Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangene...mehr

Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Diese muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Solc...mehr

Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritt...mehr

Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen ("Datenminimierung", Art. 5 Abs. 1 Buchst. c DSGVO). Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck m...mehr

Die Verantwortung für den Datenschutz im Unternehmen kann bei unterschiedlichen Gruppen liegen. Infrage kommen hier der oder die Geschäftsführer, die Mitarbeitenden sowie ggf. ein Datenschutzbeauftragter. Geschäftsführer sind grundsätzlich für alle Belange des Unternehmens verantwortlich, damit auch für den Bereich des Datenschutzes, d. h. die Einrichtung personeller, organis...mehr

Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über den Vorfall benachrichtigt werden. Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rech...mehr

Unter "Outsourcing" wird das Verlagern von Prozessen oder Tätigkeiten an Stellen außerhalb des Unternehmens verstanden. Werden Daten dazu an Dritte herausgegeben, so sollte schon bei der Auswahl der Partnerunternehmen auf einen ausreichenden Datenschutz geachtet werden. Zudem sollte schriftlich geregelt sein, wie mit den übergebenen Daten verfahren wird. Hierzu zählen z. B. ...mehr

Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über beschäftigte Personen, angefangen von der Bewerbung bis zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden. Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer...mehr

Der Datenschutz gegenüber einem Lieferunternehmen ist ähnlich gelagert wie der Datenschutz gegenüber der Kundschaft. Auch hier dürfen personenbezogene Daten nur unter Beachtung der bereits genannten Voraussetzungen für den Datenschutz nach der DSGVO und dem BDSG erhoben, gespeichert oder verarbeitet werden. Bei eigenen Lieferunternehmen wird häufig übersehen, dass auch hier i...mehr

Eine Datenschutzverletzung kann hohe Bußgelder nach sich ziehen. Die DSGVO verlangt in Art. 83, dass jede Aufsichtsbehörde sicherstellt, "dass die Verhängung von Geldbußen (...) für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Dabei ist u. a. Folgendes gebührend zu berücksichtigen: Art, Schwere und Dauer des Verstoß...mehr

Die Internet-Nutzung und E-Mail-Nutzung Mitarbeitender kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können z. B. Benutzeridentifikation, IP-Adressen, Datum und Uhrzeit des Zugriffs, Datenmenge sowie Zieladresse des Zugriffs erfasst werden. Anhand dieser Daten wäre es für Arbeitgebende möglich nachzuvollziehen, wann Mitarbeitende was gelesen haben. Dies ka...mehr

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Die nachfolgende Checkliste ist eine Hilfestellung für den Notfall. Die Hinzuziehung eines Rechtsanwalts ist dringend anzuraten, um sicherzustellen, dass die Kündigung wirklich wirksam durchgeführt wird.mehr

Kunden sind für die meisten Unternehmen das wichtigste Gut, denn ohne Nachfrage kann kein Unternehmen Waren oder Dienstleistungen absetzen. Der Schutz von Kundendaten bedeutet den Schutz von Unternehmen UND Personen. Im Einzelnen sind dies insbesondere Schutz von Daten, die im Rahmen von Geschäftsprozessen genutzt werden. So z. B. Arbeitsergebnisse, Vorlagen, übergebene Unter...mehr

Der BFH entschied, dass die Klage auf Schadenersatz nach Art. 82 DSGVO unzulässig war. Der Grund: Die Klägerin hatte ihren Schadenersatzanspruch erst im laufenden Klageverfahren und nicht bereits im Einspruchsverfahren gegenüber der Finanzbehörde geltend gemacht. Damit lag keine sogenannte "Beschwer" vor – eine Voraussetzung, damit das Gericht überhaupt über den Anspruch ent...mehr

Zusammenfassung Das Urteil des Bundesfinanzhof (BFH) stellt klar: Ein Schadenersatzanspruch wegen Datenschutzverstößen kann vor Gericht nur dann erfolgreich geltend gemacht werden, wenn die Finanzbehörde den Anspruch zuvor abgelehnt hat. Ohne eine solche Ablehnung fehlt die notwendige Voraussetzung für eine Klage. Hintergrund Im zugrunde liegenden Fall wurde bei einer Steuerpfl...mehr

Zeile 53 Ein Erstattungsbetrag (Zeile 53) wird nach Zustimmung[1] ohne besonderen Antrag vom Finanzamt auf das ihm benannte Konto überwiesen oder ggf. mit Steuerschulden verrechnet.[2] Hat der Steuerpflichtige dem Finanzamt ein unrichtiges Konto angegeben, trägt er die Verlustgefahr, wenn das Finanzamt einen Erstattungsbetrag im beleglosen Datenträgeraustauschverfahren auf di...mehr

Rz. 99 Abs. 5 regelt den Sozialdatenschutz, welcher nach Maßgabe der Vorschrift von sämtlichen im Pflegestützpunkt tätigen Personen und von allen mit der Wahrnehmung von Aufgaben nach Abs. 1 befassten Stellen zu beachten ist. Rz. 100 Im Pflegestützpunkt tätige Personen sowie sonstige mit der Wahrnehmung von Aufgaben nach Abs. 1 befasste Stellen dürfen Sozialdaten nur verarbei...mehr

Rz. 107 Der Schutz von Sozialdaten greift nach Satz 1 bei ihrer Verarbeitung. Rz. 108 Der Oberbegriff "(Daten-)Verarbeitung" fand erst durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1626) mit Wirkung zum 26.11.2019 Eingang in § 7b Abs. 3 Satz 1. Rz. 109 Das geltende Recht sollte beibehalten werden. Die bisherige Begri...mehr

Die Sanktionslistenprüfung von Arbeitnehmern ist eine Maßnahme, die Unternehmen durchführen müssen, um sicherzustellen, dass sie keine finanziellen Mittel an Personen bereitstellen, die auf internationalen Sanktionslisten stehen. Diese Listen enthalten Personen und Organisationen, die mit Terrorismus oder anderen illegalen Aktivitäten in Verbindung gebracht werden. Unternehm...mehr

Rz. 14 Ergänzende Regelungen finden sich insbesondere in den Abs. 1 bis 4 ausdrücklich in Bezug genommenen Regelungen, so in den in Bezug genommenen Regelungen über diverse Anträge auf Leistungen nach §§ 36 bis 38, 40 Abs. 1 und 4, den §§ 40b, 41, 42b, 43, 44a, 45, 45e, 87a Abs. 2 Satz 1 und § 115 Abs. 4; weiter auch nach § 40 Abs. 2, den §§ 39 sowie 42 jeweils i. V. m. § 42...mehr

Rz. 1 Die Vorschrift wurde seit ihrer Einführung mehrfach geändert. Zuletzt wurden die Abs. 1, 2 und 3 durch das Gesetz zur Anpassung des Sechsten Buches Sozialgesetzbuch und anderer Gesetze (SGB VI-Anpassungsgesetz) v. 22.12.2025 (BGBl. I Nr. 355) mit Wirkung zum 24.12.2025 geändert. Rz. 2 Die Vorschrift fasst die Ordnungswidrigkeiten gegen Regelungen im SGB III zusammen. Abs...mehr

Rz. 20 Ergänzende Regelungen finden sich insbesondere in den in den Abs. 1 bis 9 ausdrücklich in Bezug genommenen Regelungen, so in folgenden Vorschriften: Abs. 1 § 17 Abs. 1a (Richtlinien des Medizinischen Dienstes Bund; Richtlinien der Pflegekassen); Abs. 1 Satz 2 und Satz 4 und Abs. 2 und 3, § 37 Abs. 3 (Anspruch auf Pflegeberatung in Intervallen in der eigenen Häuslichkeit)...mehr

Rz. 51 Abs. 2 Nr. 12 und 13 normierten bis zum 26.11.2019 Bußgeldtatbestände gegen datenschutzrechtliche Vorschriften in § 298. Privaten Vermittlern kann bei Zuwiderhandlung ein Bußgeld bis zu 30.000 EUR auferlegt werden (Abs. 3). Die Regelungen sollten verhindern, dass ein privater Vermittler betriebs- und personenbezogene Daten ohne Einwilligung erhebt, verarbeitet und nut...mehr

Rz. 105 Der sachliche Anwendungsbereich des Satzes 3 ist nur bei der Verarbeitung von personenbezogenen Daten eröffnet. Rz. 106 Personenbezogene Daten i. S. v. Art. 4 Nr. 1 Verordnung (EU) 2016/679, sind solche (Sozial)Daten die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden. Sozialdaten sind dabei Einzelangabe...mehr

Rz. 14 Die Zahlstelle übermittelt der zuständigen Krankenkasse die Meldung durch gesicherte und verschlüsselte Datenübertragung aus systemgeprüften Programmen oder mittels maschineller Ausfüllhilfen (Satz 1). Rz. 15 Die Meldungen werden von der Krankenkasse inhaltlich geprüft (Satz 2). Alle fehlerfreien Angaben werden elektronisch verarbeitet. Der Begriff des Verarbeitens umf...mehr

Der Arbeitgeber darf Bewerberdaten, die im Internet veröffentlicht sind, in den Grenzen des § 26 BDSG und der DSGVO erheben. Teilweise wird eine Datenerhebung dann für zulässig erachtet, wenn diese unter Anwendung allgemein zugänglicher Suchmaschinen möglich ist.[1] Unter der Geltung des Art. 9 Abs. 2 DSGVO und dem BDSG kann zwar sowohl die Erhebung als auch die Verarbeitung...mehr

Rz. 85 Zum 1.1.2018 traten Regelungen aus dem Gesetz zur Stärkung der Teilhabe und Selbstbestimmung von Menschen mit Behinderungen (Bundesteilhabegesetz – BTHG) v. 23.12.2016 (BGBl. I S. 3234) in Kraft. Betroffen sind insbesondere versicherungsrechtliche und förderungsrechtliche Vorschriften, häufig werden aber auch nur Verweisungen, insbesondere auf das SGB IX angepasst. Rel...mehr

Arbeitszeugnisse sind immer weniger verlässliche Grundlagen für die Beurteilung der Eignung eines Bewerbers. Häufig werden Zeugnisinhalte in arbeitsgerichtlichen Verfahren über die Beendigung des Arbeitsverhältnisses im Rahmen eines Vergleichs vereinbart und fallen dadurch ungerechtfertigt positiv aus. Auch formulieren viele Arbeitgeber Zeugnisse von vornherein sehr entgegen...mehr

Praxis-Tipp Ablehnungsgründe dokumentieren Abgelehnte Bewerber haben die Möglichkeit, Ansprüche wegen Diskriminierung grundsätzlich innerhalb von 2 Monaten geltend zu machen.[1] Um die konkreten Gründe der Absage auch noch zu einem späteren Zeitpunkt nachvollziehen zu können, sollten die Gründe der Ablehnung kurz dokumentiert werden. Für Zwecke der Abwehr von Klagen auf Entsc...mehr

Rz. 82 Für digitale Angebote sowie andere digitale Anwendungen nach dieser Vorschrift gelten die Anforderungen, die der Spitzenverband Bund der Pflegekassen in seiner Richtlinie nach § 17 Abs. 1a zur Durchführung von Beratungen für den Datenschutz und die Datensicherheit bestimmt hat, Satz 5. Rz. 83 Nach § 17 Abs. 1a erlässt der Spitzenverband Bund der Pflegekassen unter Bete...mehr

Überblick Um festzustellen, ob ein Bewerber für eine Stelle geeignet ist, kann der Arbeitgeber auf eine Vielzahl von Informationsquellen zurückgreifen. Hierzu gehören nicht nur Bewerbungsunterlagen und die Vorstellungsgespräche. Als weitere Erkenntnisquellen dienen z. B. psychologische Eignungstests oder Internetrecherchen über den betreffenden Bewerber. Auch wenn das Intere...mehr

Rz. 12f Abs. 2a schafft eine Rechtsgrundlage für die Zusammenarbeit mehrerer Träger, z. B. in den Jugendberufsagenturen. Damit sollen insbesondere Bedenken in Bezug auf die zulässige Datenübermittlung ausgeräumt werden. Die in der Gesetzesbegründung genannten Jugendberufsagenturen stellen keine abschließende Benennung dar, es ist vielmehr davon auszugehen, dass alle Bündniss...mehr

Die datenschutzrechtliche Beurteilung eines Blockchain-Systems ist wesentlich von dem zugrundeliegenden technischen Rahmen abhängig. Aus diesem Grund sind pauschale datenschutzrechtliche Aussagen zur Beurteilung eines Blockchain-Systems schwierig. Es sollen jedoch im Folgenden Grundlinien für ein besseres Verständnis gezeichnet werden. Die Grundlinien verlaufen zwischen öffe...mehr

Durch die Datenverarbeitung von (personenbezogenen) Daten in KI-Systemen und den angebundenen Vorsystemen ergeben sich viele datenschutzrechtliche Fragestellungen beim Einsatz von KI (s. zur Übersicht Abbildung 9). Damit stellt der Datenschutz einen zentralen Baustein dar, der beim rechtssicheren Einsatz von KI berücksichtigt werden muss. Abbildung 9: Grundlegende datenschutz...mehr

Zur Veranschaulichung der rechtlichen Bewertungen und daraus resultierenden Pflichten nach der KI-VO wird folgendes Beispiel gebildet: Praxis-Beispiel KI-Compliance in der Praxis K ist potenzieller Kunde und möchte zur Verbesserung seiner Personalprozesse in der eigenen Steuerberatungskanzlei ein KI-Tool von dem Entwickler E einsetzen, in dem Bewerberunterlagen nach bestimmten...mehr

Zur Vereinfachung der regulatorischen Anforderungen hat die EU-Kommission die sog. Digital Omnibus-Pakete am 19.11.2025 veröffentlicht. Ein Omnibus-Paket adressiert Änderungen im Bereich des Datenschutzes, Cybergesetzgebung[1] und das weitere Omnibus-Paket Vereinfachungen in der KI-VO.[2] Diese Pakete befinden sich nun in der Abstimmung mit dem EU Rat und dem EU Parlament. D...mehr

Die Einführung von ChatGPT hat eindrucksvoll vor Augen geführt, wie KI-Modelle und KI-Systeme außerhalb von rein zahlenbasierten Prozessen auch die Fähigkeit zur Textgenerierung erreichen können. Diese sog. großen Sprachmodelle bzw. Large Language Model (LLM) bestimmen durch ein Wahrscheinlichkeitsmodell die Anordnung von Worten und Sätzen und fügen diese in einen weitgehend...mehr

Die umfangreiche Regulatorik der KI-VO soll nicht KI-Innovationen in der EU behindern. Aus diesem Grund wurden in Kapitel 6 "Maßnahmen zur Innovationsförderung" eingeführt (Art. 57 ff. KI-VO). Die EU-Kommission verwendet hierzu das Instrument der sog. regulatorischen Sandkästen (bzw. auch als Sandbox-Regime bezeichnet). Art. 57 Abs. 1 KI-VO bezeichnet diese als KI-Reallabore...mehr

Beim (rechts-)sicheren Einsatz von KI-Tools, müssen eine Vielzahl unterschiedlicher rechtlicher und technischer Fragestellungen beantwortet werden. Eine Vorabfrage ist allerdings zentral und bildet die Leitlinien für die Prüfung bzw. Bewertung des KI-Systems. Wichtig Leitlinie für die Prüfung des KI-Systems Das KI-Tool und dessen Prozesse müssen zunächst technisch grundlegend ...mehr

Die Umsetzung einer rechtmäßigen KI-Compliance ist wesentlich von der Risikokategorisierung des KI-Systems und der Rolle im KI-Lifecycle (insb. Anbieter oder Betreiber) abhängig. So treffen härtere Compliance-Folgen Hochrisiko-KI-Systeme gegenüber KI-Systemen mit einem eingeschränkten oder niedrigen Risiko. Diese weitreichenden Anforderungen an KI-Systeme gelten für viele Anb...mehr

Überblick Die aktuellen Entwicklungen im KI-Bereich haben gezeigt, dass KI-Systeme und KI-Anwendungen ihren Platz im Rechts- und Steuerrechtsbereich verdient haben. Aber auch darüber hinaus wird KI einen immer stärkeren Bestandteil des Lebens bzw. der Arbeitswelt einnehmen. Bereits jetzt können Chatbots Dokumentations- und Recherchefunktionen in sekundenschnelle mit einer ko...mehr

Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden.[1] Das bedeutet, dass man die Vorschriften (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl von Auftragsverarbeitern in Drittländer...mehr

Überblick Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. Vorgeschrieben für die Auftragsvergabe ist ein Vertrag oder ein anderes Rechtsinstrument, der/das die Anforderungen des Art. 28 DSGVO erfüllt und bei Cloud-/Datenverarbeitungsdiensten zusätzlich die Vorgaben des EU Data Act (insb. Art. 28-2-Richtlinie b...mehr

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) korrekt durchgeführt werden. Diese sind in Art. 32 DSGVO definiert und sind – bei Diensten, die unter NIS2 fallen – durch die dort geforderten Sicherheitsmaßnahmen (z. B. Risikoanalyse, Incident Management...mehr

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, bleibt der Verantwortliche für die Einhaltung der DSGVO verantwortlich. Bei Cloud- und sonstigen Datenverarbeitungsdiensten ist zusätzlich zu prüfen, ob der Anbieter als "Datenverarbeitungsdienst" nach EU Data Act (Art. 2, 28–30) sowie als "wichtiger" oder "wesentl...mehr

Die zuständige Aufsichtsbehörde genehmigt interne Datenschutzvorschriften, sofern diese für alle betreffenden Mitglieder der Unternehmensgruppe gelten oder für eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. gemäß Art. 47 Abs. 1 DSGVO können die zuständigen Aufsichtsbehörden BCRs genehmigen, um rechtmäßige Übermittlungen personenbezogener Daten...mehr

Auch wenn in der DSGVO nicht direkt eine Kontrollpflicht des Auftraggebers formuliert ist, ist trotzdem eine regelmäßige Kontrolle sinnvoll. Laut einer Information des bayerischen Landesbeauftragten für Datenschutz darf "die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt ...mehr

In Art. 28 DSGVO ist ein Vertrag oder ein anderes Rechtsinstrument mit dem Auftragsverarbeiter vorgeschrieben. Dieses kann in schriftlicher oder elektronischer Form geschlossen werden, muss aber die Nachweis- und Rechenschaftspflichten des Verantwortlichen erfüllen und – bei Cloud-/Datenverarbeitungsdiensten – zusätzlich die Vorgaben des EU Data Act zu Datenportabilität, Dat...mehr

Viele Fachleute warnen vor den Risiken der Clouds, die beim Vertragsabschluss zu berücksichtigen sind. Zusätzlich sind die spezialgesetzlichen Vorgaben des EU Data Act für Datenverarbeitungsdienste (Art. 28–30, insbesondere zu Datenportabilität und Datenlokation) sowie – bei Kritikalität nach NIS2 – die dortigen Anforderungen an Cybersicherheit und Incident Handling umzusetz...mehr