Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 1 Die Vorschrift ist am 1.1.1989 durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheits-Reformgesetzes – GRG) v. 20.12.1988 (BGBl. I S. 2477) in Kraft getreten. Die Satzungen der damaligen Spitzenverbände der Krankenkassen konnten für die jeweilige Kassenart finanzielle Hilfen in besonderen Notlagen vorsehen. Rz. 2 Mit der Einführung des Risikostrukturausgle...mehr

Rz. 2 Neben der elektronischen Patientenakte können Versicherte auch zusätzliche Anwendungen und Inhalte der Krankenkassen nutzen. Dazu können Versicherte freiwillig ihre Daten aus der Patientenakte zur Verfügung stellen. Die Krankenkassen sind berechtigt, diese Daten zu verarbeiten. Die gesetzlichen Regelungen zur elektronischen Gesundheitskarte stehen in Einklang mit den V...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) v. 14.11.2003 (BGBl. I S. 2190) mit Wirkung zum 1.1.2004 eingefügt. Die Datenaufbereitungsstelle hatte Daten für die in § 303f Abs. 2 a. F. genannten Zwecke aufzubereiten. Rz. 2 Art. 256 Nr. 1 der Neunten Zuständigkeitsanpassungsverordnung v. 3...mehr

Rz. 1 Die Vorschrift wurde durch das Gesetz zur Weiterentwicklung der Finanzstruktur und der Qualität in der gesetzlichen Krankenversicherung (GKV-Finanzstruktur- und Qualitäts-Weiterentwicklungsgesetz – GKV-FQWG) v. 21.7.2014 (BGBl. I S. 1133) zum 1.8.2014 eingeführt. Die Norm enthält Sonderregelungen für die Zuweisungen für Krankengeld und für Versicherte, die während des ...mehr

Rz. 193 Ausländer werden nach Abs. 1 Satz 2 Nr. 3 vom Leistungsbezug ausgeschlossen, wenn sie Leistungsberechtigte nach § 1 AsylbLG sind. Daran hat sich nach der Reform des Asylbewerberleistungsrechts im Frühjahr 2015 und der Neufassung des Abs. 1 mit Wirkung zum 29.12.2016 nichts geändert. Der Leistungsausschluss greift für die Dauer der Leistungsberechtigung. Leistungsbere...mehr

Rz. 12 Die Norm lässt als spezialgesetzliche Vorschrift die Regelungen zum Datenschutzrecht nach dem SGB X (insbesondere § 80 SGB X), dem Bundesdatenschutzgesetz und der Europäischen Datenschutzgrundverordnung unberührt.mehr

Rz. 8 Die Krankenkassen sind verpflichtet, Sozialdaten zu anonymisieren, soweit und sobald dies nach dem Forschungszweck des jeweiligen Forschungsvorhabens möglich ist. Die Anonymisierung gewährleistet, dass Daten nicht mehr versichertenbeziehbar, sondern nur noch fallbeziehbar sind. Rz. 8a "Anonymisieren" wird nach Inkrafttreten der DSGVO und der Änderungen in § 67 SGB X nic...mehr

Rz. 3 Leistungserbringer und Kranken- und Pflegekassen (§ 4 SGB V, § 1 Abs. 3 SGB XI) sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes verarbeiten. Dazu sind abschließend genannte Mindestanforderungen zu erfüllen (Abs. 2, 3). Die Regelung enthält die Erlaubnis, Cloud-Computing für gesetzlich genannte ...mehr

Rz. 3 Krankenkassen können ihren Versicherten neben der von der gematik zugelassenen Patientenakte (§ 325) weitere Anwendungen anbieten (z. B. Patiententagebuch). Die Patientenakte darf durch die freiwilligen Anwendungen nicht beeinträchtigt werden. Versicherte können dazu freiwillig ihre Daten aus der Patientenakte zur Verfügung stellen (Satz 1). Die Vorschrift erfasst z. B...mehr

Rz. 17 Die Krankenkassen übermitteln für jedes Kalenderjahr (Berichtsjahr) die versichertenbezogenen Daten nach Abs. 1, 2 (Satz 1). Die Daten werden benötigt, um den RSA durchzuführen und ihn weiterzuentwickeln. Sie werden für das Kalenderjahr erhoben und pseudonymisiert bis zum 15.8. des Folgejahres über den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) an das ...mehr

Rz. 1 § 31c AO wurde durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften[1] mit Wirkung ab 25.5.2018 in die AO eingefügt. Das Inkrafttreten orientierte sich daran, dass ab dem 25.5.2018 in allen Mitgliedstaaten der EU die Datenschutz-Grundverordnung (DSGVO) [2] anzuwenden ist. Die DSGVO ist gesetzestechnisch als "Verbot mit Erlaubnisvorbehalt"...mehr

Rz. 17 Die Regelung des § 31c AO gilt ausschließlich für die Verarbeitung von Daten i. S. d. Art. 9 Abs. 1 DSGVO. Dort sind als "besondere Kategorien personenbezogener Daten" solche Daten definiert, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftsangehörigkeit hervorgeht, sowie genetis...mehr

Rz. 15 Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal und auch für die nationale Gesetzgebung verbindlich definiert. Er umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung o...mehr

Rz. 3 § 31c AO stellt auf Basis von Art. 9 Abs. 2 Buchst. j DSGVO eine zusätzliche Regelung im nationalen Recht für die Verarbeitung besonderer Kategorien personenbezogener "steuerlicher" Daten zu statistischen Zwecken dar.[1] Diese Daten sind ihrem Wesen nach in Bezug auf Grundrechte und Grundfreiheiten besonders sensibel.[2] Die Verarbeitung der Daten nach § 31c AO setzt d...mehr

Soweit ersichtlich hat das interdiözesane Datenschutzgericht (IDSG)[53] erstmalig eine Entscheidung zur Frage der Aufbewahrungspflicht der Akte eines Verfahrensbeistandes gemäß § 158 FamFG veröffentlicht. In den Gründen setzte es sich eingehend mit der Frage auseinander, ob im konkreten Fall der gerichtlich bestellte Verfahrensbeistand personenbezogene Daten verarbeitet hat....mehr

Rz. 36 Um dem zusätzlichen Schutzbedürfnis bei der Weiterverarbeitung dieser "sensiblen Daten" im Hinblick auf die in Art. 89 DSGVO genannten Garantien zu entsprechen, ergänzt § 31c Abs. 3 S. 1 AO den durch die in § 22 Abs. 2 S. 2 BDSG genannten Maßnahmen[1] gewährten Schutz[2] durch weitere Anforderungen. Die zu statistischen Zwecken verarbeiteten besonderen Kategorien pers...mehr

Rz. 20 Aus dem Wortlaut des § 31c Abs. 1 S. 1 AO ergibt sich zum Regelungsgehalt der Norm keine genauere Bezeichnung oder Eingrenzung der "statistischen Zwecke", die die Einschränkung des Schutzes der betroffenen sensiblen Daten rechtfertigen (sollen). Dennoch ist die Berechtigung zur Nutzung der Daten für statistische Zwecke durch § 31c AO nicht umfassend eröffnet. In teleo...mehr

Rz. 29 Der Verantwortliche hat für die Verarbeitung der Daten nach § 31c Abs. 1 S. 2 AO angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.[1] Nach Art. 4 Nr. 7 DSGVO ist "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verwendung der Daten en...mehr

Rz. 11 Für den Bereich des Steuergeheimnisses unterwirft § 31c AO die über § 30 Abs. 4 Nr. 2b AO bestehende Öffnung für "sensible Daten" weiteren Voraussetzungen. §§ 30 Abs. 10, 31c AO mindern also bestehende Öffnungen für ihren Regelungsbereich. Der Öffnungscharakter für das Steuergeheimnis ergibt sich insoweit aus der Bedeutung des § 31c AO gegenüber dem grundsätzlichen Ve...mehr

Rz. 8 Datenschutzrechtlich betrachtet ist § 31c AO eine gegenüber §§ 29b und 29c AO speziellere nationale Rechtsgrundlage für die Verarbeitung "sensibler Daten" zu statistischen Zwecken. Sie geht dementsprechend für ihren Regelungsbereich den in §§ 29b Abs. 2, 29c Abs. 2 AO geschaffenen Rechtsgrundlagen für die Verarbeitung bzw. Weiterverarbeitung besonderer Kategorien perso...mehr

Rz. 44 Werden sensible Daten durch eine Finanzbehörde verarbeitet, ohne dass die Zulässigkeitsvoraussetzungen des § 31c Abs. 1 S. 1 AO vorliegen, ist diese Verarbeitung rechtswidrig. Dass ggf. die Grundvoraussetzungen des § 30 Abs. 4 Nr. 2b AO für die Verarbeitung von Daten zu statistischen Zwecken eingehalten wurden, macht die entsprechende Nutzung sensibler Daten (noch) ni...mehr

Rz. 33 Um die Statistikzwecke auch erreichen zu können, schränkt Abs. 2 des § 31c AO unter Ausnutzung der Öffnungsklausel des Art. 89 Abs. 2 DSGVO die in den Art. 15[1], 16[2], 18[3] und 21[4] DSGVO vorgesehenen Rechte der betroffenen Person ein. Diese Einschränkung der Betroffenenrechte in Abs. 2 des § 31c AO gilt für alle Kategorien personenbezogener Daten.[5] Diese Einsch...mehr

[7] 1. Das BG hat rechtsfehlerfrei angenommen, dass die nicht auf bestimmte Beitragsanpassungen konkretisierten Feststellungs- und Herausgabeanträge und der unbezifferte Zahlungsantrag wegen Verstoßes gegen § 253 Abs. 2 Nr. 2 ZPO unzulässig sind und das Rechtsschutzbegehren der Kl. auch als Stufenklage unzulässig ist. [8] Nach § 254 ZPO kann die bestimmte Angabe der Leistunge...mehr

ZPO § 254; DSGVO Art. 15; BGB § 242; VVG § 3 Abs. 3 Leitsatz 1. Eine Stufenklage ist unzulässig, wenn sie nicht die Bezifferung eines sich aus der Rechnungslegung ergebenden Anspruchs, sondern die Prüfung zum Ziel hat, ob überhaupt ein Anspruch besteht. 2. Ein Anspruch auf eine Abschrift sämtlicher Begründungsschreiben zu Prämienerhöhungen, Nachträgen von Versicherungsscheinen ...mehr

Rz. 27 Mit der Forderung nach einem "erheblichen Überwiegen" der Interessen der Verantwortlichen an der Verarbeitung gegenüber den Interessen der betroffenen Person an einem Ausschluss der Verarbeitung seiner geschützten Daten verschärft § 31c Abs. 1 S. 1 AO die Verarbeitungsvoraussetzungen für "sensible Daten" gegenüber der Öffnungsklausel des Art. 9 Abs. 2 Buchst. j DSGVO....mehr

Rz. 14 § 31c Abs. 1 AO regelt i. V. m. § 30 Abs. 10 AO besondere ergänzende Voraussetzungen für eine Durchbrechung des Steuergeheimnisses (Rz. 2a f., 11) bei gleichzeitiger datenschutzrechtlicher Abweichung von der Regelung des Art. 9 Abs. 1 DSGVO (s. dazu Rz. 5, 7). Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten durch Finanzbehörden für statistisc...mehr

1. Eine Stufenklage ist unzulässig, wenn sie nicht die Bezifferung eines sich aus der Rechnungslegung ergebenden Anspruchs, sondern die Prüfung zum Ziel hat, ob überhaupt ein Anspruch besteht. 2. Ein Anspruch auf eine Abschrift sämtlicher Begründungsschreiben zu Prämienerhöhungen, Nachträgen von Versicherungsscheinen oder Unterlagen, die Mitteilungen über Prämienerhöhungen be...mehr

Leitsatz Es besteht kein Recht auf Akteneinsicht in die Akten des Finanzamts aufgrund der Datenschutzgrundverordnung. Sachverhalt Strittig ist das Recht auf Akteneinsicht in die Akten des Finanzamts. Die Kläger begehrten die Übersendung einer Kopie einer anonymen Anzeige gegen sie. Hintergrund war eine Kassen-Nachschau bei den Klägern. In diesem Zusammenhang wurde bekannt, da...mehr

Leitsatz 1. § 2a Abs. 5 Nr. 2 der Abgabenordnung ordnet die entsprechende Geltung der Vorschriften der Datenschutz-Grundverordnung für Informationen, die sich auf identifizierte oder identifizierbare Körperschaften beziehen, an. 2. Die Datenschutz-Grundverordnung enthält keinen Anspruch auf Akteneinsicht. 3. Der zuständige Spruchkörper ist grundsätzlich berechtigt und verpflic...mehr

Ein Steuerpflichtiger, bei welchem eine Außenprüfung durchgeführt wird, hat gegenüber dem FA einen Anspruch auf Auskunft über die ihn betreffenden personenbezogenen Daten, welche im Prüfungszeitraum im Rahmen der GewSt, ESt und USt vom FA erhoben worden sind. Diesem Auskunftsanspruch steht nicht entgegen, dass die den Steuerpflichtigen betreffenden personenbezogenen Daten von...mehr

Unternehmen, aber auch steuerlich beratene Privatpersonen, verarbeiten ggf. eine Vielzahl personenbezogener Daten, die den Regelungen der Datenschutzgrundverordnung (DS-GVO) unterliegen. Soweit z.B. Mitarbeiter- oder Kundendaten verarbeitet werden, Videomaterial oder Datenbanken genutzt werden, sind neben einer Rechtfertigung der Verarbeitungsvorgänge (Art. 6, 9 DS-GVO) insb...mehr

Nach Beendigung des Arbeitsverhältnisses besteht nach bisheriger Meinung kein Entfernungsanspruch mehr, da nicht zu befürchten ist, dass die Rechtsstellung des Arbeitnehmers durch die Abmahnung weiter gefährdet ist. Ausnahmen hiervon können gelten, wenn z. B. eine Wiedereinstellung in Betracht kommt, die Abmahnung noch Einfluss auf den Zeugnisinhalt haben kann oder der Arbei...mehr

Rz. 60 Während Art. 24 und 25 DSGVO allgemein die zu treffenden technischen und organisatorischen Maßnahmen fordern und vor allem die Themen Verantwortung, Technikgestaltung und Voreinstellungen regeln, stellt Art. 32 DSGVO konkrete Forderungen an die Sicherheit während der Verarbeitung. Diese Forderungen gelten nicht mehr nur für den Verantwortlichen, sondern auch für den Au...mehr

Rz. 44 § 78b SGB X (Datenvermeidung und Datensparsamkeit) wurde zum 25.5.2018 aufgehoben, "weil der Inhalt inzwischen durch Artikel. 5 Absatz 1 Buchstabe e sowie Artikel 32, Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 geregelt wird" (BT-Drs. 18/12611). Nach Art. 5 Abs. 1 Buchst. c DSGVO müssen personenbezogene Daten "dem Zweck angemessen und erheblich sowie au...mehr

Rz. 1 Die Vorschrift gehört zu den ersten gesetzlichen Regelungen zum Datenschutz im Sozialgesetzbuch und wurde mit dem Ersten Buch des SGB am 13.12.1975 (BGBl. I S. 3015) mit Wirkung zum 1.1.1976 bekannt gemacht. Erste Änderungen erfuhr sie mit Wirkung zum 1.1.1981 mit der Einführung der speziellen Datenschutzregelungen im Zweiten Kapitel des SGB X (BGBl. I S. 1469). Im Lau...mehr

Rz. 65 § 78a SGB X (Technische und organisatorische Maßnahmen) mit seiner Anlage (8-Punkte-Kontrollkatalog) konnte entfallen, weil der Inhalt seit 25.5.2018 durch die DSGVO unmittelbar geregelt wird (vgl. Rz 60). Im Einzelnen finden sich dessen Forderungen des 8-Punkte-Kontrollkataloges in der DSGVO wie folgt wieder: Gegenüberstellung der Rechtsgrundlagen vor und seit dem 25....mehr

Rz. 48 Art. 5 Abs. 2 DSGVO stellt klar, dass der Verantwortliche für die Einhaltung dieser Grundsätze des Abs. 1 verantwortlich ist und dessen Einhaltung nachweisen können muss ("Rechenschaftspflicht"). In welcher Form dieser Nachweis bzw. die Rechenschaft erfolgen soll, ist weder in der Verordnung noch in den Erwägungsgründen der DSGVO abschließend geregelt. Lediglich in EG...mehr

Rz. 35 Wahrung des Sozialgeheimnisses bedeutet auch, dass die Sozialleistungsträger konkrete technische und organisatorische Vorkehrungen zu treffen haben, damit es nicht zu Verletzungen des Sozialgeheimnisses kommt. Bis zum 24.5.2018 ergab sich diese Verpflichtung direkt aus dem 2. Kapitel des SGB X; dort aus § 78a SGB X und wurde für die automatisierte Verarbeitung von Soz...mehr

Rz. 38 Die Rechtmäßigkeit der Verarbeitung ist unmittelbar in Art. 6 DSGVO definiert und in mehreren EG der DSGVO wie z. B. EG 39, 40, 44 bis 47, 51, 63, 69 und 112 erwähnt und näher erläutert. Auf nationaler Ebene wird Art. 6 DSGVO im BDSG ergänzt bzw. konkretisiert und der bislang im deutschen Datenschutzrecht unbekannte Begriff der "Rechtmäßigkeit" der Verarbeitung übernom...mehr

Rz. 37 Personenbezogene Daten "müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden"; dies bedeutet nach EG 39 DSGVO, dass jede Verarbeitung personenbezogener Daten rechtmäßig und nach Treu und Glauben erfolgen sollte. 2.7.1.1.1 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO) Rz. 38 Die Rechtmäßigk...mehr

Rz. 45 Personenbezogene Daten müssen "sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden". Es sollten laut EG 39 DSGVO alle vertretbaren Schritte unternommen werden, dami...mehr

Rz. 69 Geht aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (Rz. 66 f.) hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde (§ 36 Abs. 1 DSGVO). Nach EG 94 DSGVO ist ein solches hohes Risiko "wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit d...mehr

Rz. 47 "Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen" (Abs....mehr

Rz. 52 Mit der Einführung des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) werden ausdrücklich Anforderungen an die Produktentwicklung und -implementierung gestellt. Nach Art. 25 Abs. 1 DSGVO sind von den Verantwortlichen sowohl zum Zeitpunkt der Festlegung der Mittel für die V...mehr

2.7.2.1 Umfang der Verantwortung und Haftung Rz. 49 Gemäß Art 24 DSGVO setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Der EG 74 DSGVO stellt ergänzend klar, dass damit sowohl die Verantwortung als auch die Haftung des Verantw...mehr

Rz. 36 Art. 5 DSGVO enthält in Abs. 1 zunächst die nachstehend erläuterte Aufzählung von 6 Grundsätzen, die bei der Verarbeitung beachtet werden müssen. 2.7.1.1 Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 Buchst. a DSGVO) Rz. 37 Personenbezogene Daten "müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betr...mehr

Rz. 66 Art. 35 DSGVO verpflichtet in Abs. 1 den Verantwortlichen, vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung), wenn die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten bedeuten wird. Ein Risiko wird als hoch eingestuft, wenn die ...mehr

Rz. 73 Die Vorschriften zum Sozialdatenschutz enthalten seit dem 25.5.2018 keine Regelungen zum Schadenersatz mehr; es gilt unmittelbar Art. 82 DSGVO . Es gibt keine ergänzenden oder einschränkenden Regelungen im Sozialdatenschutz dazu, da Art. 82 DSGVO keine erforderliche Öffnungsklausel enthält. § 82 SGB X, der bis 24.5.2018 den Schadenersatz regelte, sofern ein Sozialleistu...mehr

Rz. 55 Bis 24.5.2018 ergab sich die Verpflichtung der Sozialleistungsträger zum Führen eines Verzeichnisses bzw. einer Übersicht über die Verfahren automatisierter Verfahren (Verfahrensverzeichnis) aus § 81 Abs. 4 SGB X mit seinem Verweis auf die §§ 4f und 4g BDSG. Seit 25.5.2018 verpflichtet Art. 30 DSGVO unmittelbar zum Führen eines Verzeichnisses der Verarbeitungstätigkei...mehr

Rz. 46 Personenbezogene Daten müssen "in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisa...mehr