Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 192 Während Personenschaden und Personenfolgeschaden bei Verschuldenshaftung grundsätzlich ohne Begrenzung der Schadenhöhe vom Schadensersatzpflichtigen zu ersetzen sind, ist der hinter einem schadenrechtlich Verantwortlichen stehende Haftpflichtversicherer auf seine versicherungsvertragliche Leistung beschränkt: Der Versicherer schuldet nur eine Leistung (Versicherungsl...mehr

Die Klage hat Erfolg! K habe gegen B einen Anspruch in der eingeklagten Höhe aus § 812 Abs. 1 Satz 1 Fall 1 BGB. B habe die Beträge jeweils ohne Rechtsgrund erlangt. Einen vertraglichen Anspruch aus dem Verwaltervertrag direkt behaupte B selbst nicht. Eine andere Rechtsgrundlage bestehe aber auch nicht. Zwar sei die Erstellung von Bescheinigungen nach § 35a EStG an die einzel...mehr

Verwalter B überweist sich unter dem Verwendungszweck "Verwaltungsgebühren DSGVO" einen Betrag in Höhe von 2.713,20 EUR und unter dem Verwendungszweck "HHDL" (= haushaltsnahe Dienstleistungen) einen Betrag in Höhe von 5.087,25 EUR vom Konto der Gemeinschaft der Wohnungseigentümer K auf sein Geschäftskonto. Ferner überweist B der Hausbank München e. G. 724,28 EUR (B nutzt ein...mehr

Eine Verwaltung hat grundsätzlich nur dann einen Anspruch auf Erstattung ihrer Kosten für die Bescheinigung der haushaltsnahen Kosten und für ihre Leistungen im Zusammenhang mit der DSGVO, wenn das vereinbart ist. Setzt eine Verwaltung eine Anwendung (Software) zur Verwaltung ein, für die sie einem Dritten ein Entgelt schuldet (hier: eine Verwaltersoftware der Hausbank Münch...mehr

Rz. 2 Die Norm gibt vor, unter welchen Voraussetzungen berechtigte Dritte (z. B. Leistungserbringer) auf Daten in Anwendungen der Telematikinfrastruktur zugreifen dürfen. Die Zugriffe sind zu protokollieren. Damit kann der Versicherte seine Rechte im Rahmen der Patientensouveränität wahrnehmen und kontrollieren (BT-Drs. 19/18793 S. 110). Den Protokolldaten ist zu entnehmen, ...mehr

Rz. 2 Die Vorschrift stellt die Ziele, die innerhalb der Telematikinfrastruktur zur Verfügung stehenden Anwendungen, deren Verknüpfung mit anderen Komponenten der Telematikinfrastruktur und ihre Entwicklungsoffenheit fest. Es handelt sich um die zentrale Vorschrift für die Schaffung der Anwendungsinfrastruktur (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 334...mehr

Durch den neu eingeführten § 79a im BGB-Vereinsrecht werden die datenschutzrechtlichen Regelungen von Betroffenen nach der EU-DSGVO eingeschränkt. Dies betrifft insbesondere: Art. 15 DSGVO: Auskunftsrecht Art. 16 DSGVO: Recht auf Berichtigung Art. 21 DSGVO: kein Widerspruchsrecht So bleiben z. B. die Daten ausgeschiedener Vorstandsmitglieder im chronologischen Verlauf des Regist...mehr

Rz. 9 Die Telematikinfrastruktur umfasst eine dezentrale Infrastruktur, zentrale Infrastruktur und Anwendungsinfrastruktur. Die dezentrale Infrastruktur besteht aus Komponenten zur Authentifizierung, zur elektronischen Signatur, zur Verschlüsselung sowie Entschlüsselung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur (Nr. 1). Die zentrale Infrastruktur best...mehr

Rz. 1 § 305 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Neu gefasst wurde die Vorschrift durch das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) mit Wirkung zum 1.1.1996. Das Zwei...mehr

Rz. 1 § 302 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat mit Wirkung vom 1.1.1993 die Überschrift geändert sowie Abs. 1 inhalt...mehr

Rz. 1 Die Vorschrift ist mit dem Erlass des Asylbewerberleistungsgesetzes bereits 1993 in Kraft getreten (dazu BT-Drs. 12/5008 S. 17). Durch das Erste Gesetz zur Änderung des Asylbewerberleistungsgesetz v. 26.5.1997 (BGBl. I S. 1130) wurde Abs. 1 Nr. 1 um den Buchst. d erweitert, der vorübergehend die Erhebung von Zuschüssen in die Statistik einbezog. Durch das Gesetz zur Ei...mehr

Rz. 12 Die gematik ist beauftragt, das Auslesen von Protokolldaten (§ 309 Abs. 1), der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und Hinweisen auf Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen (§ 334 Abs. 1 Satz 2 Nr. 2, 3 und 6) über geeignete Endgeräte zu ermöglichen (Satz 1). Für die Authentifizie...mehr

Rz. 5 Abs. 3 enthält ein Benachteiligungsverbot. Danach darf niemand deshalb bevorzugt oder benachteiligt werden, weil er der Einrichtung einer elektronischen Patientenakte (§ 342 Abs. 1 Satz 2, § 344 Abs. 3) widersprochen, einen Zugriff auf Daten in einer Anwendung nach § 334 Abs. 1 Satz 2 im Wege der Einwilligung nach § 339 Abs. 1a und § 353 Abs. 3 bis 6 erlaubt oder im Wege...mehr

Rz. 2 Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die geset...mehr

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Rz. 14 Die personenbezogenen Daten in der Telematikinfrastruktur erfordern ein besonders hohes Schutzniveau. Die Sicherung des Datenverarbeitungsvorgangs wird durch technische und organisatorische Maßnahmen nach Art. 32 DSGVO gewährleistet (BT-Drs. 19/18793 S. 99 f.). Technische und organisatorische Maßnahmen werden gemäß des Gebots der technikneutralen Gesetzgebung nicht im...mehr

Rz. 6 Die Anwendungen bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die gematik (Satz 1). Die erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur werden durch die gematik im Benehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und durch die gematik auf ihrer Internetse...mehr

Rz. 2 Die Norm regelt den Zugriff auf den elektronischen Medikationsplan, die elektronischen Notfalldaten und die elektronische Patientenkurzakte (§ 334 Abs. 1 Satz 2 Nr. 4 und 5). Die Legitimation der Datenverarbeitung ergibt sich aus einem Zusammenspiel der informierten Einwilligung des Versicherten und der gesetzlichen Befugnisnorm zum konkreten Umfang der Datenverarbeitu...mehr

Rz. 6 Die Protokolldaten sind nach der regelmäßigen Verjährungsfrist des BGB nach 3 Jahren durch die Verantwortlichen unverzüglich zu löschen. Dies schließt nicht aus, dass die Versicherten diese Daten weiterhin auf eigenen Speichermedien vorhalten. Der Fristbeginn ist nicht ausdrücklich geregelt. Zweckmäßig ist, auf den Zeitpunkt der Verarbeitung der Daten i. S. v. Art. 4 N...mehr

Rz. 2 Komponenten und Dienste der Telematikinfrastruktur (Hardware, Software, Dienstleistungen bzw. Kombinationen davon) werden von der gematik zugelassen. Die Zulassung ist durch den Anbieter zu beantragen. Die Vorgaben stellen sicher, dass Komponenten und Dienste, die von Herstellern angeboten werden, funktionsfähig, interoperabel und sicher sind (BT-Drs. 16/3100 S. 174 zu...mehr

Rz. 9 Die ausgebende Krankenkasse ist datenschutzrechtlich für den Inhalt der Notfalldaten und des Medikationsplans verantwortlich. Die Regelung bestimmt die Krankenkassen als die für die Verarbeitung von Daten in den Anwendungen elektronische Notfalldaten und elektronischer Medikationsplan datenschutzrechtlich Verantwortliche nach Art. 4 Nr. 7 DSGVO (BT-Drs. 19/27652 S. 128).mehr

Rz. 16 Krönke, Opt-out-Modelle für die Elektronische Patientenakte aus datenschutzrechtlicher Perspektive, Bertelsmann Stiftung, www.bertelsmann-stiftung.de/en/publications/publication/did/opt-out-modelle-fuer-die-elektronische-patientenakte-aus-datenschutzrechtlicher-perspektive#:~:text=E-Mail-,Description,Datengrundlage%20für%20eine%20effiziente%20Gesundheitsversorgung; ab...mehr

Rz. 6 Satz 1 begründet einen Auskunftsanspruch der Versicherten gegenüber Krankenkassen auf Antrag (schriftlich, mündlich oder auf sonstige Weise). Inhalt des Auskunftsanspruchs sind die im letzten Geschäftsjahr in Anspruch genommenen Leistungen aller Leistungserbringer (Ärzte, Zahnärzte, Krankenhäuser, Apotheken, Rehabilitationseinrichtungen, Heil- und Hilfsmittelerbringer ...mehr

Rz. 4 Der Zugriff auf die Patientenakte (§ 334 Abs. 1 Satz 2 Nr. 1) und die elektronischen Verordnungen (§ 334 Abs. 1 Satz 2 Nr. 6) muss dem Versicherten auch ohne elektronische Gesundheitskarte mittels eines geeigneten sicheren technischen Verfahrens möglich sein (Satz 1). Der Versicherte ist von seiner Krankenkasse umfassend über die Besonderheiten eines Zugriffs ohne den ...mehr

Rz. 3 Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesund...mehr

Überblick Da die Staatsangehörigkeit allein nicht zum Eingreifen der Regelungen des internationalen Arbeitsrechts führt, findet regelmäßig für das Arbeitsverhältnis eines ausländischen Arbeitnehmers in der Bundesrepublik Deutschland allein deutsches Arbeitsrecht Anwendung. Unter Umständen sind jedoch Besonderheiten zu berücksichtigen, die aus der Staatsangehörigkeit oder Spr...mehr

Bei der Einführung von KI-Systemen ist es wichtig, Informationen zur Funktionsweise des Systems bereitzustellen, insbesondere in Bezug auf das Autonomielevel, die Kritikalität und den Umgang mit personenbezogenen Daten.[1] Das Autonomielevel eines KI-Systems beschreibt, inwieweit Entscheidungen von selbstlernender Software übernommen und/oder unterstützt werden können. Dabei ...mehr

mehr

mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

mehr

Sichere Cloud-Lösungen sind eine gute Möglichkeit, um mit Mandanten Informationen und Dokumente auszutauschen. Z. B. lassen sich DSGVO-konforme Kanzlei-Cloud-Lösungen einrichten, in die sich der Mandant einloggen kann. Innerhalb der Cloud-Lösung können z. B. Fibu, Lohn oder BWA sicher abgelegt werden. Steuerberater und Mandant haben über alle Geräte via Login Zugriff auf all...mehr

I. Allgemeines Tz. 1 Stand: EL 137 – ET: 06/2024 Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO...mehr

I. Die Gläubigerinnen sind Enkelinnen der am 22.9.2010 verstorbenen Erblasserin. Die Mutter der Gläubigerinnen, Tochter der Erblasserin, ist vor der Erblasserin verstorben. Die Schuldnerin ist eine weitere Tochter der Erblasserin. Die Erblasserin setzte die Schuldnerin durch notarielles Testament vom 22.6.2010 als ihre Alleinerbin ein und vermachte den Gläubigerinnen eine Imm...mehr

Tz. 22 Stand: EL 137 – ET: 06/2024 Der allgemeine Widerspruch richtet sich gegen eine rechtmäßige Datenverarbeitung auf Basis einer gesetzlichen Erlaubnisnorm (öffentliches Interesse oder berechtigtes Interesse). Der Betroffene muss den Widerspruch mit seiner besonderen Situation anhand des Einzelfalls begründen. Ein Anwendungsfall ist der Werbewiderspruch gegen eine Datennutz...mehr

Tz. 1 Stand: EL 137 – ET: 06/2024 Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO wurde gleichz...mehr

Tz. 2 Stand: EL 137 – ET: 06/2024 Der Anwendungsbereich der DSGVO ist nur eröffnet, wenn personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht somit aus, wenn die Informationen unter Zuhilfenahme weiterer verfügbarer Daten und technischer Mittel einer ...mehr

Tz. 8 Stand: EL 137 – ET: 06/2024 Die Bestimmungen der DSGVO und des BDSG gelten für jeden Verantwortlichen und Auftragsverarbeiter, der eine Niederlassung in der Union hat und im Rahmen der Tätigkeit einer Niederlassung Daten verarbeitet, unabhängig davon, ob die Verarbeitung in der Union stattfindet (s. Art. 3 Abs. 1 DSGVO/§ 1 Abs. 4 Nr. 1, 2 BDSG-neu). Der EuGH versteht de...mehr

Tz. 21 Stand: EL 137 – ET: 06/2024 Werden personenbezogene Daten direkt bei der betroffenen Person abgefragt, so hat der Verein – aus Gründen der Transparenz von Datenverarbeitungsprozessen im Zeitpunkt der Datenerhebung – eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (s. Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein in jedem Formular, d...mehr

Tz. 7 Stand: EL 137 – ET: 06/2024 Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Beachte! Auch Vereine, die "nur" über einen Mitglieder-Karteikasten – geordnet...mehr

1. Sachlicher Anwendungsbereich der DSGVO Tz. 7 Stand: EL 137 – ET: 06/2024 Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Beachte! Auch Vereine, die "nur" über...mehr

Tz. 24 Stand: EL 137 – ET: 06/2024 Sind mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung betraut, muss ein Datenschutzbeauftragter bestellt, seine Kontaktdaten – E-Mail-Adresse auf der Homepage ohne Namensnennung genügt – veröffentlicht und der zuständigen Landesdatenschutzbehörde – hier sind Online-Formulare verfügbar – gemeldet werden. Weiterhin ben...mehr

Tz. 23 Stand: EL 137 – ET: 06/2024 Ist die Verarbeitung unrechtmäßig, besteht ein Recht auf unverzügliche Löschung. Zu löschen ist ebenfalls, soweit die Zwecke, für die Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerrufen hat oder Widerspruch gegen die Verarbeitung wegen unrechtmäßiger Datenver...mehr

Tz. 18 Stand: EL 137 – ET: 06/2024 Berechtigte Interessen eines Vereins spielen immer dann eine Rolle, wenn der Verein bestimmte Daten verarbeiten möchte, diese Daten jedoch weder für die Erfüllung des Mitgliedsvertrags/der Satzung benötigt werden noch eine Einwilligung der Vereinsmitglieder in die entsprechende Datenverarbeitung vorliegt. Die berechtigten Interessen können d...mehr

Tz. 9 Stand: EL 137 – ET: 06/2024 Die DSGVO dient der Datensicherheit. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (s. Art. 32 DSGVO). Konkrete Maßnahmen gibt die DSGVO nicht vor. Sinnvoll sind u. a. technische Zugangskontrollen zu Räumlichkeiten, Schulung der Mitarbeiter, Absicherung der Daten vor Verlust, Verschlüsselung der Daten, z. B. durch...mehr

Tz. 5 Stand: EL 137 – ET: 06/2024 Adressat ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (s. Art. 4 Nr. 7 DSGVO). Dies können natürliche und juristische Personen sein. Verarbeitet ein Verein personenbezogene Daten seiner Mitglieder und sonstiger Personen, ist er Verantwortlicher. Unerheb...mehr

Tz. 12 Stand: EL 137 – ET: 06/2024 Für eine wirksame Einwilligung gelten die folgenden Punkte: Beachte! Eine (Blanco-)Einwilligung heilt nicht in jedem Fall die Datenverarbeitung....mehr

Tz. 11 Stand: EL 137 – ET: 06/2024 Eine gesetzliche Grundlage kann der Vereinszweck sein, der in der Vereinssatzung angegeben sein muss. Die Mitgliedschaft im Verein ist vertragliche Grundlage für die Verarbeitung der Daten durch den Verein. Es dürfen aber nur die Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind und die dem Ve...mehr

Tz. 10 Stand: EL 137 – ET: 06/2024 Der Umgang mit personenbezogenen Daten muss eine gesetzliche Grundlage haben oder es muss die Einwilligung des Betroffenen vorliegen. Daneben sieht die DSGVO auch Fälle vor, in denen im Rahmen einer Interessenabwägung ermittelt werden soll, ob ein berechtigtes Interesse des Verantwortlichen im Verein oder eines sonstigen Empfängers an der Da...mehr

Tz. 6 Stand: EL 137 – ET: 06/2024 Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (s. Art. 4 Nr. 8 DSGVO). Bei der Auftragsvergabe handelt es sich um eine Datenübermittlung. Trotz einer Verlagerung der Verarbeitung haftet der Verantwortliche unveränd...mehr