Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben Datenschutzbeauftragter nach den Art. 37, 38 und 39 DSGVO. Für öffentliche Stellen in Deutschland gilt zusätzlich das BDSG. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Das bedeutet, dass das BDSG Lücken der DSGVO schließt und sie für landesspezifische Anwendungsfä...mehr

Die Aufgaben und Pflichten von Datenschutzbeauftragten gemäß der Datenschutz-Grundverordnung (DSGVO) sind umfangreich. Größere Unternehmen und Behörden sind verpflichtet, einen Datenschutzbeauftragten zu bestellen; dies gilt auch für kleinere Unternehmen, wenn sie besonders sensible personenbezogene Daten verarbeiten. Zu den gesetzlich vorgeschriebenen Pflichten der Datensch...mehr

Zusammenfassung Überblick Jedes größere Unternehmen und jede Behörde muss laut Art. 37 der DSGVO einen Datenschutzbeauftragten bestellen. Nach § 38 BDSG besteht in Deutschland eine Benennungspflicht insbesondere dann, wenn in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt si...mehr

Nach Art. 30 DSGVO muss in jedem Unternehmen, jeder Organisation und Behörde ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis müssen zwar auf den ersten Blick nur Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten führen. Auf den zweiten Blick aber gelten laut Art. 30 Abs...mehr

Überblick Jedes größere Unternehmen und jede Behörde muss laut Art. 37 der DSGVO einen Datenschutzbeauftragten bestellen. Nach § 38 BDSG besteht in Deutschland eine Benennungspflicht insbesondere dann, wenn in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Ve...mehr

Nach Art. 6 Abs. 1 Buchst. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Bei Daten, die unter den EU Data Act fallen, sind zusätzlich die Vorgaben zu Datenzugriffen und -weitergabe nach Art. 5-8 EU Data Act zu beachten. Betroffene Personen haben ein Recht auf Berichti...mehr

Datenschutzbeauftragte beraten auch bzgl. einer Datenschutz-Folgenabschätzung (DSFA) (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO). Beauftragte überwachen und beraten die verantwortliche Stelle bei der Durchführung der DS...mehr

Eine weitere Aufgabe für Beauftragte ist die Unterrichtung und Beratung in allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 Buchst. a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interne Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Dabei sollen sie über den Umgang mit personenbezogenen Daten aufklären und gesetzlic...mehr

Nach Art. 39 Abs. 1 Buchst. b DSGVO haben die Datenschutzbeauftragten die Einhaltung der Datenschutzvorschriften zu "überwachen". Zu den zu überwachenden Datenschutzvorschriften zählen die DSGVO, andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und die internen Vorgaben und die Strategie des Verantwortlichen, einschließlich der Zuweisung der Zuständigkeiten, ...mehr

Betriebliche und behördliche Datenschutzbeauftragte gibt es seit dem Jahr 1978, als die erste Fassung des Bundesdatenschutzgesetzes in Kraft trat. Seitdem haben sich die Voraussetzungen und Aufgaben des Beauftragten gewandelt. 1995 traf die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen. In der Richtlinie 95/46/EG w...mehr

Die Aufgaben, die Datenschutzbeauftragte zwingend zu beachten haben, nennt das Gesetz in Art. 39 DSGVO. Bei all den nachfolgend dargestellten Aufgaben gilt: Beauftragte müssen bei ihrer Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gemäß Art. 39 Abs. 2 DSGVO). D.h., sie müssen risikoorientiert handel...mehr

Angestellte haben nach DSGVO dieselben Rechte in Bezug auf Datenschutz wie alle anderen Personen auch. Notwendig sind nach Art. 88 Abs. 2 DSGVO angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. Zu berücksichtigen sind dabei die Transparenz der Verarbeitung, die Übermittlung personenbezogener Date...mehr

Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen. Bei E-Mail-Diensten aus der Cloud sind zusätzlich die Vorgaben des EU Data Act zur Datenrückgewähr und Portabilität (Art. 5, 6) sowie die TOMs nach Art. 32 DSGVO und NIS2-Sicherheitsanforderungen zu beachten. Ei...mehr

Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, sind i. d. R. die Aufsichtsbehörden zu unterrichten und oft auch die davon Betroffenen (Art. 33, 34 DSGVO). Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung. Die Pflicht zur Meldung von Datenschutzverletzungen trifft den Verantwortlichen bzw. Auftragsvera...mehr

In Organisationen, die Daten aus vernetzten Produkten oder Datenverarbeitungsdiensten nutzen oder bereitstellen, wirkt der Datenschutzbeauftragte bei der Abgrenzung von datenschutzrechtlichen Anforderungen (DSGVO/BDSG) und den Pflichten zur Datenbereitstellung, Portabilität und Datennutzung nach EU Data Act (z. B. Art. 5–8, 28–30) mit. Er berät insbesondere zur Wahrung von Zw...mehr

Bei vernetzten Geräten oder IoT-Umgebungen können Dritte nach Art. 5 EU Data Act zugriffsberechtigt sein. Die Aufbewahrungspflichten nach HGB/AO bleiben unberührt, jedoch müssen die Zugriffsrechte Dritter dokumentiert und protokolliert werden. Datenweitergabe: Nach Art. 8 EU Data Act können Daten an Dritte weitergegeben werden, sofern bestimmte Voraussetzungen erfüllt sind. D...mehr

Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass Datenschutzbeauftragte unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommunizieren. Sie dienen als deren Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Art. 39 Abs. 1 Buchst. d und e DSGVO). Dies stärkt die Position der Beauftragten, weil sie die Verantwortung erhalten, ...mehr

Dass Angestellte in Bezug auf den Datenschutz zu schulen sind, ergibt sich nicht unmittelbar aus dem Gesetz. Beispielsweise verlangt Art. 5 DSGVO, dass nicht nur alle gesetzlichen Vorgaben einzuhalten sind, sondern auch, dass dies nachgewiesen werden muss. Die verantwortliche Einrichtung muss daher Maßnahmen treffen, die sicherstellen, dass ihre Beschäftigten über Kenntnisse...mehr

Es besteht keine gesetzliche Pflicht für betriebliche und behördliche Datenschutzbeauftragte, regelmäßige Berichte über ihre Tätigkeiten vorzulegen. Jedoch gilt für die gesamte Einrichtung die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO. Es heißt, sie muss nachweisen können, ob und wie sie alle Datenschutzvorgaben einhält. Ein sinnvoller und zweckmäßiger Baustein dazu könnte...mehr

Diejenigen, über die personenbezogene Daten gespeichert werden, also die Betroffenen, besitzen vielfältige Rechte, die sie gegenüber dem Verantwortlichen geltend machen können. Dazu zählen vor allem das Recht auf Auskunft (Art. 15 DSGVO) das Recht auf Berichtigung (Art. 16) das Recht auf Löschung ("Recht auf Vergessenwerden", Art. 17) das Recht auf Einschränkung der Verarbeitung ...mehr

Neben den gesetzlich zugewiesenen Aufgaben können den Datenschutzbeauftragten auf freiwilliger Basis zusätzliche Funktionen übertragen werden. Dass das Gesetz die Übertragung von weiteren Aufgaben zulässt, lässt sich herleiten aus dem Wortlaut des Art. 39 Abs. 1 Satz 1 ("Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben") und Art. 38 Abs. 6 DSGVO ("Der Datensc...mehr

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) Bitkom-Leitfaden Backup & Restore Auf der Bitkom-Website kann ein Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung heruntergeladen werden, der zu den Vorgaben in Art. 32 und 35 DSGVO erarbeitet wurde.mehr

Bei der Archivierung sind die GoBD anzuwenden. Diese Grundsätze wurden vom Bundesministerium der Finanzen (BMF) mit einem Schreiben vom 14.11.2014 veröffentlicht und sind seit dem 1.1.2015 in Kraft. Die GoBD beinhalten mehrere zentrale Grundsätze, die bei der Führung und Aufbewahrung von Büchern und Aufzeichnungen beachtet werden müssen: Nachvollziehbarkeit und Nachprüfbarkeit...mehr

Der Arbeitgeber hat an seinen Arbeitnehmer Schadensersatz ebenfalls nach den allgemeinen Regeln der §§ 249 ff. BGB zu leisten. Vorrangig ist Naturalrestitution zu leisten.[1] Ist dies nicht möglich, ist eine Entschädigung in Geld nach der Differenzhypothese zu leisten.[2] Die möglichen Anspruchsinhalte sind vielfältig. Kein deliktischer Anspruch besteht im Hinblick auf ein "...mehr

Auf Unternehmen, die Hochrisiko-KI-Systeme einsetzen, kommen vor allem folgende Pflichten zu: Menschliche Aufsicht durch kompetente, ausgebildete und befugte Personen sicherstellen und erforderliche Unterstützung gewähren. Hierfür sollen Schulungen angeboten werden.[1] Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer vor Inbetriebnahme oder Verwendung eines H...mehr

Rz. 267 Die Europäischen Datenschutzrichtlinie (DSGVO) ist seit dem 24.5.2016 in Kraft und soll in allen Staaten der EU für gleiche Standards in der elektronischen Datenverarbeitung sorgen. Die zweijährige Übergangsfrist ist am 24.5.2018 ausgelaufen und sorgte Anfang 2018 in vielen Kanzleien "überraschend" für Aufregung. I. Allgemeines Rz. 268 Die DSGVO wirkt ab dem 25.5.2018 ...mehr

Der Arbeitnehmer hat nur dann einen Anspruch auf die Arbeitnehmersparzulage, wenn er der elektronischen Datenübermittlung durch das Anlageinstitut zustimmt und hierfür seine Identifikationsnummer mitteilt.[1] Anlageinstitut holt sich Zustimmung des Anlegers ein Der Anleger muss gegenüber dem Anlageinstitut die Einwilligung zur elektronischen Datenübermittlung bis spätestens zu...mehr

Seit der Geltung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen in der Datenschutzerklärung (auch) Angaben zu den jeweils erhobenen sowie verarbeiteten Daten der Nutzer nebst Rechtsgrundlage machen. Dies ergibt sich aus Art. 13 und Art. 14 DSVGO. Hierzu gehören auch Informationen über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls ...mehr

Rz. 274 Die DSGVO sieht sodann vor, dass mögliche "Lücken" anhand des Verzeichnisses erkannt und geschlossen werden. Wird z.B. immer sichergestellt, dass ein aktueller Virenscanner auf allen Rechner installiert ist? Am Ende der Gap Analysis steht immer ein Maßnahmenplan, der die Lückenschließung zum Ziel haben soll.mehr

Rz. 275 Die Datensicherheit hat ein besonderes Gewicht in der DSGVO. Daher sollte man sich hier spezieller IT-Firmen bedienen. Folgende Maßnahmen sind vorgeschrieben:mehr

Die Einsatzstellen, Zentralstellen und Träger dürfen personenbezogene Daten i.S.v. § 8 Abs. 1 Satz 2 BFDG gemäß § 12 BFDG verarbeiten, soweit dies für die Durchführung des Bundesfreiwilligendienstes nach dem BFDG erforderlich ist. Die Daten sind nach der Abwicklung des Dienstes zu löschen.[1] Aus der Logik der Vorschrift ergibt sich, dass die Einsatzstellen bereits im Vorfel...mehr

Rz. 268 Die DSGVO wirkt ab dem 25.5.2018 unmittelbar und vorrangig in allen EU-Mitgliedsstaaten. Daneben gibt es jedoch auch weiterhin das Bundesdatenschutzgesetz (BDSG), das neu gefasst wurde und zum gleichen Zeitpunkt in Kraft tritt. Im BDSG-neu wurden dabei einige Spielräume genutzt, die sich aus der Öffnungsklausel des DSGVO ergeben. Die DSGVO sieht bei einem Verstoß gege...mehr

Rz. 276 Mit allen externen Dienstleistern (IT-Firma, Lohnbüro) müssen entsprechende Verträge zur Einhaltung der Datensicherheit abgeschlossen werden. Mandanten und Besucher der Website müssen über den Datenschutz informiert werden. Entsprechende Hinweise zu den Datenschutzbestimmungen müssen auf der Kanzlei-Website überarbeitet werden und die Mandanten sollten bei Mandatsbegi...mehr

Rz. 272 Sind in einer Kanzlei mehr als zehn Personen mit der Datenverarbeitung beschäftigt, so ist zwingend ein betrieblicher Datenschutzbeauftragter nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 BDSG-neu zu bestellen. Hierbei ist zu beachten, dass es auf die Kopfzahl der Personen ankommt und sowohl die Kanzleiinhaber als auch die Angestellten und freien Mitarbeiter "als eine Person...mehr

Rz. 277 Durch die DSGVO haben die Mandanten folgende Rechte:mehr

Rz. 270 Für die Daten von Mandanten, Lieferanten und Mitarbeitern gilt jedoch der Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, es sei dennmehr

Rz. 273 Gem. Art. 30 DSGVO muss ein Verzeichnis über alle Datenverarbeitungen der Kanzlei erstellt werden, hierzu gehören insbesondere Das Verzeichnis muss schriftlich oder elekt...mehr

Die Eingehung von mehreren Arbeits- oder Beschäftigungsverhältnissen ist als Ausdruck der Berufsfreiheit und des allgemeinen Persönlichkeitsrechts grundsätzlich zulässig. Dementsprechende Verbotsklauseln (z. B.: "Die Übernahme von Nebenbeschäftigungen in anderen wirtschaftlichen Unternehmungen sind nicht erlaubt.") sind unwirksam.[1] Handelt es sich dagegen um einen nebentä...mehr

Sachverhalt Zum 31.12. soll das Archiv mit den alten Unterlagen der Entgeltabrechnung geräumt werden. Welche Unterlagen sind 6, 8 bzw. 10 Jahre aufzubewahren? Ergebnis Lohnkonten sowie alle mit der Abrechnung relevanten Belege und Bescheinigungen sind 6 Jahre lang aufzubewahren. Unterlagen, die für den Jahresabschluss relevant sind, müssen 10 Jahre lang aufbewahrt werden. Buch...mehr

mehr

Rz. 463 Nach § 1 Abs. 2 KSchG sind Kündigungen, die durch Gründe, die in dem Verhalten eines Arbeitnehmers liegen, bedingt sind, sozial gerechtfertigt.[841] Betroffen sind regelmäßig der Leistungs- und/oder der Vertrauensbereich. Die Rechtswirksamkeit einer ordentlichen verhaltensbedingten Kündigung gem. § 1 Abs. 2 KSchG setzt zunächst voraus, dass der Arbeitnehmer durch ein...mehr

Video: Datenschutz bei Homeoffice und Mobile Work Der Datenschutz im Homeoffice unterliegt denselben Anforderungen wie am innerbetrieblichen Arbeitsplatz und bei den innerbetrieblichen Abläufen. Im Rahmen des Homeoffice sind die öffentlich-rechtlichen Datenschutzvorschriften[1] zu beachten. Die Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in...mehr

Die Organisation der Teilhabeplankonferenz übernimmt der für die Teilhabeplanung verantwortliche Rehabilitationsträger. Nähere Verfahrensvorschriften sieht das Gesetz nicht vor. So kann diese als klassische Zusammenkunft aller beteiligten Personen, durch eine Telefonkonferenz oder eine Web- oder Video-Konferenz ausgestaltet werden[1]. Bei der Durchführung der Teilhabeplanung...mehr

Die Unterlagen müssen während der Dauer der Aufbewahrungspflicht verfügbar sein und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können. Wer die aufbewahrten Unterlagen nur in Form von Datenträgern vorlegen kann, ist verpflichtet, auf seine Kosten diejenigen Hilfsmittel zur Verfügung zu stellen, die zur Lesbarkeit der Daten erforderlich sind (z. B. Compu...mehr

Der Teilhabeplan dokumentiert: den Tag des Antragseingangs beim leistenden Rehabilitationsträger und das Ergebnis der Zuständigkeitsklärung und Beteiligung der Rehabilitationsträger und weiterer Akteure, die Feststellungen über den individuellen Rehabilitationsbedarf auf Grundlage der Bedarfsermittlung nach § 13 SGB IX, die zur individuellen Bedarfsermittlung nach § 13 SGB IX e...mehr

Die Relevanz des Geburtsdatums des Schuldners Das Geburtsdatum kann in der Zwangsvollstreckung durchaus in mehrfacher Hinsicht relevant sein. § 750 ZPO eröffnet die Zwangsvollstreckung gegen die Personen, für und gegen die sie stattfinden soll, sofern diese "namentlich" in dem Vollstreckungstitel genannt sind. Nicht immer genügt aber der Name für die Unterscheidung zwischen ve...mehr

Rz. 376 Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 S. 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder ...mehr

Rz. 143 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 4.8: Ausführlicher Arbeitsvertrag für einen Angestellten (Rubrum wie Muster Rdn 141) Anstellungsvertrag (Regelungen wie Muster "Mindeststandard-Vertrag nach den Anforderungen des Nachweisgesetzes" (Rdn 142 ) mit folgenden nach Bedarf zusätzlich/alternativ einzufügenden Klauseln:) 1. Kündigung – alternativ zu § 11 d...mehr

Begriff Auskunftspflicht ist die Verpflichtung aufgrund gesetzlicher Grundlage zur Erteilung von Informationen über einen bestimmten Sachverhalt. Diese ist für Ärzte – gleich ob niedergelassen tätig oder angestellt in einem Krankenhaus – oder für sonstige Angehörige der Heilberufe nur in einem eng definierten Rahmen geregelt. Dies ist darauf zurückzuführen, dass Gegenstand i...mehr