Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 27 Nach § 94 BetrVG bedürfen Einstellungsfragebögen der Zustimmung des Betriebsrats. Der Betriebsrat hat nach § 94 Abs. 1 BetrVG mitzubestimmen, wenn der Arbeitgeber zur Aufklärung von Straftaten im Betrieb in einem standardisierten Fragebogen personenbezogene Fragen nach dem Verhalten des befragten Arbeitnehmers stellt, die objektiv Rückschlüsse auf dessen Eignung zulas...mehr

Der Arbeitgeber ist gut beraten, auch ohne gesetzliche Verpflichtung, bestimmte Personalunterlagen so lange aufzubewahren, wie noch mit Ansprüchen des Arbeitnehmers zu rechnen ist. Damit ist grundsätzlich bis zum Ablauf der einschlägigen Verjährungsfristen zu rechnen, soweit nicht kürzere arbeitsvertragliche oder tarifvertragliche Ausschlussfristen gelten. Die Verjährungsfri...mehr

Rz. 1 § 139a AO enthält die Verpflichtung, jedem Stpfl. zu dessen eindeutiger Identifizierung im Besteuerungsverfahren ein lebenslanges und unveränderliches Merkmal zuzuordnen. Bei natürlichen Personen ist dies – unabhängig von einer etwaigen Steuerpflicht – mit der steuerlichen Identifikationsnummer nach § 139b AO gelungen. Für Personenvereinigungen und Körperschaften wird ...mehr

Rz. 7 Die WIDNr unterliegt gem. § 139c Abs. 2 AO im Hinblick auf Art und Umfang der Erhebung und Verwendung ähnlichen Restriktionen wie die Identifikationsnummer für natürliche Personen. Auch hier werden den Finanzbehörden weitergehende Befugnisse zur Verwendung der WIDNr eingeräumt als anderen öffentlichen oder nicht öffentlichen Stellen.[1] Aufgrund der höheren Öffentlichke...mehr

Rz. 11 § 139c Abs. 6 AO enthält die verfassungsrechtlich gebotenen Regelungen zur Zweckbestimmung der für wirtschaftlich Tätige gespeicherten Daten. Die Regelung ist der in § 139b Abs. 4 AO für die Identifikationsnummer enthaltenen Regelung nachempfunden, sodass sinngemäß auf die dortigen Ausführungen verwiesen wird.[1] Rz. 12 Mit dem Familienleistungsgesetz[2] wurde der dem ...mehr

Rz. 19 Den Beteiligten sind die Unterlagen nach § 364 AO "offenzulegen". Der Begriff der "Offenlegung" wurde erst mit Wirkung v. 26.11.2019 in die Vorschrift eingeführt und ersetzte dort den Begriff "Mitteilung". Bis dahin waren die Unterlagen "mitzuteilen".[1] Die Änderung der Begrifflichkeiten sollte der Anpassung an die Begriffsbestimmungen der DSGVO [2] dienen. Dort wird "...mehr

Rz. 22 Auch wenn die Finanzbehörde dem Beteiligten zur Erfüllung seines Anspruchs auf Offenlegung der Besteuerungsgrundlagen Akteneinsicht gewähren kann, ergibt sich aus § 364 AO für das Einspruchsverfahren – ebenso wie aus § 91 AO und aus Art. 15 DSGVO für das allgemeine Besteuerungsverfahren – kein Anspruch auf Akteneinsicht. [1] Der Gesetzgeber hat die Einführung eines all...mehr

Rz. 24 Die Leistungserbringer, Genomrechenzentren, klinischen Datenknoten sowie Datendienste sind befugt, die erforderlichen personenbezogenen Daten zur Wahrnehmung ihrer Aufgaben nach den Abs. 10 bis 10c zu verarbeiten (Satz 1). Die zweckgebundene Nutzung der Daten (Abs. 9c Satz 7 Nr. 1 und Abs. 11 Satz 3 Nr. 4) bedarf der vorherigen schriftlichen oder elektronischen Einwil...mehr

Rz. 54 Das BfArM macht die in den klinischen Datenknoten und Genomrechenzentren gespeicherten Daten auf Antrag nach Maßgabe der Sätze 4 und 5 sowie der Abs. 11a und 11b den Nutzungsberechtigten zugänglich (Satz 1). Es handelt sich um eine Verarbeitungsbefugnis i. S. d. Art. 6 i. V. m. Art. 9 der Verordnung (EU) 679/2016. Nutzungsberechtigt sind natürliche und juristische Per...mehr

Rz. 23 Die für die Einrichtung und den Betrieb der klinischen Krebsregister (vgl. Rz. 5 ff.) notwendigen Bestimmungen sowie die Erhebung, Verarbeitung und Nutzung der Daten richten sich nach Landesrecht, soweit es keine abweichenden Bestimmungen gibt. Rz. 24 In die Länderkompetenz fallen unter anderem Regelungen zur Festlegung regionaler Einzugsgebieten oder zu Meldepflichten der...mehr

Rz. 42 Qualifizierte Einrichtungen der wissenschaftlichen Forschung können Genomrechenzentren einrichten (Satz 1). Genomdaten werden ausschließlich in Genomrechenzentren gespeichert und verarbeitet. Über die Genomrechenzentren soll eine entsprechende Anbindung an europäische Strukturen (über das European Genome Archive) ermöglicht werden, um für die relevanten Datensätze ein...mehr

Rz. 47 Leistungserbringer können klinische Datenknoten einrichten oder sich dem entsprechenden Netzwerk anderer Leistungserbringer anschließen (Satz 1). Klinische Datenknoten sind Schnittstellen, über die pseudonymisierte klinische Datensätze zur Verfügung gestellt werden. Klinische Datenknoten bedienen sich dabei der von den Leistungserbringern betriebenen Speicher. Über di...mehr

Rz. 84 Der G-BA hat die Dokumentationsanforderungen, die für die Zulassung von strukturierten Behandlungsprogrammen für Brustkrebs nach § 137f Abs. 2 Satz 2 Nr. 5 geregelt sind, regelmäßig an den einheitlichen onkologischen Basisdatensatz anzupassen, um unterschiedliche, medizinisch nicht begründbare Unterschiede bei den Dokumentationsinhalten zu vermeiden (Satz 1; BT-Drs. 1...mehr

Rz. 2 Die Leistungserbringer von Hilfsmitteln müssen zur ordnungsgemäßen, fachgerechten Ausübung ihres Berufes befähigt sein und die Anforderungen an die technische und persönliche Eignung bzw. Leistungsfähigkeit erfüllen. Dazu sind auch die ggf. erforderlichen berufsrechtlichen Voraussetzungen (z. B. nach Gewerbe- oder Handwerksrecht) einzuhalten. Diese Bedingungen sind gru...mehr

Rz. 81 Wohnt ein Pflegebedürftiger in einem anderen als dem zuständigen Staat, besteht ein europarechtlicher Bezug, der grundsätzlich die Anwendbarkeit des sog. Koordinierungsrechts auslöst, also zur Anwendung der Grundverordnung EGV 883/2004 und der Durchführungsverordnung EGV 987/2009 führt. Rz. 82 Art. 17 EGV 883/2004 regelt dabei den gemeinschaftsrechtlichen Sachleistungs...mehr

mehr

mehr

mehr

Problemüberblick Im Fall will eine Wohnungseigentümerin von einem anderen Wohnungseigentümer nicht fotografiert werden. Personenbezogene Datum Das LG urteilt vertretbar und verurteilt den Fotografen zur Unterlassung. Das LG hätte zwar wohl Art. 6 Abs. 1 UA 1 Buchstabe f) DSGVO prüfen müssen. Das Ergebnis wäre aber kaum anders ausgefallen. Denn tatsächlich ist es nicht rechtmäßi...mehr

Begriff Die Bewerbung bzw. das Bewerbungsverfahren zielt auf die Besetzung eines Arbeitsplatzes durch den Arbeitgeber zur Deckung eines bestehenden Personalbedarfs. Regelmäßig erfolgt die Bewerbung als Reaktion auf eine Stellenausschreibung; möglich ist aber auch eine Initiativbewerbung. Mit Einleitung des Bewerbungsverfahrens entsteht ein vorvertragliches Schuldverhältnis z...mehr

Begriff Die ärztliche Behandlung ist eine Leistung der gesetzlichen Krankenversicherung. Sie umfasst die Tätigkeit des Arztes, die zur Verhütung, Früherkennung und Behandlung von Krankheiten nach den Regeln der ärztlichen Kunst ausreichend und zweckmäßig ist. Das Wirtschaftlichkeitsgebot ist dabei zu beachten. Zur ärztlichen Behandlung gehört auch die vom Arzt angeordnete un...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. d. Art. 4 Nr. 1 und Nr. 2 DSGVO dar, deren Vorgaben zu beachten sind.[1] Die DSGVO enthält keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Allerdings sind bestimmte Vorgaben der D...mehr

Die DSGVO bezieht die freien Träger in den Anwendungsbereich ein.[1] Der öffentliche Träger muss sicherstellen, dass der Datenschutz bei ihnen in gleicher Weise wie beim öffentlichen Träger gewährleistet ist ("Datenschutzrechtliche Garantenpflicht").[2] Dies kann durch Vereinbarungen oder Auflagen geschehen. Die Übermittlung von Heimberichten und Verwendungsnachweisen an den ...mehr

Die Zulässigkeit einer Datenverarbeitung bestimmt sich nach Art. 6 DSGVO.[1] In der Jugendhilfe ist danach eine Datenverarbeitung rechtmäßig, wenn sie zur Aufgabenerfüllung erforderlich ist. Das gilt für alle Verarbeitungsvorgänge, also insbesondere für Erheben, Speichern und Übermitteln von Daten.[2] 1.1 Erheben von Daten Nach der DSGVO gilt eine sog. "Informierte Datenerhebu...mehr

Nach der DSGVO gilt eine sog. "Informierte Datenerhebung".[1] Danach muss die Datenerhebung erstens zur Aufgabenerfüllung erforderlich sein und zweitens den Betroffenen mit einer Datenschutzerklärung über die Kontaktdaten des Verantwortlichen im Jugendamt und die des Datenschutzbeauftragten der Behörde sowie über den Zweck der Datenverarbeitung informieren. Wenn die Datenerhe...mehr

Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Grundlagen in der...mehr

Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Diese Mitteilungen sind Übermittlungen[1] und sind zulässig[2]. Nur anvertraute Daten[3] dürfen grds. nicht weitergegeben werden. Ebenso ist die Datenerhebung im Einschätzungsverfahren zulässig.[4]mehr

Jeder Versicherte erhält zu Beginn der Versicherung bei einer gesetzlichen Krankenkasse seine elektronische Gesundheitskarte. Der Anspruch auf ärztliche Behandlung ist dem Arzt damit nachzuweisen.[1] Dazu hat der Versicherte vor Beginn der Behandlung seine elektronische Gesundheitskarte auszuhändigen. Der Einsatz der elektronischen Gesundheitskarte entspricht der DSGVO, ist g...mehr

Begriff Hinter dem Arbeitsmodell "Crowdworking" steht das Konzept, dass Unternehmen einzelne Aufträge oder Projekte, wie beispielsweise Texterstellung, Datenrecherche, IT-Dienstleistungen, Design- oder andere Arbeitsleistungen, über Internet-Plattformen vergeben. Dabei wird mithilfe von Algorithmen die Arbeitsleistung, die Vergütung und auch die Beziehung zwischen Kunden und...mehr

Die Einwilligung muss zu ihrer Wirksamkeit[1] freiwillig, informiert, zweckbestimmt und für konkreten Fall bestimmt sein. Die allgemeinen und speziellen jugendhilferechtlichen Datenschutzbestimmungen gelten für alle Stellen des Trägers der öffentlichen Jugendhilfe, soweit sie Aufgaben nach dem SGB VIII wahrnehmen. Als Stelle ist hierbei das jeweilige Sachgebiet innerhalb des ...mehr

Infographic Zwingend zu beteiligen sind zunächst der Arbeitgeber bzw. eine von ihm benannte vertretungsberechtigte Person und die beschäftigte und BEM-berechtigte Person. Der Arbeitgeber hat das BEM anzubieten und bei Zustimmung der beschäftigten Person (i. d. R. des Arbeitnehmers) durchzuführen. Er muss auch den nach Art. 7, 9 DSGVO erforderlichen Datenschutz gewährleisten. N...mehr

Unabdingbare Voraussetzung für die Durchführung eines BEM ist die vorherige Zustimmung der beschäftigten Person.[1] Die Zustimmung hat der Arbeitgeber von dieser nach Information über die verwendeten Daten und Ziele des betrieblichen Eingliederungsmanagements einzuholen. Die beschäftigte Person entscheidet mit ihrer Zustimmung, ob ein BEM stattfinden kann. Lehnt sie ab, darf ...mehr

Die Datenschutz-Grundverordnung (Art. 22 DSGVO) garantiert jedem Menschen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, die rechtliche Wirkung entfalten oder erheblich beeinträchtigen. Nur drei Ausnahmen sind erlaubt: wenn die Entscheidung für die Vertragserfüllung erforderlich ist, auf einer Rechtsgrundlage beruht oder auf ausdrücklic...mehr

Überblick Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, i. d. R. sind ...mehr

Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit d...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Der Mandant kann gem. Art. 15 DSGVO Auskunft über die vom Steuerberater verarbeiteten personenbezogenen Daten verlangen, insbesondere über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Ein...mehr

Der Steuerberater als Inhaber der Kanzlei selbst darf sich nach dem Gesetz nicht zum Datenschutzbeauftragten bestellen (Interessenkollision; Art. 38 Abs. 3 DSGVO). Aus Gründen der Gefahr der fehlenden Objektivität darf auch nicht der für die EDV verantwortliche Mitarbeiter Datenschutzbeauftragter werden. Datenschutzbeauftragter kann sowohl ein Mitarbeiter der Steuerberatungska...mehr

Mit der Verordnung (EU) 2024/1689 – dem AI Act – führt Europa das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz ein. Sein Prinzip ist klar: Je höher das Risiko für Grundrechte oder Sicherheit, desto strenger die Pflichten. Für die Personalarbeit bedeutet das einen Wendepunkt. Nach Anhang III, Abschnitt 4 gilt jedes KI-System als Hochrisiko, das Einfluss...mehr

Die Datenschutzaufsichtsbehörde (Art. 51 ff. DSGVO) sorgt für die Einhaltung der datenschutzrechtlichen Regelungen (§§ 8, 18 ff. BDSG). Es ist Ländersache, welche Stellen die Aufgaben der Aufsichtsbehörden übernehmen. In jedem Bundesland existiert eine Aufsichtsbehörde, welcher die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich obliegt (§§ 19 ff. BDSG).[1] Der Ste...mehr

Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Er ist aber in der Wahrnehmung seiner Aufgaben weisungsfrei. Sinn und Zweck des Datenschutzbeauftragten ist es, die Personen, die hinter den Daten stehen, zu schützen. Er ist daher überwiegend beratend tätig, nimmt dem Kanzleiinhaber also nicht dessen Verantwortung ab. Der Datenschutzbeauftragte ist...mehr

Die eigentliche Herausforderung beginnt, wenn die Pflicht erfüllt ist. Governance ist kein Kontrollkästchen, sondern eine Lernarchitektur. Unternehmen, die den AI Act ernst nehmen, verstehen ihn nicht als Regulierung, sondern als Einladung, Verantwortung professionell zu gestalten. Sie verbinden juristische Nachweise mit ethischer Reflexion – und machen daraus ein Qualitätsm...mehr

Ein Steuerberater, der i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung (Erhebung, Verarbeitung oder Nutzung) personenbezogener Daten beschäftigt, muss dafür sorgen, dass ein Datenschutzbeauftragter (s. Tz. 3) benannt wird (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG). Maßgeblich ist die Möglichkeit der Datenverarbeitung, nicht der Umfang der tatsächli...mehr

Art. 37 Abs. 5 DSGVO legt fest, dass zum Beauftragten für den Datenschutz nur benannt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Anforderungen, die an den Datenschutzbeauftragten zu stellen sind, hängen auch von der Kanzleigröße, der Zahl der Mitarbeiter, dem Umfang und der Art der Datenverarbeitung ab. Grundsätzlich ist ein Mitarbeiter aus ...mehr

Governance endet nicht mit der Einführung eines Systems, vielmehr beginnt sie dort. Der AI Act verlangt, dass der gesamte Lebenszyklus vom Design bis zur Stilllegung jedes Modells dokumentiert wird. Design: Zweck, Trainingsdaten, Verantwortliche und Erklärbarkeitsziele werden festgelegt. Training: Datensätze werden auf Repräsentativität, Rechtmäßigkeit und Bias geprüft. Deploym...mehr

Die DSGVO verlangt menschliche Aufsicht, aber ihr eigentlicher Wert liegt tiefer. Der Mensch fungiert als semantischer Filter zwischen mathematischer Wahrscheinlichkeit und organisationaler Bedeutung. Human-in-the-Loop (HITL) ist kein Bremsklotz, sondern ein Rückkopplungsmechanismus. Er bringt Kontext, Empathie und Erfahrung in Entscheidungen ein. Wenn ein Algorithmus eine Em...mehr

Hat es die Steuerberatungskanzlei z. B. unterlassen, einen Datenschutzbeauftragten ordnungsgemäß zu benennen, oder ist dies verspätet bzw. fehlerhaft erfolgt, kann das mit einer Geldbuße bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes geahndet werden (Art. 83 Abs. 4 Satz 1 Buchst. a DSGVO). Gleiches gilt, wenn der Datenschutzbeauftragte seine Aufgaben nicht erfüllt.mehr