Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Ein modernes Governance-Modell gliedert sich in drei Ebenen, die ineinandergreifen wie ein Regelkreis: Strategische Ebene: Der Vorstand, der CHRO und ein interdisziplinäres AI Ethics Board definieren Leitlinien, Risikokategorien und Zielsysteme. Sie legen fest, wie viel Risiko eine Organisation eingehen will und welche Prinzipien unverhandelbar sind. Governance beginnt hier a...mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

mehr

Wesentliche Inhalte Bewerbungen erfolgen größtenteils "online" über Job-Portale, E-Mails oder eigens auf den Internetseiten des Unternehmens befindliche Bewerbungsformulare, aber auch noch "klassisch" in Papierform per Post. Dabei werden personenbezogene Daten erfasst und verarbeitet wie Name, Adresse, Wohnort, Alter, E-Mail und Telefonnummer, beruflicher Werdegang inklusive ...mehr

Neben dem Impressum ist in den Internetauftritt eine Datenschutzerklärung zu integrieren. Wie das Impressum muss die Datenschutzerklärung mittels Navigationsbutton eindeutig auf jeder Seite der Homepage sicht- und erreichbar sein. Zwar kann sie mit der Impressumseite verbunden sein, der Navigationsbutton muss dann aber entsprechend eindeutig benannt werden: "Impressum/Datens...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Die Einwilligung der Beschäftigten in die Überwachung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten herangezogen werden. Die Einwilligung muss stets frei, spezifisch und unmissverständlich erteilt werden.[1] Im Beschäftigungsverhältnis birgt die Einwilligung bekanntlich stets das Risiko, dass sie aufgrund des Machtverhältnisses zwischen A...mehr

Beschäftigte können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.mehr

Beschäftigte können der Verarbeitung ihrer Daten widersprechen, wenn keine zwingenden schutzwürdigen Gründe für die Verarbeitung vorliegen.mehr

Unter bestimmten Voraussetzungen, etwa wenn die Daten unrechtmäßig verarbeitet wurden, können Beschäftigte die Löschung ihrer Daten verlangen.mehr

Für die Verarbeitung von Beschäftigtendaten im Rahmen von Überwachungsmaßnahmen spielt Art. 6 Abs. 1f DSGVO eine große Rolle und öffnet in der Praxis viele Handlungsspielräume, je nach Risikoappetit der Arbeitgeber. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht ...mehr

Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Gleichermaßen erlaubt § 26 Abs. 1 Satz 1 BDSG [1] die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Praxis-Tipp Regelung im Arbeitsvertrag Es empfiehlt sich, di...mehr

Sofern eine Rechtspflicht zur Datenverarbeitung im Rahmen der Überwachungsmaßnahme besteht, ist auch diese Rechtsgrundlage denkbar. Arbeitgeber werden immer konkreter dazu verpflichtet, IT-Sicherheitsmaßnahmen zu treffen, z. B. unter der NIS2-Richtlinie. Da die Rechtspflicht konkret auf die Datenverarbeitung bezogen sein muss (z. B. im Steuerrecht, wo gewissen Daten aufbewah...mehr

Beschäftigte haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Dieses Mittel wird bekanntlich gerne und häufig verwendet als "Gegenschlag" zu Überwachungsmaßnahmen, z. B. im Rahmen von internen Ermittlungen. Arbeitgeber sollten diesen Aspekt stets bei der Implementierung von Überwachungsmaßnahmen auf dem R...mehr

Bei der Überwachung von Beschäftigen ist der Daten- und Privatsphärenschutz von zentraler Bedeutung. Dieser gilt auch im beruflichen Umfeld und am Arbeitsplatz. Kaum eine Überwachungsmaßnahme wird ohne einen Bezug zu einem konkreten Beschäftigten auskommen. Aufgrund des Prinzipien-Charakters dieser Gesetze haben sich Arbeitgeber daher entlang der datenschutzrechtlichen Kernp...mehr

Bei der Nutzung des betrieblichen E-Mail-Postfachs, des Telefons oder des Internets ausschließlich zu betrieblichen Zwecken richtet sich die Erhebung, Verarbeitung und Nutzung von anfallenden personenbezogenen Daten nach der DSGVO und dem BDSG. Die Verarbeitung personenbezogener Daten erfordert, wie eingangs beschrieben, stets eine Rechtsgrundlage, also einer Einwilligung ode...mehr

Ein weiterer Fall aus der Praxis ist die Überwachung des Standorts der Beschäftigten mittels technischer Einrichtungen wie GPS-Systemen oder RFID-Chips. Diese kommt unter anderem im Rahmen des Gebrauchs von Dienstfahrzeugen sowie zunehmend auch der Nutzung von mobilen Endgeräten oder der Verwendung von Mitarbeiterkarten (bspw. Zugangskarten) zum Einsatz. Grundsätzlich stellt ...mehr

Der Verantwortliche muss geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß den Art. 13 und 14 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.[1] Die Informationen müssen zum Zeitpunkt der Erhebung mitgeteilt werden, sofern...mehr

Die erhobenen Daten müssen korrekt und auf dem aktuellen Stand sein.[1] Zudem dürfen sie nur so lange gespeichert werden, wie dies für den verfolgten Zweck notwendig ist.[2] Der Verantwortliche ist zudem verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig s...mehr

Eine Datenschutzfolgeabschätzung ("DSFA")[1] ist dann durchzuführen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Überwachungsmaßnahmen, die umfassend oder kontinuierlich erfolgen und tief in die Privatsphäre der Beschäftigten eingreifen, ist eine DSFA regelmäßig erforderlich. Arbeitgeber sollten diese vor Begin...mehr

Die Abgrenzung zwischen einer Werkleistung und einer Werklieferung ist auch im Hinblick auf den Ort der Leistung bzw. der Lieferung vorzunehmen. Beide Umsatzformen unterscheiden sich nämlich bezüglich der Bestimmung des Liefer- bzw. Leistungsorts. Zeitpunkt und Ort der Werklieferung bestimmen sich nach den für die Lieferung gültigen Regeln (§ 3 Abs. 5a, Abs. 6 bis 8 UStG). Fü...mehr

Die Überwachung des Inhalts von Privatgesprächen ist unzulässig. Das Mithören oder Aufzeichnen durch Dritte nur mit ausdrücklicher oder konkludenter Einwilligung der beteiligten Gesprächspartner zulässig. Die Überwachung des Inhalts von privaten E-Mails richtet sich ebenfalls wieder nach den Grundsätzen und Prinzipien des § 26 BDSG beziehungsweise den allgemeinen Rechtsgrundl...mehr

Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, so auch bei Maßnahmen zur Überwachung.[1]mehr

Die Nutzung von Videokameras in einem nicht-öffentlichen Bereich, die nicht den Zweck der Mitarbeiterüberwachung verfolgt, etwa der Einsatz zur Aufsicht von Produktionsabläufen oder Sicherung von Zugängen zu sensiblen Bereichen, kann gerechtfertigt sein.[1] Der Aufnahmebereich ist jedoch auf den sicherheitsrelevanten Bereich einzugrenzen und die Erfassung von Mitarbeitern is...mehr

Die Überwachungsmaßnahme hat sich am Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit zu orientieren.[1] Danach dürfen nur solche Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Eine umfassende Überwachung der Mitarbeiter, die unverhältnismäßig oder exzessiv ist, verstößt gegen den Grundsatz der Datenminimierung.mehr

Der Einsatz von Videoüberwachungssystemen am Arbeitsplatz stellt einen erheblichen Eingriff in die informationelle Selbstbestimmung der Beschäftigten dar, da sie umfangreiche Informationen über ihr Verhalten erfasst und kann regelmäßig über die zur Erfüllung des Verarbeitungszwecks erforderliche Datenverarbeitung hinausgehen. Die Videoüberwachung von Arbeitsplätzen ist folgl...mehr

Jede Datenverarbeitung muss rechtmäßig sein[1] – es gilt das Prinzip des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass die Überwachung der Mitarbeiter als Datenverarbeitung im Grundsatz verboten ist, es sei denn sie ist ausdrücklich erlaubt. Die Verarbeitung personenbezogener Daten erfordert daher stets eine explizite Rechtsgrundlage. Folgende Rechtsgrundlagen sind im R...mehr

Personenbezogene Daten dürfen nur zu vorher klar definierten Zwecken verarbeitet werden.[1] Der Arbeitgeber muss demnach im Vorhinein klar und eindeutig festlegen, zu welchem Zweck die Überwachung erfolgt. Werden z. B. personenbezogene Daten für Zugriffszwecke verarbeitet, wäre die Nutzung derselben Daten für eine Leistungskontrolle nicht mehr vom Ursprungszweck abgedeckt. Z...mehr

Beschäftigtenüberwachung bezeichnet die systematische Erfassung, Analyse und Kontrolle von Aktivitäten, Verhalten und Kommunikation von Arbeitnehmern am Arbeitsplatz durch den Arbeitgeber selbst oder eine technische Einrichtung des Arbeitgebers.[1] Ziel der Überwachung ist in der Regel, die Produktivität zu steigern, Sicherheitsrisiken zu minimieren und die Einhaltung rechtli...mehr

Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH[1] nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die dat...mehr

Rz. 32 Im Steuerstrafverfahren kann eine Postbeschlagnahme [1] erfolgen; zuständig hierfür ist grundsätzlich der Richter.[2] Bei Gefahr im Verzug kann die Staatsanwaltschaft bzw. die Bußgeld- und Strafsachenstelle (nicht die Fahndung) eine solche Verfügung treffen, die aber dann binnen drei Tagen vom Richter bestätigt werden muss.[3] Unter die Postbeschlagnahme fällt auch die...mehr

Begriff Unter Personalakte ist jede Sammlung von Urkunden und Vorgängen durch den Arbeitgeber zu verstehen, die Angaben zu den persönlichen und dienstlichen Verhältnissen des Arbeitnehmers enthalten und in einem inneren Zusammenhang mit dem Arbeitsverhältnis stehen. Eine Personalakte liegt unabhängig davon vor, an welcher Stelle die Sammlung geführt wird und welche Form (nor...mehr

Bei einem bestehenden Arbeitsverhältnis ist eine Aufbewahrungspflicht dann anzunehmen, wenn ein berechtigtes Interesse des Arbeitnehmers an der Aufbewahrung besteht.[1] Dazu gehören Dokumente wie Arbeitsverträge, Zeugnisse, Krankmeldungen, Urlaubsanträge und andere relevante Unterlagen. Während des bestehenden Arbeitsverhältnisses trifft den Arbeitgeber auch eine Aufbewahrun...mehr

Rz. 18 Die Steuerfahndung ist nach § 158 StPO berechtigt und verpflichtet, die Anzeige von (Steuer-)Straftaten entgegenzunehmen.[1] Die Strafanzeige ist die Mitteilung eines Sachverhalts, der nach Meinung des Anzeigenden Anlass für eine Strafverfolgung bietet. Sie kann mündlich oder schriftlich angebracht werden; die Formvorschrift des § 158 Abs. 2 StPO spielt bei Steuerstra...mehr

Jeder Arbeitnehmer hat das Recht, in die über ihn geführten vollständigen Personalakten Einsicht zu nehmen. Das Einsichtsrecht folgt im laufenden Arbeitsverhältnis aus § 83 Abs. 1 Satz 1 BetrVG für alle betriebsangehörigen Beschäftigten, die dem Anwendungsbereich des Betriebsverfassungsgesetzes unterfallen. Die Norm ist als individualrechtlicher Anspruch konzipiert, auf das ...mehr

Eine Legaldefinition des Begriffs der Personalakte besteht nicht. Gesetzliche, aber auch tarifvertragliche Normen setzen den Begriff regelmäßig voraus (vgl. § 83 BetrVG, § 3 Abs. 5 TVöD-AT). Das BAG unterscheidet zwischen dem formellen und dem materiellen Personalaktenbegriff.[1] Personalakten im formellen Sinn sind danach die Schriftstücke, die der Arbeitgeber als "Personal...mehr

Für die Bestimmung von Reichweite und Grenzen des Inhalts der Personalakte sind die divergierenden Interessen von Arbeitnehmer und Arbeitgeber zu berücksichtigen und gegeneinander abwägen.[1] Die Personalakte soll ein möglichst vollständiges, wahrheitsgemäßes und sorgfältiges Bild über die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers geben.[2] Deshalb gehören...mehr

Der Arbeitgeber ist arbeitsrechtlich gegenüber dem Arbeitnehmer nicht zur Führung einer Personalakte verpflichtet. Er wird jedoch kaum anders als durch Führung von Personalakten den arbeits-, handels-, gesellschafts- und steuerrechtlich gebotenen Pflichten nachkommen und z. B. die für Krankheitsfälle notwendige Abrechnung der Entgeltfortzahlung gegenüber den gesetzlichen Kra...mehr

Rz. 31 Die Aufdeckung und Ermittlung unbekannter Steuerfälle ist eine steuerliche Aufgabe der Fahndung. Die Fahndung hat nach § 208 Abs. 1 S. 2 AO die Ermittlungsbefugnisse, die den FÄ oder HZÄ[1] im Besteuerungsverfahren zustehen[2], die allerdings durch § 208 Abs. 1 S. 3 AO modifiziert werden. Die Fahndung kann sich demgemäß bei diesen Ermittlungen nur der Beweisvorschrifte...mehr

Zusammenfassung Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzu...mehr

Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzung (BSIG) zu be...mehr

Im Fall einer Verletzung des Schutzes personenbezogener Daten gelten sowohl die Bestimmungen der DSGVO als auch die ergänzenden Regelungen des BDSG. Die DSGVO hat zwar Vorrang, das BDSG konkretisiert und ergänzt sie aber in einigen Bereichen für Deutschland. Konkret bedeutet das: Die Meldepflichten bei Datenschutzverletzungen nach Art. 33 DSGVO gelten unmittelbar. Die DSGVO sc...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Kann ein Mieter in einer Wohnungseigentumsanlage Schadensersatz beim Verwalter geltend machen wegen DSGVO-Verstößen? Nein, er muss sich an die GdWE wenden, die bei einem Verstoß nach § 31 BGB haftet.mehr

Aus dem Jahresbericht des Hessischen Datenschutzbeauftragten geht hervor, dass eine Arztpraxis ein Bußgeld erhielt, weil sie Patientenakten in einem öffentlich zugänglichen Müllcontainer entsorgt hatte. Diese Unterlagen waren teils geschreddert, aber leicht rekonstruierbar, einige wurden ungeschreddert weggeworfen. Mildernd wurde berücksichtigt, dass die Praxis den Vorfall e...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Die Landesbeauftragte für den Datenschutz von Niedersachsen hat ein Bußgeld gegen den Online-Versandhändler notebooksbilliger.de verhängt, weil das Unternehmen seine Mitarbeiter und Kunden ohne angemessene rechtliche Grundlage überwacht hatte. Die Videoüberwachung war pauschal und zeitlich unbegrenzt, was gegen die Datenschutzbestimmungen verstößt. Das Bußgeld entspricht 1,1...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Neben den Bußgeldern, die von den Aufsichtsbehörden bei Verstößen gegen die DSGVO verhängt werden können, sieht die DSGVO auch Schadenersatzansprüche für betroffene Personen vor (Art. 82 DSGVO). Auch bei Verstößen gegen den EU Data Act und die NIS2-Anforderungen können Schadenersatzansprüche geltend gemacht werden. Dies stellt ein zusätzliches zivilrechtliches Haftungsrisiko...mehr