Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Fällt die Installation einer Videoüberwachung auch unter die Regelung in § 20 Abs. 2 Nr. 3 WEG (Einbruchsschutz)? Wenn ja, wie geht man dann mit dem Konflikt zu der bestehenden BGH-Rechtsprechung um, die eine Videoüberwachung in einer WEG nur unter strengen Voraussetzungen erlaubt? Ja. Tatsächlich besteht kein Konflikt, da die BGH-Rechtsprechung nur versucht, die Anforderun...mehr

Wie geht man mit Eigentümern ohne Computer um, die sich nur telefonisch einwählen können? Wenn der Beschluss (auch) diese Möglichkeit vorsieht, ist das nicht zu beanstanden. Was passiert, wenn einzelne Eigentümer nicht mit der Datenübertragung einverstanden sind bzw. sich nicht geäußert haben? Diese Frage ist derzeit rechtssicher nicht zu beantworten. Ich gehe davon aus, da...mehr

Angenommen, ein Wohnungseigentümer zeichnet eine Präsenzversammlung heimlich auf Video auf bzw. macht Tonaufnahmen. Auf Hinweis, dies zu unterlassen und zu löschen, verlässt er die Versammlung. Wie verhalte ich mich vor Ort und was ist im Nachgang zu tun. Anzeige? Löschung? Der Wohnungseigentümer hat sich rechtswidrig verhalten und strafbar gemacht. Er sollte vor Ort darauf...mehr

Gibt es eine Art Anleitung, wie man nach § 23 Abs. 2 WEG korrekt einen TOP-Vorschlag für einen Beschluss verfasst? Jein! Die korrekte Bezeichnung ist leider eine Frage des Einzelfalls. Die Eckpunkte sind die Folgenden: Die vorgesehenen Beschlussgegenstände sind in deutscher Sprache textlich so genau zu bezeichnen, dass die Wohnungseigentümer verstehen und überblicken können,...mehr

Rz. 43 Die Pflegekassen stellen ihnen zur Verfügung stehende nicht personenbezogene Versorgungsdaten zur Entwicklung der regionalen pflegerischen Versorgungssituation regelmäßig den zuständigen Gebietskörperschaften zur Unterstützung bei ihren Aufgaben nach § 9 bereit, Satz 1. Rz. 44 § 9 beschreibt die Aufgaben der Länder, die ganz generell für die Vorhaltung einer leistungsf...mehr

1) Gibt es Tätigkeiten, bei denen mehr als 10 % der Beschäftigten als Ersthelfer ausgebildet werden müssen? Ja. Das ist dann der Fall, wenn die Anzahl der anwesenden Beschäftigten sehr gering ist. Bei 2 bis 20 Beschäftigten ist ein Ersthelfer erforderlich. Folglich ist es z. B. bei Baustellenbetrieb oder Arbeiten unter Spannung erforderlich, dass bei einer 2-Mann-Kolonne ein ...mehr

Ja. Beim Versand und Empfang von E-Rechnungen sollten zusätzliche Maßnahmen ergriffen werden, die gewährleisten, dass eine E-Rechnung nicht abgefangen und manipuliert werden kann bzw. dass die DSGVO eingehalten wird. Als vorteilhaft können sich Plattformlösungen erweisen. Die Versandart E-Mail sollte daher bis zur Einführung einer Übermittlungspflicht der E-Rechnung an die F...mehr

Rz. 1 § 13 BUrlG enthält eine Kollisionsregelung für den Fall, dass Regelungen des Bundesurlaubsgesetzes (BUrlG) mit kollektiven Normen aus Tarifverträgen und Betriebsvereinbarungen oder mit Regelungen aus Arbeitsverträgen zusammentreffen. Die Bestimmungen des BUrlG sind grundsätzlich unabdingbar. Auch durch Tarifvertrag darf von den Regelungen der §§ 1, 2 und 3 Abs. 1 BUrlG ...mehr

I. Die Klägerin wendet sich gegen die Beendigung ihres datenschutzrechtlichen Beschwerdeverfahrens. Sie ist Alleinerbin ihrer am 4.6.2020 verstorbenen Ehefrau D … Diese hatte Ende 2019 einen Vertrag mit dem I … in K … – I … – abgeschlossen, um dort eine genetische Analyse von Tumorgewebe durchführen zu lassen. Eine Vorkassenrechnung hierfür wurde über das Konto des Institutsin...mehr

1. Das Schutzregime der Datenschutz-Grundverordnung bezieht sich grundsätzlich (nur) auf den Schutz von Daten lebender natürlicher Personen. 2. Das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO erlischt grundsätzlich mit dem Tod der betroffenen Person. Eine übergangsfähige Rechtsposition i.S.v. § 1922 Abs. 1 BGB besteht nicht. Die Erben des Verstorbenen sind daher...mehr

Leitsatz 1. Das Schutzregime der Datenschutz-Grundverordnung bezieht sich grundsätzlich (nur) auf den Schutz von Daten lebender natürlicher Personen. 2. Das Recht zur Datenschutzbeschwerde nach Art. 77 Abs. 1 DSGVO erlischt grundsätzlich mit dem Tod der betroffenen Person. Eine übergangsfähige Rechtsposition i.S.v. § 1922 Abs. 1 BGB besteht nicht. Die Erben des Verstorbenen si...mehr

Haben Sie heute schon KI-basierte Assistenzsysteme genutzt und anschließend "zur Sicherheit" analog oder über eine der gängigen Datenbanken überprüft? Haben Sie auch Hemmungen, personalisierte Schriftstücke hoch zu laden, auch wenn die Anbieter absolute DSGVO-Konformität versprechen? Und haben Sie überhaupt die richtigen Fragen an die KI gestellt? Ach ja, es heißt ja nicht f...mehr

Neben dem Berufsrecht bleibt gem. § 62a Abs. 8 StBerG auch die Datenschutz-Grundverordnung (DSGVO) anwendbar. Daraus folgt, dass es bei personenbezogenen Daten auch einer Rechtfertigung gem. Art. 28 DSGVO durch einen Auftragsverarbeitungsvertrag oder nach Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO einer Einwilligung des Betroffenen bedarf. Die Nutzung von personenbezogenen Mandatsd...mehr

Überblick Der Einsatz von KI-Modulen bietet große Chancen für den Einsatz in Steuerberatungskanzleien. Dieses sind dabei als dienendes Werkzeug zu verstehen und ihre Ergebnisse steht zu überprüfen. Für die Anwendung an sensiblen Informationen sind Auftragsverarbeitungsverträge gem. Art 28 DSGVO sowie Dienstleistungsverträge gem. § 62a StBerG zu schließen oder die Daten sorgf...mehr

Die Verschwiegenheit der Steuerberater ist vielseitig festgeschrieben und abgesichert. Sie ist ein hohes Gut und Ausprägung des besonderen Vertrauensverhältnisses zwischen Steuerberater und Mandant. Der Mandant muss darauf vertrauen können, dass die von ihm gegebenen Informationen vom Steuerberater nur auftragsgemäß verarbeitet und weitergegeben werden. So konkretisiert § 57...mehr

Art. 50 Abs. 6 KI-VO stellt klar, dass sonstige Transparenzpflichten unberührt bleiben. Eine berufsrechtliche Pflicht zur Offenlegung der persönlichen Arbeitsweise besteht zurzeit nicht, mithin auch keine Pflicht den internen Einsatz von KI-Modellen offenzulegen. Dies bleibt jedoch beschränkt auf die Bereiche in denen keine Einwilligung eingeholt werden muss, sei es gem. § 6...mehr

Unbestritten ist, dass die Künstliche Intelligenz (KI) nicht nur über die internationale Wettbewerbsfähigkeit der Unternehmen bestimmen wird. Auch kleinere und mittelständische Unternehmen müssen sich mittelfristig im nationalen Wettbewerb an ihrer KI-Kompetenz messen lassen. Fakt ist allerdings, dass Sie dabei auf die Kompetenzen und die individuelle Flexibilität Ihrer einz...mehr

Rz. 24 Modellvorhaben nach Abs. 1 können insbesondere informationstechnische und organisatorische Verbesserungen der Datenverarbeitung, einschließlich der Erweiterungen der Befugnisse zur Verarbeitung von personenbezogenen Daten betreffen (Satz 1). Rz. 24a Die bisherige Begriffstrias der Erhebung, Verarbeitung und Nutzung wird redaktionell an die Begriffsbestimmung des Art. 4...mehr

Rz. 34 Die Krankenkassen stellen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die Krankenkassen sind befugt, für die Identifizierung Daten aus dem Personalausweis oder dem Pass auszulesen und zu verarbeiten (Satz 2). Die digitale Identität ist nicht an eine Chipkarte g...mehr

Rz. 11 Primärpräventive Leistungen beziehen sich auf die Veränderung des individuellen Verhaltens und auf die Veränderung der Verhältnisse in den Lebenswelten der Versicherten. Dementsprechend werden als Leistungen erbracht: Leistungen zur verhaltensbezogenen Prävention nach Maßgabe von Abs. 5, Leistungen zur Gesundheitsförderung und Prävention in Lebenswelten für in der geset...mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 40 Die Modellvorhaben sind im Regelfall auf längstens 8 Jahre zu befristen (Satz 1). Für eine längere Laufzeit ist eine Begründung erforderlich. Die zeitliche Höchstgrenze soll verhindern, dass Modellvorhaben zweckentfremdet und bestimmte Versorgungsstrukturen oder Leistungsangebote dauerhaft ohne Bewertung ihrer Auswirkungen eingeführt werden (BT-Drs. 13/6087 S. 27). Un...mehr

Rz. 61 Abs. 6 Satz 5 verpflichtet das Bundesinstitut für Arzneimittel und Medizinprodukte zur Erstellung einer bis zum 31.3.2022 laufenden nichtinterventionellen Begleiterhebung, die dazu dient, Erkenntnisse über die Wirkung von Cannabis zu medizinischen Zwecken zu gewinnen. Hierdurch soll eine Grundlage für die Entscheidung über die dauerhafte Aufnahme in die Versorgung ges...mehr

Rz. 34 Die mit dem Siebten Gesetz zur Änderung des Vierten Buches Sozialgesetzbuch und anderer Gesetze v. 12.6.2020 (BGBl. I S. 1248) eingefügten weiteren Sätze (Sätze 2 ff.) traten aufgrund Art. 2e des Gesetzes zur Umsetzung der Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen und zu...mehr

Rz. 12 Die Norm lässt als spezialgesetzliche Vorschrift die Regelungen zum Datenschutzrecht nach dem SGB X (insbesondere § 80 SGB X), dem Bundesdatenschutzgesetz und der Europäischen Datenschutzgrundverordnung unberührt.mehr

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Rz. 15 Die gematik legt die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten nach den Abs. 6 und 7 fest (Satz 1). Dazu setzt sich die gematik mit dem BSI und dem BfDI auf Basis der jeweils gültigen Technischen Richtlinien des BSI ins Benehmen (Satz 2). Rz. 16 Das ursprünglich herzustellende Einvernehmen wird zugunsten der Herstellung des Benehme...mehr

Rz. 3 Leistungserbringer und Kranken- und Pflegekassen (§ 4 SGB V, § 1 Abs. 3 SGB XI) sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes verarbeiten. Dazu sind abschließend genannte Mindestanforderungen zu erfüllen (Abs. 2, 3). Die Regelung enthält die Erlaubnis, Cloud-Computing für gesetzlich genannte ...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr

Rz. 28 Die Krankenkassen dürfen Komponenten und Dienste der elektronischen Patientenakte den Unternehmen der privaten Krankenversicherung (PKV) zur Verfügung stellen und in deren Auftrag betreiben (Satz 1). Die Regelung gilt auch für die sonstigen in § 362 Abs. 1 genannten Einrichtungen (z. B. Postbeamtenkrankenkasse). Ob die PKV oder die sonstigen Einrichtungen diese Möglic...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 33 des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2026. Rz. 2 Die Vorschrift regelt die Ausgabe von elektronischen Heilberufs- und Beruf...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingeführt. Sie wurde seitdem mehrfach geändert, zuletzt durch Art. 3 Nr. 38a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2026. Rz. 2 Die Norm regelt abschließend ("auss...mehr

Überblick Digitale Systeme werden im Personalbereich schon seit Jahren eingesetzt und ihr Gebrauch wird in Zukunft voraussichtlich weiter zunehmen. Die Digitalisierung bietet Vorteile wie mehr Effizienz, bessere Transparenz, Zeitgewinn und größere Flexibilität. Allerdings bringt sie auch Herausforderungen mit sich: Besonders bei sensiblen Mitarbeiterdaten entstehen komplexe ...mehr

Dem Beklagten (Auftraggeber und Zahlender) stehe allerdings ein Schadensersatzanspruch gegen den Werkunternehmer in Höhe des gezahlten Betrags zu. Diesen könne er dem Anspruchsteller unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten. Der Anspruch resultiere aus Art. 82 der Datenschutz-Grundverordnung (DS-GVO).[10] Die Vorschrift eröffne einen dir...mehr

Nachrichtenprogramme (sog. Messenger) haben mit den Smartphones eine weite Verbreitung erfahren. Es ist inzwischen Standard geworden, der eigentlichen Textnachricht Anhänge unterschiedlichster Art – und damit auch Rechnungen – beifügen zu können. Eine Reihe von Messengern bietet auch die sog. Ende-zu-Ende-Verschlüsselung, die es gewährleistet, dass die Daten der jeweiligen N...mehr

Der Schutz personenbezogener Daten ist ein wesentliches Element bei der Implementierung digitaler Prozesse. Die Einführung und Nutzung digitaler Technologien wird in aller Regel die Verarbeitung personenbezogener Daten[1] umfassen. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richtet sich nach der DSGVO und dem BDSG. Nach Art. 88 Abs. 1 DSGVO ist eine na...mehr

Die Einwilligung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Einwilligung muss frei, spezifisch und unmissverständlich erteilt werden.[1] In einem Beschäftigungsverhältnis kann die Einwilligung eines Mitarbeiters aufgrund des Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber in der Regel nicht als freiwilli...mehr

Die Verarbeitung ist außerdem zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Das Kriterium der Erforderlichkeit ist dabei eng auszulegen.[1] Demnach sind digitale Maßnahmen nur dann zulässig, wenn sie zur Durchführung des Arbeitsverhältnisses unmittelbar notwendig sind, z. B. zur Erfassung der Arbeitszeiten.mehr

Für die Verarbeitung der personenbezogenen Daten der Beschäftigten ist in der Praxis häufig Art. 6 Abs. 1f DSGVO heranzuziehen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt jedoch nur, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Perso...mehr

Gemäß Art. 12 ff. DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß Art. 13 DSGVO und 14 DSGVO und alle Mitteilungen gemäß Art. 15–22 DSGVO und Art. 34 DSGVO die sich auf die Verarbeitung beziehen, bereitzustellen. Diese Informationen müssen präzise, transparent, verständlich und leicht zugänglich und in klarer und...mehr

Die erhobenen Daten müssen korrekt und auf dem aktuellen Stand sein.[1] Zudem dürfen sie nur so lange gespeichert werden, wie dies für den verfolgten Zweck notwendig ist.[2] Der Verantwortliche ist darüber hinaus gemäß Art. 17 DSGVO verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet w...mehr

Mitarbeiter haben nach den Art. 15–21 DSGVO verschiedene Rechte, die sie gegenüber dem Arbeitgeber geltend machen können. Auskunftsrecht (Art. 15 DSGVO): Zunächst haben Mitarbeiter das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Praxis-Tipp Erforderlichkeit der Datenübersicht Um das Auskunftsersuchen eines Betro...mehr

Der Einsatz von KI ist im Recruiting mittlerweile sehr verbreitet. Während Personalprozesse dadurch effizienter, zügiger und oftmals weniger fehleranfällig werden, erhöhen sich zugleich die Anforderungen an den Schutz personenbezogener Daten. Gerade im Bewerbungsverfahren, das häufig eine Vielzahl hochsensibler Informationen enthält, müssen Unternehmen besonders sorgfältig u...mehr

Art. 22 Abs. 1 DSGVO verbietet, Betroffene einer ausschließlich auf einer automatisierten Datenverarbeitung beruhenden Entscheidung zu unterwerfen, die ihnen gegenüber Rechtswirkung entfaltet oder sie auf eine ähnliche Weise erheblich beeinträchtigt. Damit sollen Betroffene vor vollautomatisierten Entscheidungen durch Algorithmen geschützt werden und die Letztentscheidungsbe...mehr

Der Einsatz von KI in der Beendigungsphase eines Arbeitsvertrags, etwa bei der automatisierten Analyse von Leistungsdaten zur Entscheidung über Kündigungen oder bei der Vorhersage von Personalabbaupotenzialen, wirft erhebliche datenschutzrechtliche Fragen auf. Da in dieser Phase besonders sensible personenbezogene Daten verarbeitet werden, unterliegt die Nutzung von KI den s...mehr

Gemäß Art. 5 Abs. 1a DSGVO muss jede Datenverarbeitung rechtmäßig, nach Treu und Glauben und in einer für die betroffenen Personen nachvollziehbaren Weise erfolgen. Rechtmäßig ist die Verarbeitung nur dann, wenn eine Einwilligung oder eine sonstige zulässige Rechtsgrundlage vorliegt.[1] Folgende Rechtsgrundlagen kommen bei der Einführung und Nutzung von digitalen Technologie...mehr

Das Arbeiten im Homeoffice ist seit der Corona-Pandemie in vielen Unternehmen ein fester Bestandteil des Arbeitsalltags. Es stellt Arbeitgeber, Mitarbeiter und Arbeitsschutzbehörden vor neue Herausforderungen. Aus einer datenschutzrechtlichen Perspektive stellt sich die Frage, wie die Vorgaben des BDSG und der DSGVO außerhalb der klassischen Büroumgebung eingehalten werden k...mehr

Personenbezogene Daten dürfen nur zu den vorher klar definierten Zwecken verarbeitet werden.[1] Der Arbeitgeber muss daher von Anfang an klar und eindeutig festlegen, zu welchem Zweck der Einsatz digitaler Systeme erfolgt.mehr

Zudem kommt eine Verarbeitung der personenbezogenen Daten der Arbeitnehmer auf Grundlage des § 26 BDSG in Betracht. § 26 Abs. 1 Satz 1 BDSG [1] erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. § 26 Abs. 1 Satz 2 BDSG erlaubt die Verarbeitung personenbezogener Dat...mehr

Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgeführten Datenschutzprinzipien verantwortlich und muss deren Einhaltung nachweisen können.[1] Der Arbeitgeber muss demnach Maßnahmen ergreifen, um die Konformität des Einsatzes digitaler Systeme mit den Datenschutzanforderungen nachweisen zu können.mehr