher Gespräche nur mit vorheriger Einwilligung aller Beteiligten zulässig. Eine nachträgliche Einwilligung ist unzulässig. Datenschutz (DSGVO): Beim Einsatz von Diktier-KI werden regelmäßig personenbezogene Mandantendaten verarbeitet. Erforderlich sind insbesondere: eine gültige Rechtsgrundlage (meist Einwilligu...mehr

Mit "KI-Verzeichnis" in diesem Kontext ist eine interne Übersicht aller KI-Einsätze in der Kanzlei gemeint, in der ihr festhaltet, welche KI-Tools wofür genutzt werden, mit welchen Daten, und unter welchen Regeln. Das ist kein gesetzlich fest definierter Begriff wie z. B. das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO – sondern ein praxisnahes Compliance-Werkzeug, d...mehr

Rn. 34 Stand: EL 48 – ET: 02/2026 § 162 Abs. 5 Satz 1 AktG verbietet Angaben im Vergütungsbericht, die sich auf die Familiensituation einzelner Mitglieder des Vorstands oder AR beziehen. Hierunter fallen z. B. Angaben zu etwaigen Familien- oder Kinderzuschlägen; es soll in solchen Fällen nur der Gesamtbetrag genannt werden, nicht jedoch der Grund für die Gewährung (vgl. BT-Dr...mehr

Ergänzend ist bei der Aufbewahrung zu berücksichtigen, dass der spätere Zugriff der Finanzverwaltung inhaltlich und zeitlich derart zu begrenzen ist, dass dem Prüfer im Rahmen der unmittelbaren Zugriffsvariante ausschließlich die Daten des maßgeblichen Prüfungszeitraums (entsprechend der Prüfungsanordnung) zugänglich gemacht werden. Auch datenschutzrechtliche Aspekte sollten...mehr

Vertrauliche Mandantendaten sollten keinesfalls ungeschützt in öffentlichen KI-Diensten eingegeben werden. Steuerberater unterliegen der strikten Verschwiegenheitspflicht (§ 57 Abs. 1 StBerG, § 5 BOStB) und dem Schutz von Mandantengeheimnissen nach § 203 StGB. Anders als durch die DSGVO sind damit auch Daten von nicht natürlichen Personen geschützt, Bei der Nutzung externer ...mehr

Der EU AI Act, ist zum 1. August 2024 in Kraft getreten, aber die meisten Verpflichtungen werden erst nach einer Übergangsfrist gelten. Sie ist der weltweit erste umfassende Rechtsrahmen für KI. Für die Steuerberatung als solche sind keine speziellen Verbote oder Pflichten vorgesehen. Jedoch sind einige Regelungen auch für die Steuerberatungspraxis relevant. Der AI Act verfol...mehr

Wenn Kanzlei und Mandant gemeinsam KI-Systeme nutzen (z. B. Mandantenportal mit KI-Chat, KI-gestützte Belegprüfung oder gemeinsame Dokumentenplattform), sollten einige Punkte besonders beachtet werden: Klare Rollen- und Aufgabenverteilung Wer ist für welchen Arbeitsschritt zuständig (Datenerfassung, Prüfung, finale Freigabe)? Wo endet die Mandantenverantwortung (z. B. Bereitste...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Rechtsgrundlagen sind die EU-Datenschutzgrundverordnung (EU-DSGVO) 2016/679, welche unmittelbar gilt, und das Bundesdatenschutzgesetz (BDSG), welches auf nationaler Ebene die Erfordernisse der EU-DSGVO umsetzt und diese ergänzt. Entsprechend der §§ 5 – 7 BDSG benennen öffentliche Stellen einen Datenschutzbeauftragten. Bei nicht öffentlichen Stellen benennen der Verantwortlich...mehr

Neben einem evidenten Verstoß werden Betroffene häufig mit der Situation eines Verdachtsfalls konfrontiert. In diesen Fällen ist besondere Vorsicht geboten, da es dem internen Arbeitsklima ungemein schaden kann, wenn sich herausstellt, dass ein Mitarbeiter zu Unrecht beschuldigt und verdächtigt wurde. Dennoch muss Verdachtsfällen immer nachgegangen werden, da im Zweifelsfall...mehr

Überblick Betriebsbeauftragte werden vom Arbeitgeber aufgrund verschiedener Gesetze insbesondere auf dem Gebiet des Umweltschutzes, des Arbeitsschutzes und des Datenschutzes eingesetzt. Sie werden vom Unternehmer für einen bestimmten Aufgabenbereich bestellt und sind meistens Arbeitnehmer, seltener auch externe – also nicht betriebsangehörige – Personen. Ihre Aufgabe ist die...mehr

Gemäß Art. 39 DSGVO ist der Datenschutzbeauftragte zuständig für die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; Überwachung der Einhaltung der DSGVO und anderer Dat...mehr

Betriebsbeauftragte können im Rahmen der arbeitsschutzrechtlichen Vorschriften – insbesondere des ArbSchG sowie nach den Verordnungen zum ArbSchG – bestellt werden. Im Bereich des Arbeitsschutzes ist die Bestellung von Beauftragten unter den jeweils genannten Voraussetzungen regelmäßig zwingend vorgeschrieben. Betriebsbeauftragte, die nach dem ArbSchG bzw. aufgrund der zugeh...mehr

Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.[1] Der Verantwortli...mehr

Der Datenschutzbeauftragte genießt besonderen Schutz aufgrund seiner Stellung. Er darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.[1] Die Abberufung ist nur in entsprechender Anwendung des § 626 BGB zulässig; die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsache...mehr

Begriff Betriebsbeauftragte sind Arbeitnehmer oder nicht betriebsangehörige Personen, die vom Arbeitgeber aufgrund verschiedener Gesetze auf den Gebieten des Umweltschutzes, des Arbeitsschutzes und des Datenschutzes zur Kontrolle und Einhaltung dieser Gesetze bestellt werden müssen. Sie zeichnen sich durch Fachkunde und Zuverlässigkeit aus. Gesetze, Vorschriften und Rechtspr...mehr

Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Mens...mehr

Die Betroffenen, deren Daten verarbeitet werden bzw. erhoben und gespeichert worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten: Recht auf Auskunft über die Verarbeitung personenbezogener Daten (Art. 15) Recht auf Berichtigung unrichtiger Daten (Art. 16) Recht auf Löschung der Daten unter bestimmten Voraussetzungen (Art. 17) Recht auf Ein...mehr

Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange: Interne Daten, wie Finanzdaten, Erfindungen, Business Planning etc. Daten von Mitarbeitenden sowie Daten im Rahmen des Personalwachstums (z. B. Bewerbende) Daten von Kunden und Lieferanten Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden D...mehr

Ob geschäftlicher Internetauftritt oder Direktmarketingaktionen: Überall werden Daten von Nutzern erhoben, verarbeitet oder gespeichert – wenn oftmals auch nur für wenige Augenblicke. Auch hier gelten Datenschutzvorschriften. Besonders das Gebot der Datensparsamkeit (§ 71 BDSG) bzw. Datenminimierung (Art. 5 DSGVO) wird häufig missachtet. Gerade das Internet mit seinen vielfä...mehr