Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Der Einsatz von KI im Personalmanagement steht exemplarisch für die Chancen und Herausforderungen der digitalen Transformation des Arbeitslebens. Digitale Systeme können Personalentscheidungen effizienter, datenbasierter und objektiver gestalten, bergen jedoch gleichermaßen erhebliche Risiken im Hinblick auf den Datenschutz. Aus einer datenschutzrechtlichen Perspektive ist in...mehr

Die Einführung digitaler Personalakten bietet Unternehmen zahlreiche Vorteile, wie effizientere Prozesse, eine bessere Nachvollziehbarkeit und eine ortsunabhängige Zugriffsmöglichkeit. Gleichzeitig stellt sie erhöhte Anforderungen an den Datenschutz, da die darin enthaltenen personenbezogenen Informationen oftmals besonders sensibel sind. Demnach sind die oben skizzierten Gr...mehr

Die Datenverarbeitung hat sich am Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit zu orientieren.[1] Danach dürfen nur solche Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Digitale Systeme sollten die Datenerhebung auf ein verhältnismäßiges Maß begrenzen.mehr

Für digitale Personalsysteme sind geeignete TOMs nach Art. 32 DSGVO zu ergreifen. Diese können beispielsweise rollenbasierte Berechtigungen nach dem need-to-know-Prinzip, eine Protokollierung von Zugriffen, Verschlüsselung, sichere Authentifizierung (MFA), Backup-Konzepte sowie klare Berechtigungs- und Löschprozesse umfassen.mehr

Werden Personalsysteme durch externe Anbieter betrieben (z. B. Plattformen für das Bewerbermanagement), ist regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Verantwortliche sollten darin insbesondere Regelungen zu Unterauftragsverarbeitung, Support, Löschfristen, Audit-Rechten sowie technischen und organisatorischen Maßnahmen (TOMs) vereinbaren.mehr

Außerdem muss gewährleistet sein, dass die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Beschädigung oder Zerstörung geschützt sind.mehr

Sofern Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, sind die Anforderungen an internationale Datenübermittlungen zu prüfen und einzuhalten.[1]mehr

Eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Unternehmensgröße ist für diese Pflicht nicht entscheidend. Bei der Nutzung von Hochrisiko-KI-Systemen ist eine DSFA regelmäßig erforderlich. Arbeitgeber sollten diese vor ...mehr

Die Überwachung von Beschäftigten, etwa mittels Videoaufzeichnungen, der Analyse von E-Mail-Korrespondenz, der Ortung des Beschäftigtenstandorts und des Einsatzes von KI, ist nur unter engen datenschutzrechtlichen Grenzen zulässig.[1] So ist regelmäßig eine DSFA nach Art. 35 DSGVO erforderlich, da Überwachungsmaßnahmen üblicherweise ein hohes Risiko für die Rechte und Freihe...mehr

Gemäß Art. 38 Abs. 1 DSGVO muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Im Rahmen der Einführung und Nutzung digitaler Systeme stellt der Datenschutzbeauftragte sicher, dass die Maßnahmen rechtskonform, verhältnismäßig und transpar...mehr

Für die Einwilligungserklärung gelten die datenschutzrechtlichen Grundsätze von § 26 Abs. 2 BDSG sowie der DSGVO. Nach Art. 4 Nr. 11 DSGVO muss die betroffene Person in informierter Weise und unmissverständlich den Willen zu einer Einwilligung bekunden. Es ist daher ratsam, dass der Arbeitgeber den Bewerber vor der Einwilligungserklärung mindestens über den Zweck der Datenvera...mehr

Aufgrund der vielfältigen Verpflichtungen, die Arbeitgebern durch das Arbeitsverhältnis auferlegt werden, haben diese ein hohes Interesse daran, dass Personen, die sie beabsichtigen einzustellen, nicht nur in fachlicher Hinsicht, sondern auch in gesundheitlicher Hinsicht die Anforderungen an die konkrete Tätigkeit erfüllen. Die Einstellungsuntersuchung bietet die Möglichkeit...mehr

Nach geltender Rechtslage sind ärztliche Untersuchungen im Rahmen der Einstellung nur auf freiwilliger Basis, also nur mit Einwilligung des Bewerbers zulässig. Für die Einwilligung gelten die datenschutzrechtlichen Grundsätze des BDSG und der DSGVO (siehe Abschnitt 3.2). Der Arbeitgeber darf eine Einstellungsuntersuchung nur verlangen, wenn gesundheitliche Voraussetzungen ein...mehr

Künstliche Intelligenz (KI) kann im Recruiting-Prozess in vielen Bereichen unterstützend wirken, etwa bei der Vorauswahl von Kandidaten, der Analyse von Bewerbungsunterlagen oder der Automatisierung von Kommunikation. Sie bietet die Möglichkeit, Prozesse effizienter zu gestalten und die Entscheidungsfindung durch datenbasierte Ansätze zu unterstützen. Der Einsatz von KI in de...mehr

Ein Talentpool bezeichnet eine Sammlung von Profilen potenzieller Kandidaten, die für zukünftige Stellenbesetzungen in Betracht gezogen werden können. Ein gut gepflegter Talent Pool trägt dazu bei, den Zeitaufwand, sowie die Kosten für eine Stellenbesetzung erheblich zu minimieren. Für Unternehmen lohnt sich daher der Aufbau entsprechender Datenbanken, wobei die Qualität der g...mehr

Rz. 4 Die Vorschrift dient der Steuervollzugssicherung im Rahmen eines elektronischen Risikomanagements.[1] Zu den unterstützenden technischen Anforderungen an das Besteuerungsverfahren zählt gerade auch die Reaktionsmöglichkeit der Verwaltung auf Steuerverkürzungen durch immer stärkere Nutzung der innovativen technischen Möglichkeiten. Zu diesem Zweck wurde mit der Regelung...mehr

Der Geltungsbereich für Schutzmaßnahmen sollte definiert werden, indem festgelegt wird, welche smarten Geräte hinsichtlich des Umgangs mit Daten überprüft werden müssen. Damit verbunden ist auch zu definieren, welche spezifischen Sicherheitsanforderungen die Geräte, z. B. auch eine Cloud und die über die Cloud geregelten Prozesse, erfüllen müssen. Die Sifa kann den Unternehm...mehr

Gemäß Art. 4 Nr. 15 der Datenschutzgrundverordnung (DSGVO) umfassen Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Diese dürfen nur mit Einwilligung des Patienten oder gesetzlicher Erlaubnis gespeichert werden. Sie dürfen nur dann preisgegeben werden, wenn gesetzliche Vorschriften dem Arzt e...mehr

mehr

Überblick Digitale Technologien und telemedizinische Verfahren sind mittlerweile im Gesundheitswesen weit verbreitet. Auch in der zukunftsorientierten Arbeitsmedizin sind in Ergänzung der bestehenden Betreuungsformen bereits zahlreiche Anwendungsgebiete der Telematik identifiziert. Ziel muss eine sichere Anwendung und eine breite Akzeptanz der Instrumente sein – insbesondere...mehr

Der Arbeitgeber hat an seinen Arbeitnehmer Schadensersatz ebenfalls nach den allgemeinen Regeln der §§ 249 ff. BGB zu leisten. Vorrangig ist Naturalrestitution zu leisten.[1] Ist dies nicht möglich, ist eine Entschädigung in Geld nach der Differenzhypothese zu leisten.[2] Die möglichen Anspruchsinhalte sind vielfältig. Kein deliktischer Anspruch besteht im Hinblick auf ein "...mehr

Rn. 91 Stand: EL 187 – ET: 02/2026 Im Zuge der durch das 2. DSAnpUG-EU vom 20.11.2019 (BGBl I 2019, 1626) mWv 26.11.2019 (Art 155 Abs 2 S 2 2. DSAnpUG-EU) erfolgten Anpassung des § 51a EStG an die DSGVO 2016/679/EU ist § 51a Abs 1 S 2 EStG eingefügt worden. Dieser stellt sicher, dass die personenbezogenen Daten, die bei der Erhebung der ESt im Wege des Steuerabzugs verarbeite...mehr

Rn. 2 Stand: EL 187 – ET: 02/2026 Die nunmehr in § 51a Abs 2 EStG enthaltene Regelung wurde durch das EStRefG v 05.08.1974 (BGBl I 1974, 1769) in das EStG eingefügt. Da durch das EStRefG die Kinderfreibeträge abgeschafft und durch das allgemeine Kindergeld ersetzt wurden, hätte sich ohne die Einfügung des § 51a EStG die Bemessungsgrundlage für die KiSt erhöht. Da die Landes-K...mehr

Rn. 41 Stand: EL 187 – ET: 02/2026 § 51a EStG in der durch das StMBG v 21.12.1993 (BGBl I 1993, 2310) geänderten Fassung ist seit dem VZ 1994 anzuwenden. § 51a EStG idF des JStG v 11.10.1995 (BGBl I 1995, 1259) findet ab dem VZ 1996 Anwendung. § 51a EStG in der durch das Gesetz zur Familienförderung v 22.12.1999 (BGBl I 1999, 2552) geänderten Fassung ist ab dem VZ 2000 anzuwend...mehr

Rn. 1 Stand: EL 187 – ET: 02/2026 § 51a Abs 1 EStG: § 51a Abs 1 S 1 EStG enthält die Legaldefinition der Zuschlagsteuern und ordnet mit Ausnahme des § 36a EStG die entsprechende Anwendung des EStG an. § 51a Abs 1 S 2 EStG bestimmt im Hinblick auf die DSGVO 2016/679/EU, dass die zum Zweck der Erhebung der ESt im Wege des Steuerabzugs verarbeiteten personenbezogenen Daten auch fü...mehr

Julia Roglmeier/Markus Sikora/Walter Krug (Hrsg.) 7. Aufl. 2025 1015 Seiten, 149 EUR zerb verlag, ISBN 978-3-95661-158-2 Vor zehn Jahren rezensierte ich bereits die 5. Auflage von "Anwaltformulare Testamente" (ErbR 2015, 167) und kam zu dem Schluss, dass das Werk ein herausragendes Arbeitsmittel für jeden Rechtsanwalt oder Notar ist, der sich mit der Gestaltung von Testamenten b...mehr

Rz. 49b Das Einsichtsrecht in die Bruttoentgeltlisten mit der Angabe von Klarnamen der Arbeitnehmer fällt in den sachlichen Geltungsbereich der Datenschutz-Grundverordnung (DS-GVO) [1] und in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) [2]. Die Namen der Arbeitnehmer und die ihnen zugeordneten Bruttoentgelte sind "personenbezogene Daten" im Sinne von Art. 4 Nr. 1...mehr

Rz. 7 Die Vorschrift will sicherstellen, dass alle Schutzvorschriften zugunsten der Arbeitnehmer auch tatsächlich eingehalten und angewendet werden. Der Begriff der "zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen" ist deshalb weit auszulegen [1] und umfasst auch das Richterrecht [2], bzw. die durch Richterrecht entwickelten Grundsätze, z. B. den allgemeinen arbe...mehr

Seit den ersten flugmedizinischen Untersuchungen zu Beginn des 20. Jahrhunderts und im Straßenverkehr nach dem II. Weltkrieg stellten ab 1971 auch die Berufsgenossenschaften für den betrieblichen Bereich einen Untersuchungsgrundsatz („G25“; heute E FSÜ) vor, der aus damaliger Sicht zur Unfallverhütung beitragen sollte. Heute sind FSÜ in vielen Berufen üblich, die aktiv Fahrze...mehr

Sobald KI-Systeme personenbezogene Daten verarbeiten – sei es Mandantendaten oder Daten der Mitarbeitenden – gelten vollumfänglich die Vorgaben der DSGVO. Deshalb müssen insbesondere: eine Rechtsgrundlage für die Verarbeitung vorliegen (Art. 6 DSGVO) – etwa die Erfüllung des Mandatsvertrags oder berechtigte Interessen, Auftragsverarbeitungsverträge mit KI-Dienstleistern geschlo...mehr

4.1 Welche Voraussetzungen zur Aufbewahrung und Löschung personenbezogener Daten gibt es? Bei personenbezogenen Daten gebietet die DSGVO eine Löschpflicht, wenn der ursprüngliche Zweck für die Verarbeitung erreicht ist und kein weiterer Grund mehr für eine weitere Verarbeitung vorliegt. In der DSGVO wird dieser Grundsatz dann in Art. 5 Abs. 1 lit. e mit "Speicherbegrenzung" b...mehr

Rz. 144 Durch das Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie wurden spezielle datenschutzrechtliche Regelungen zur Verarbeitung personenbezogener Daten durch die Verpflichteten in das GwG eingefügt. Nach § 11a Abs. 1 GwG dürfen personenbezogene Daten von dem Verpflichteten nur verarbeitet werden, soweit dies auf Grundlage des GwG für Zwe...mehr

Wichtigste Vorfrage und erste Weichenstellung im Datenschutz ist die Frage, ob überhaupt personenbezogene Daten verarbeitet werden. Auf die Verarbeitung (tatsächlich) anonymisierter Arbeitnehmerdaten ist das Datenschutzrecht von vornherein nicht anwendbar. Personenbezogene Daten sind z. B. dann nicht zwingend erforderlich, wenn Bewertungen von Informationen auf Unternehmens-...mehr

Bei personenbezogenen Daten gebietet die DSGVO eine Löschpflicht, wenn der ursprüngliche Zweck für die Verarbeitung erreicht ist und kein weiterer Grund mehr für eine weitere Verarbeitung vorliegt. In der DSGVO wird dieser Grundsatz dann in Art. 5 Abs. 1 lit. e mit "Speicherbegrenzung" bezeichnet. Als Verarbeitung zählt nach Art. 4 Nr. 2 auch die Speicherung von personenbezo...mehr

Datenschutzrechtlich stellt die Beauftragung der Archivierung von Dokumenten eine Verarbeitung gem. Art. 4 Nr. 2 DSGVO und, wenn dazu ein Dienstleister eingesetzt wird, eine Auftragsverarbeitung nach Art. 28 DSGVO dar. Eine Auftragsverarbeitung ist innerhalb Deutschlands, aber auch EU- bzw. EWR-weit gestattet, sofern der Dienstleister sorgfältig ausgewählt und vom Auftraggeb...mehr

Überblick Hinter dem Begriff "künstliche Intelligenz" (KI oder englisch: AI – "Artificial Intelligence") verbergen sich zumeist besondere, selbstlernende Algorithmen, bzw. Modelle, die mit vorzugsweise großen Datenmengen trainiert wurden. KI-basierte Software kann u. a. selbstständig unbekannte Sachverhalte bewerten, Prognosen und Empfehlungen abgeben oder auch Entscheidunge...mehr

Sollen Computersysteme Mitarbeitern direkt und verbindlich Anweisungen erteilen (vgl. Beispiele unter Abschn. 2.5), stellen sich aus rechtlicher Sicht zwei Fragen: Verbietet Art. 22 DSGVO eine (rein) maschinelle Entscheidung von vornherein? (meistens Nein) Welche speziellen Anforderungen stellt § 106 GewO an die Übertragung des Weisungsrechts auf Computersysteme? Art. 22 Abs. 1...mehr

Rz. 15 § 27 Abs. 1 Satz 2 verbietet ausdrücklich die unbefugte Bekanntgabe der Mitteilung der Frau über ihre Schwangerschaft bzw. das Stillen an Dritte. Die Norm stellt das klar, was nach dem BDSG, aufgrund arbeitsvertraglicher Nebenpflicht und in Anerkennung des allgemeinen Persönlichkeitsrechts der werdenden oder jungen Mutter ohnehin gilt: Es ist Sache der Frau zu entsche...mehr

Aus Datenschutz- und Geheimschutzgründen ist es ratsam, KI-Dienste zu nutzen, die in der EU gehostet werden oder zumindest ein gleichwertiges Datenschutzniveau garantieren. Bei Anbietern außerhalb der EU (z. B. in den USA) findet ein Datentransfer in Drittländer statt. Solche Transfers sind nur zulässig, wenn das Land ein von der EU anerkanntes Datenschutzniveau hat oder and...mehr

Beim Einsatz von KI in der Steuerberatung sind verschiedene rechtliche Rahmenbedingungen zu beachten: Berufsrecht: Steuerberater unterliegen einer besonderen Berufsverschwiegenheit (§ 203 StGB, StBerG, BOStB). Vertrauliche Mandantendaten dürfen nur an KI-Dienstleister weitergegeben werden, wenn diese rechtlich und vertraglich strikt an die Verschwiegenheit gebunden sind. Es ist...mehr

Strafrecht (StGB): Nach § 201 StGB ist das Aufnehmen nichtöffentlicher Gespräche nur mit vorheriger Einwilligung aller Beteiligten zulässig. Eine nachträgliche Einwilligung ist unzulässig. Datenschutz (DSGVO): Beim Einsatz von Diktier-KI werden regelmäßig personenbezogene Mandantendaten verarbeitet. Erforderlich sind insbesondere: eine gültige Rechtsgrundlage (meist Einwilligu...mehr

Mit "KI-Verzeichnis" in diesem Kontext ist eine interne Übersicht aller KI-Einsätze in der Kanzlei gemeint, in der ihr festhaltet, welche KI-Tools wofür genutzt werden, mit welchen Daten, und unter welchen Regeln. Das ist kein gesetzlich fest definierter Begriff wie z. B. das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO – sondern ein praxisnahes Compliance-Werkzeug, d...mehr

Ergänzend ist bei der Aufbewahrung zu berücksichtigen, dass der spätere Zugriff der Finanzverwaltung inhaltlich und zeitlich derart zu begrenzen ist, dass dem Prüfer im Rahmen der unmittelbaren Zugriffsvariante ausschließlich die Daten des maßgeblichen Prüfungszeitraums (entsprechend der Prüfungsanordnung) zugänglich gemacht werden. Auch datenschutzrechtliche Aspekte sollten...mehr

Rn. 34 Stand: EL 48 – ET: 02/2026 § 162 Abs. 5 Satz 1 AktG verbietet Angaben im Vergütungsbericht, die sich auf die Familiensituation einzelner Mitglieder des Vorstands oder AR beziehen. Hierunter fallen z. B. Angaben zu etwaigen Familien- oder Kinderzuschlägen; es soll in solchen Fällen nur der Gesamtbetrag genannt werden, nicht jedoch der Grund für die Gewährung (vgl. BT-Dr...mehr

Für aufbewahrungspflichtige Daten und Dokumente sollte keine Löschmöglichkeit vor dem Ende der Aufbewahrungsfrist vorhanden sein. Auch sollte keine automatisierte Löschung nach Ende der Aufbewahrungsfrist (z. B.: "stets alle Daten löschen, die älter als 11 Jahre sind") erfolgen. Vor dem Löschprozess sollte zwingend eine organisatorische Freigabe eingeholt werden, um dem Umsta...mehr

Wenn Kanzlei und Mandant gemeinsam KI-Systeme nutzen (z. B. Mandantenportal mit KI-Chat, KI-gestützte Belegprüfung oder gemeinsame Dokumentenplattform), sollten einige Punkte besonders beachtet werden: Klare Rollen- und Aufgabenverteilung Wer ist für welchen Arbeitsschritt zuständig (Datenerfassung, Prüfung, finale Freigabe)? Wo endet die Mandantenverantwortung (z. B. Bereitste...mehr

Vertrauliche Mandantendaten sollten keinesfalls ungeschützt in öffentlichen KI-Diensten eingegeben werden. Steuerberater unterliegen der strikten Verschwiegenheitspflicht (§ 57 Abs. 1 StBerG, § 5 BOStB) und dem Schutz von Mandantengeheimnissen nach § 203 StGB. Anders als durch die DSGVO sind damit auch Daten von nicht natürlichen Personen geschützt, Bei der Nutzung externer ...mehr

Der EU AI Act, ist zum 1. August 2024 in Kraft getreten, aber die meisten Verpflichtungen werden erst nach einer Übergangsfrist gelten. Sie ist der weltweit erste umfassende Rechtsrahmen für KI. Für die Steuerberatung als solche sind keine speziellen Verbote oder Pflichten vorgesehen. Jedoch sind einige Regelungen auch für die Steuerberatungspraxis relevant. Der AI Act verfol...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Neben einem evidenten Verstoß werden Betroffene häufig mit der Situation eines Verdachtsfalls konfrontiert. In diesen Fällen ist besondere Vorsicht geboten, da es dem internen Arbeitsklima ungemein schaden kann, wenn sich herausstellt, dass ein Mitarbeiter zu Unrecht beschuldigt und verdächtigt wurde. Dennoch muss Verdachtsfällen immer nachgegangen werden, da im Zweifelsfall...mehr