Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Die Grundsätze der DSGVO sind im Einzelnen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Personenbezogene Daten dürfen auch nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsgrundlage gedeckt ist (Verbot mit Erlaubnisvorbehalt). Der Grundsatz von Treu und Glauben lässt sich als Rücksichtnahmepflicht und damit als Ausprägung des bisher bekan...mehr

Die DSGVO regelt und "privilegiert" die Verarbeitung im Auftrag. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt.[1] Wie die frühere Norm § 11 BDSG a. F., stellt auch Art. 28 DSGVO eine Vielzahl von Anforderungen für eine wirksame Vereinbarung zur Auftragsverarbeitung. Im Gegensatz zur alten Rechtslage bedarf die Vereinbarung zur Auftragsverarbeitung nicht mehr zwingen...mehr

Ein Unternehmen hat gemäß Art. 15 DSGVO auf Anfrage umfassend Auskunft über die gespeicherten Daten zu erteilen. Betroffene Personen müssen dieses Verlangen nicht begründen und das Verlangen kann grundsätzlich in jeder denkbaren Form geltend gemacht werden, wobei für den Verantwortlichen jedoch eine Identitätsprüfung der auskunftbegehrenden Person möglich sein muss Geht ein A...mehr

Soweit eine Risikoanalyse einer Datenverarbeitung zum Ergebnis hat, dass die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet, ist eine Datenschutz-Folgenabschätzung[1] durchzuführen und zu dokumentieren. Die Folgenabschätzung muss dabei Folgendes beinhalten: Systematische Beschreibung der Verarbeitungsvorgänge Zweck der...mehr

Im Folgenden werden die Rechte der Betroffenen dargestellt. "Betroffene" im Sinne der DSGVO können Kunden, weitere externe Dritte, aber auch Beschäftigte sein. Die Betroffenenrechte sind in den Art. 12–23 DSGVO abschließend geregelt. 4.1 Informationspflichten Sofern die betroffenen Personen nicht bereits Kenntnis über die folgenden Informationen haben, müssen Unternehmen sie k...mehr

Die Verarbeitung sog. "besondere Kategorien personenbezogener Daten" ist grundsätzlich untersagt[1], sofern nicht ein in Art. 9 Abs. 2 DSGVO aufgezählter Tatbestand die Verarbeitung ausnahmsweise erlaubt. Die "besonderen Kategorien personenbezogener Daten" (oder oft als "sensible Daten" beschrieben) umfassen personenbezogene Daten, aus denen die rassische und ethnische Herkun...mehr

Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten...mehr

Die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten trifft nicht nur jeden Verantwortlichen, sondern auch alle Auftragsverarbeiter gemäß Art. 28 DSGVO (früher "Auftragsdatenverarbeiter"). Jeder Auftragsverarbeiter muss gemäß Art. 30 Abs. 2 DSGVO ein Verzeichnis der von ihm durchgeführten Verarbeitung führen, das mindestens die folgenden Angaben en...mehr

Sofern die betroffenen Personen nicht bereits Kenntnis über die folgenden Informationen haben, müssen Unternehmen sie künftig zum Zeitpunkt der Datenerhebung über folgende Punkte informieren[1]: Name und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten Zwecke der Datenverarbeitung Berechtigte Interessen, falls die Verarbeitung aufgrund eines berechtigte...mehr

Das Widerspruchsrecht ist ausdrücklich in Art. 21 DSGVO geregelt. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die durch die Wahrung der überwiegenden Interessen der verantwortlichen Stelle gerechtfertigt ist, Widerspruch einzulegen. Wenn Datenvera...mehr

Um der in Art. 5 Abs. 2 DSGVO genannten Rechenschaftspflicht nachkommen zu können, bedarf es eines umfangreichen Datenschutzkonzeptes bzw. einer unternehmensweiten Datenschutz-Policy. Darin sollte grundsätzlich geregelt werden, wie die Datenschutzorganisation im Unternehmen aufgebaut ist, welche Personen für welche Bereiche verantwortlich sind, welche Schutzmaßnahmen bei der...mehr

Neu im Vergleich zur bisherigen Rechtslage ist das sog. Recht auf Datenübertragbarkeit (häufig auch als "Recht auf Datenportabilität") bezeichnet.[1] Betroffene Personen haben das Recht, dass die bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder diese einem Dritten zu übermitteln. Als gängiges, maschinenl...mehr

In Art. 17 DSGVO ist das sog. "Recht auf Vergessenwerden", also das Recht, Löschung seiner personenbezogenen Daten zu verlangen, geregelt.[1] Im Zuge der Umsetzung der DSGVO wurde das "Recht auf Vergessenwerden" breit diskutiert und befürchtet. In der Praxis zeigt sich, dass es zumindest im Beschäftigtenverhältnis keine neuen Herausforderungen an die Unternehmen stellt. Unte...mehr

3.1 Verzeichnis von Verarbeitungstätigkeiten Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichni...mehr

Bei jeder Verarbeitung von personenbezogenen Daten sollte eine Bewertung hinsichtlich des Risikos für die Rechte und Freiheiten natürlicher Personen durchgeführt und dokumentiert werden. In Anbetracht der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten lässt sich die Risikoanalyse hier in der Praxis gut integrieren. Für die Risikobewertung kann in einem e...mehr

Ein Anspruch auf Entfernung berechtigter Abmahnungen aus Personalakten besteht grundsätzlich nicht.[1] Er besteht nur dann, wenn das gerügte Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos geworden ist und kein schutzwürdiges Interesse des Arbeitgebers an dem Verbleib einer zu Recht erteilten Abmahnung in der Personalakte besteht[2]. Abmahnungen sind geric...mehr

Beziehen Sie unbedingt den Datenschutzbeauftragten Ihres Unternehmens in die Projektplanung mit ein, damit dieser den Prozess auf den Datenschutz hin überprüfen kann. Insbesondere bei nicht komplett anonym durchgeführten Befragungen sind die Regelungen der DSGVO zu beachten. Wenn Sie die Befragung extern vergeben, muss hierzu ein Vertrag zur Auftragsdatenverarbeitung mit dem ...mehr

Wenn Sie eine anonyme Mitarbeiterbefragung durchführen, unterliegt diese selbst grundsätzlich nicht der erzwingbaren Mitbestimmung nach dem Betriebsverfassungsgesetz (BetrVG), da es sich bei diesen Fragebögen nicht um einen Personalfragebogen im Sinne des BetrVG handelt. Der Betriebsrat kann insofern kein unmittelbares Mitbestimmungsrecht geltend machen. Es besteht allerding...mehr

Persönlicher Geltungsbereich § 167 Abs. 1 Satz 1 SGB IX gilt bei allen Beschäftigten. Es kommt auch nicht darauf an, ob eine Schwerbehinderung oder Gleichstellung vorliegt.[1] Die Vorschrift gilt für alle Arbeitgeber. Es kommt nicht auf die Betriebsgröße an, weshalb auch Klein-/ und Kleinstbetriebe betroffen sind. Auch der Geschäftsgegenstand und die Existenz einer Mitarbeiter...mehr

Rz. 1 Die Vorschrift erlaubt den Finanzbehörden, zur Bekämpfung der illegalen Beschäftigung einschließlich der Schwarzarbeit sowie des Leistungsmissbrauchs durch das Steuergeheimnis nach § 30 AO geschützte Daten von betroffenen Personen zu offenbaren. Seit dem 1.8.2002 besteht unter bestimmten Voraussetzungen und für bestimmte Tatsachen eine entsprechende Pflicht. Die Regelun...mehr

Rz. 26 In Bezug auf die Verpflichtung der Finanzbehörde, die betroffene Person vor Weitergabe ihrer geschützten Daten nach Art. 13 Abs. 3 DSGVO über die beabsichtigte Weiterverarbeitung zu informieren, geht der Gesetzgeber für die Fälle des § 31a Abs. 1 S. 1 Nr. 1 Buchst. a AO davon aus, dass hier ein Ausnahmetatbestand nach Art. 23 Abs. 1 DSGVO i. V. m. § 32a Abs. 1 Nr. 4 A...mehr

Rz. 2a § 31a AO sieht lediglich die Mitteilung – also Offenbarung – der geschützten Daten der betroffenen Person vor. Im Zuge der Anpassung auch des § 31a Abs. 1 AO an die Begrifflichkeiten der DSGVO (s. dazu Rz. 2) wurde in § 30 Abs. 4 AO die normierte Öffnungsbefugnis neben der Offenbarung auch auf die Verwertung der geschützten Daten erstreckt.[1] Diese Erweiterung hat de...mehr

Rz. 103 Die Weisungen können sich auch auf die Verarbeitung erhobener oder erfasster Daten beziehen. Als Fallgruppen kommen hier z. B. ausländische Kontrollmitteilungen, aber auch Daten i. S. d. § 93c AO in Betracht.[1] Rz. 104 Der Begriff der Verarbeitung personenbezogener Daten ist datenschutzrechtlich in Art. 4 Nr. 2 DSGVO legal definiert. Danach ist Verarbeitung jeder mit...mehr

Rz. 4 Nach Auffassung des BFH genügt § 29b AO den Anforderungen, die die DSGVO an die Gestattung für die Verarbeitung von einfachen personenbezogenen Daten gem. Art. 6 Abs. 3 DSGVO sowie an die Verarbeitung von sensiblen Daten i. S. d. Art. 9 Abs. 2 DSGVO stellt.[1] Rz. 5 In Art. 6 Abs. 1 DSGVO ist der Grundsatz enthalten, dass die Verarbeitung personenbezogener Daten nur unt...mehr

Rz. 1 § 29c AO wurde im Zuge der Anpassung der AO an die EU-Datenschutzgrundverordnung [1] aufgenommen und enthält eine Rechtsgrundlage für die Verwendung personenbezogener Daten über den eigentlichen Zweck der Datenerhebung hinaus (sog. Weiterverarbeitung). Art. 6 Abs. 4 DSGVO enthält das grundsätzliche Verbot zur (Weiter-)Verarbeitung personenbezogener Daten vorbehaltlich e...mehr

Rz. 36 Von dem Verarbeitungsverbot für sensible Daten macht Art. 9 Abs. 2 DSGVO eine Ausnahme, wenn die betroffene Person in die Verarbeitung ausdrücklich eingewilligt hat, die betreffenden Daten von der betroffenen Person öffentlich gemacht worden sind, die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahm...mehr

Rz. 1 § 29b AO wurde zur Anpassung des steuerlichen Verfahrensrechts an die ab dem 25.5.2018 anwendbare Datenschutzgrundverordnung (DSGVO)[1] geschaffen. Vorangegangen waren vielfältige Versuche Deutschlands, das Besteuerungsverfahren in Gänze aus der Anwendung der DSGVO zu entlassen und ein anstelle dessen eigenständiges bereichsspezifisches Datenschutzrecht in der AO zu et...mehr

Rz. 15 Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legal definiert. Diese Definition ist auch im Rahmen des § 29b AO verbindlich.[1] Danach umfasst die "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Darunter fällt das Erheben, das Erfassen, die Organisatio...mehr

Rz. 56 Die datenschutzrechtliche Bewertung geht nicht mit der steuerrechtlichen Bewertung der Behördenentscheidung einher und beeinflusst diese auch nicht. Dies hat zur Folge, dass eine in datenschutzrechtlicher Hinsicht unzulässige Datenverarbeitung nicht zwingend die Rechtswidrigkeit der Behördenentscheidung und deren Aufhebbarkeit zur Folge haben muss. Mit anderen Worten ...mehr

Rz. 21 Erlaubt ist die Verarbeitung der personenbezogenen Daten nach § 29b Abs. 1 AO nur, wenn sie zur Erfüllung der dort genannten Verarbeitungszwecke erforderlich ist. Dabei ist nach Art. 6 Abs. 4 DSGVO die Verarbeitung personenbezogener Daten grundsätzlich nur für den Zweck möglich, für den die Daten erhoben wurden. Ohne Einwilligung des Stpfl. ist eine Weiterverarbeitung...mehr

Rz. 35 Daten, deren Verarbeitung aufgrund ihres Gehaltes einen besonders hohen Eingriff in grundrechtlich geschützte Selbstbestimmungsrechte darstellt, dürfen nach Art. 9 Abs. 1 DSGVO im Grundsatz nicht verarbeitet werden. Dies beruht auf dem Gedanken, dass mit der Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der Betroffenen eintreten können.[1] Art...mehr

Rz. 54 Werden personenbezogene Daten durch eine Finanzbehörde verarbeitet, ohne dass hierfür eine Rechtsgrundlage einschlägig ist, so ist die Verarbeitung rechtswidrig.[1] Die Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person[2] stellt keine hinreichende Zulassung der Datenverarbeitung im Besteuerungsverfahren nach der AO dar, da die Steuerverwaltung als T...mehr

Rz. 49 Wie bei der Befugnis zur Verarbeitung personenbezogener Daten[1] wurde auch die Befugnis zur Weiterverarbeitung auf sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO ausgeweitet. Fast wortgleich wird die entsprechende Regelung aus dem allgemeinen Datenschutzrecht[2] übernommen. Da die Weiterverarbeitung dieser Daten für die betroffene Person einen besonders tiefen Eingr...mehr

Rz. 51 Eine ohne gesetzliche Grundlage erfolgte Weiterverarbeitung ist – vorbehaltlich des Eingreifens eines anderen Erlaubnistatbestands i. S. d. Art. 6 Abs. 4 DSGVO – unzulässig. Das Gleiche gilt für die Weiterverarbeitung ursprünglich zum originären Verarbeitungszweck unzulässig erhobener Daten (Rz. 9), da diese weder zur Verarbeitung noch zur zulässigen Weiterverarbeitun...mehr

Rz. 8 § 29c Abs. 1 AO regelt die Zulässigkeit der Weiterverarbeitung personenbezogener Daten durch Finanzbehörden im Rahmen ihrer Aufgabenerfüllung. Der Begriff der Weiterverarbeitung wird dabei legal definiert als Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten von einer Finanzbehörde erhoben oder erfasst wurden. Zugleich wird die Berechtigung der Fi...mehr

Rz. 12 Ist die Verarbeitung von personenbezogenen Daten nur nach Maßgabe einer (u. a.) im nationalen Recht enthaltenen Rechtgrundlage zulässig, erwartet die DSGVO, dass die Reichweite der Verarbeitungsbefugnis, mithin der Verarbeitungszweck, ebenfalls durch die nationale Grundlage konkretisiert wird.[1] Der nationale Gesetzgeber kann die Zwecke der Verarbeitung, eine Präzisi...mehr

Rz. 47 Liegen die Rechtsgrundlagen für die Verarbeitung sensibler Daten vor, so hat der Verantwortliche nach Maßgabe des von § 29b Abs. 2 S. 2 AO in Bezug genommenen § 22 Abs. 2 Satz 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person zu ergreifen. Diese Regelung ist ergänzender und schützender Gegenpol zu § 29b Abs. 2 S. 1 1. Halbs...mehr

Rz. 4 § 29c AO regelt nicht die Berechtigung zur Offenbarung geschützter Daten, sondern neben bzw. ergänzend zur DSGVO die datenschutzrechtliche Verwertungsbefugnis bei den Finanzbehörden vorliegender personenbezogener Daten. Die Offenbarungsberechtigung geschützter Daten richtet sich dagegen, entsprechend der grundlegenden Unterscheidung zwischen Datenschutz und steuerliche...mehr

Rz. 10 Der Anwendungsbereich des § 29b AO ergibt sich aus § 2a AO, wonach die Datenverarbeitung im (unmittelbaren) Anwendungsbereich der AO [1] erfolgen muss. Umfasst sind hiernach die Besteuerungsverfahren nach dem ersten bis siebten Teil der AO, soweit die Verwaltung bundesgesetzlich geregelter Steuern betroffen ist. Für die Gemeinden gilt dies nach § 1 Abs. 2 AO entspreche...mehr

Rz. 28 Die steuerlichen IT-Verfahren sind aus unterschiedlichen Gründen einem ständigen Wandel unterworfen. Zum einen hat sich das Besteuerungsverfahren dem Zeitgeist anzupassen und hierzu niederschwellige, medienbruchfreie, aber zugleich sichere Kommunikationswege mit einer Vielzahl von am Besteuerungsverfahren Beteiligten bereitzustellen. Die Anzahl der stetig wachsenden D...mehr

Rz. 21 § 29c Abs. 1 S. 1 Nr. 2 AO sichert die durch § 30 Abs. 4 und 5 AO zugelassene Offenbarung in datenschutzrechtlicher Hinsicht ab. Hierbei wird jedoch deutlich, dass der Gesetzgeber von der durch Art. 6 Abs. 4 DSGVO eingeräumten Möglichkeit zur Ausweitung der Verarbeitungszwecke über den originären Zweck hinaus nur in dem Umfang Gebrauch machen wollte, wie das Steuergeh...mehr

Rz. 23 Ist die Weiterverarbeitung im (mutmaßlichen) Interesse der betroffenen Person, kann diese nach der Nr. 3 erfolgen. Da bei Vorliegen einer Zustimmung i. S. d. § 30 Abs. 4 Nr. 3 AO sich die Zulässigkeit der Weiterverarbeitung bereits nach der Nr. 2 richtet, dürfte es sich hier nur um Fälle handeln, bei denen die Zustimmung zwar nicht ausdrücklich erteilt, aber zu unters...mehr

Rz. 40 Was unter dem Begriff des erheblichen öffentlichen Interesses zu fassen ist, lässt sich durch einen Rückgriff auf die AO und das FVG ermitteln.[1] Das der Allgemeinheit dienende öffentliche Interesse muss dabei die Erheblichkeitsschwelle überschreiten, also besonders bedeutend sein.[2] Dass es sich bei der Gesetzmäßigkeit und Gleichmäßigkeit der Besteuerung um ein der...mehr

Rz. 53 Auf Grundlage des § 29b Abs. 2 AO sind nur Finanzbehörden i. S. d. § 6 Abs. 2 AO sowie Kommunen, soweit sie Realsteuern verwalten[1] berechtigt, sensible Daten zu verarbeiten.[2] Soweit sonstige öffentliche oder private Stellen personenbezogene Daten zu steuerlichen Zwecken verarbeiten, richtet sich die datenschutzrechtliche Zulässigkeit unmittelbar nach Art. 9 Abs. 2 ...mehr

Rz. 32 Zusätzliches Kriterium ist die Erforderlichkeit der Verarbeitung aus den im Gesetz genannten Gründen. Dabei ist die Erforderlichkeit nicht nach nationalem Recht, sondern unionsrechtlich auszulegen.[1] Dementsprechend muss die Datenverarbeitung innerhalb der im Gesetz genannten Ziele auch den Zielen der DSGVO genügen, was eine grundgesetzkonforme und insbesondere verhä...mehr

Auf Unternehmen, die Hochrisiko-KI einsetzen, kommen nach aktuellem Stand insbesondere folgende Pflichten zu: Sicherstellen, dass Eingabedaten der Zweckbestimmung des KI-Systems entsprechen. Beispiel: In ein KI-System, dass aus Lebensläufen und Zeugnissen Prognosen über die berufliche Geeignetheit machen soll, werden Gesprächsnotizen und persönliche Motivationsschreiben eingeg...mehr

Rz. 44 § 29b Abs. 2 S. 1 AO trägt dem besonderen Schutzbedürfnis sensibler Daten u. a. auch dadurch Rechnung, dass die Verarbeitung dieser Daten davon abhängig gemacht wird, dass das (öffentliche) Interesse an der Verarbeitung das Schutzinteresse der betroffenen Person überwiegt. Die Anforderung, dass die Interessen des Verantwortlichen an der Datenverarbeitung die Interesse...mehr

Rz. 44 Im Rahmen der Ausbildung werden die Anwärter in das Beamtenverhältnis auf Widerruf berufen und sind daher Amtsträger i. S. d. § 7 Nr. 1 AO. Hierzu regeln die entsprechenden Ausbildungsordnungen[1] im Einzelnen, dass neben einem theoretischen Ausbildungsteil eine praktische Zeit in den jeweiligen Verwaltungseinheiten zu absolvieren ist, bei denen sie einer konkreten Di...mehr

Rz. 17 Die Regelung des § 29c Abs. 1 S. 1 Nr. 1 AO sichert im Kern den Fortbestand des komplexen und in sich verbundenen Besteuerungsverfahrens (vgl. z. B. das Feststellungsverfahren) und des steuerfallübergreifenden Verifikationsverfahrens (vgl. z. B. Kontrollmitteilungen, Auskünfte Dritte) in datenschutzrechtlicher Hinsicht ab. Bei den genannten Verfahren handelt es sich...mehr

Rz. 35 Unter vergleichbar engen Voraussetzung wie bei der Entwicklung von IT-Verfahren (vgl. Rz. 28ff.) ist nach § 29c Abs. 1 S. 1 Nr. 5 AO die Weiterverarbeitung für Zwecke der Abschätzung der Folgen einer geplanten Gesetzesänderung zulässig. Im Rahmen der politischen Begleitung eines Gesetzgebungsvorhabens ist zum einen die Beeinflussung des Steueraufkommens im Ganzen, zum...mehr