Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Zusammenfassung Überblick "Hopper" waren im Arbeitsrecht bislang nur im Bereich der Gleichbehandlung ein Thema. "AGG-Hopper" meint Personen, die sich ohne ernstliche Absichten auf Arbeitsstellen bewerben, um wegen vermuteter Diskriminierung durch den Arbeitgeber später Entschädigung nach § 15 AGG verlangen zu können. Einen solchen "AGG-Hopper" zu erkennen, richtig zu reagiere...mehr

Es stellt sich die Frage, ob Arbeitgeber einer Schadensersatzforderung durch den Nachweis entgehen können, dass es dem Bewerber von vornherein nur darum ging, einen solchen Anspruch zu erlangen. Im Rahmen des "AGG-Hoppings" ist den Bewerbern der Schadensersatzanspruch aus § 15 AGG verwehrt, sofern die Person sich nicht beworben hat, um die ausgeschriebene Stelle zu erhalten, ...mehr

Rz. 1 Die Norm in ihrer Ausgangsfassung wurde durch das Gesetz zur Bekämpfung des Missbrauchs und zur Bereinigung des Steuerrechts[1] in die AO eingefügt. Zur Anpassung an die Terminologie des Art. 4 Nr. 2 DSGVO [2] wurde die Norm sprachlich modifiziert[3], ohne dass damit eine Änderung des Regelungsinhalts verbunden sein sollte.[4] Allerdings führt die Umstellung des Norminh...mehr

Rz. 22 Die von der Datensammlung in ihrem Recht auf informationelle Selbstbestimmung betroffene Person hat grds. einen Informationsanspruch gegen die die Daten sammelnde Stelle.[1] Seit dem Inkrafttreten der DSGVO sind die dort geregelten Informationsansprüche betroffener Personen für das steuerliche Verfahrensrecht maßgeblich. Mit der Einführung der Art. 12ff. DSGVO, hier i...mehr

Rz. 8 Geregelt wird die Verarbeitung in Dateisystemen. Der Begriff der Dateisysteme umfasst jede strukturierte Sammlung geschützter Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird.[1] Dateisysteme können sowohl als Papierakten, als auch als elektr...mehr

Rz. 2 Der Pflicht zur Geheimhaltung unterliegen die Beschäftigten der Integrations- bzw. Inklusionsämter und der Bundesagentur für Arbeit, diese Behörden sind in erster Linie mit der Durchführung der Aufgaben nach dem Teil 3 SGB IX befasst. Rz. 3 Über die in § 52 des Schwerbehindertengesetzes getroffene Vorgängerregelung hinaus sind ausdrücklich auch die Beschäftigten der Reh...mehr

Der ZVL führt Zertifizierungen nach DIN 77700 weitgehend elektronisch durch. Das Online-Zertifizierungssystem ermöglicht eine effiziente Verwaltung der Zertifizierungsanträge, einschließlich der Prüfung der Fragebögen und der Dokumentation. Die Nutzung elektronischer Medien trägt zur Vereinfachung und Beschleunigung des Zertifizierungsprozesses bei. Der ZVL trägt die Vereinsd...mehr

Bei dienstlichen Internet- und E-Mail-Anschlüssen handelt es sich um Betriebsmittel des Arbeitgebers, die ohne dessen Erlaubnis nicht privat genutzt werden dürfen. Ein Anspruch auf Privatnutzung folgt auch nicht aus Art. 9 Abs. 3 GG, wenn der Arbeitnehmer den Account für Zwecke des Arbeitskampfes nutzen will.[1] Die private Internet- und E-Mail-Nutzung am Arbeitsplatz stellt ...mehr

Das Einspruchsverfahren wird als "verlängertes Festsetzungsverfahren" vom Untersuchungsgrundsatz beherrscht[1], d. h., das Finanzamt ist an das Vorbringen und die Beweisanträge des Einspruchsführers nicht gebunden. Dessen Antrag und Begründung begrenzen die Befugnisse und Pflichten der Behörde nicht. Dabei sind auch die für ihn günstigen Umstände zu berücksichtigen. Eine Bin...mehr

Überblick Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreic...mehr

Die DSGVO, konkretisiert durch das BDSG, gilt gemäß Art. 2 Abs. 1 DSGVO für die Verarbeitung von Daten, soweit Daten ganz oder teilweise automatisiert verarbeitet werden. Sofern die Daten nicht automatisiert verarbeitet werden, aber in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten die Vorschriften der DSGVO und des BDSG ebenfalls. Für die Praxis g...mehr

Vor der Inbetriebnahme eines digitalisierten Personalaktensystems sollte eine Risikoanalyse durchgeführt werden, um Risiken für die Rechte und Freiheiten der Beschäftigten zu identifizieren. Im Rahmen dieser Risikoanalyse muss zunächst der geplante Verarbeitungsvorgang zusammengefasst und beschrieben werden. Anschließend wird evaluiert, welche spezifischen Risiken mit der en...mehr

Dem Verantwortlichen werden durch die DSGVO zahlreiche Informationspflichten auferlegt. Die Erfüllung dieser Informationspflichten wird insbesondere dann relevant, wenn die Personalakte digital geführt werden soll. Hier ist der Beschäftigte z. B. über etwaig eingesetzte Drittanbieter oder den Transfer personenbezogener Daten in Drittstaaten zu informieren. Häufig erfolgt die...mehr

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen: So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von...mehr

Den Beschäftigten stehen im Rahmen der DSGVO zahlreiche Betroffenenrechte zu. Hierzu zählen z. B. das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Gerade im Rahmen der Einführung einer digitalen Personalakte müssen diese Betroffenenrechte berücksichtigt werden und es muss sichergestellt sein, dass die...mehr

Die Vertraulichkeit einer Akte ist gewährleistet, wenn die Zugriffsmöglichkeiten so gering wie möglich gehalten werden und der Nutzerkreis nach genauen Regeln definiert ist. Außerhalb dieses Nutzerkreises ist jeder weiteren Person der Zugriff zu verweigern bzw. sicherzustellen, dass ein Zugriff nicht erfolgen kann. Die berechtigten Nutzer haben die erhaltenen Informationen n...mehr

Gemäß Art. 30 Art. 1 DSGVO sind Verantwortliche dazu verpflichtet, alle Verarbeitungstätigkeiten in ihrem Zuständigkeitsbereich übersichtlich und kompakt in einem Verarbeitungsverzeichnis festzuhalten. Im Verarbeitungsverzeichnis sollte auch der Einsatz der digitalen Personalakte dokumentiert sein. Insbesondere sollte festgehalten werden, zu welchem Zweck der Einsatz der dig...mehr

Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttre...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Um Gesundheitsdaten von Beschäftigten und damit personenbezogene Daten besonderer Kategorien rechtswirksam verarbeiten zu können, bedarf es für den Arbeitgeber einer passenden Rechtsgrundlage. Denn die DSGVO stellt die Verarbeitung von Gesundheitsdaten unter ein Verbot mit Erlaubnisvorbehalt. Das heißt, die Verarbeitung von personenbezogenen Daten besonderer Kategorien ist g...mehr

Wie lässt sich Künstliche Intelligenz sinnvoll in der Immobilienverwaltung nutzen, ohne gegen Datenschutzvorgaben zu verstoßen? Rechtliche Grundlagen, Risiken und praxisnahe Tipps für einen sicheren KI-Einsatz. Die Immobilienverwaltung wird mit Künstlicher Intelligenz schneller, datengetriebener und automatisierter. Dabei stehen Effizienzgewinne gegen sensible personenbezogen...mehr

Hinsichtlich einer Speicherung von auf Grundlage des § 20a IfSG erhobenen Gesundheitsdaten von Beschäftigten ist zu beachten, dass nicht der Impfnachweis selbst gespeichert werden darf, sondern lediglich die Information, dass ein gültiger Nachweis erbracht wurde und ggf. das Ablauf-/ Enddatum dieses Nachweises. Das Kopieren, Einscannen oder Aufbewahren des Nachweises ist unz...mehr

Für Mitarbeiter von bestimmten Einrichtungen und Unternehmen des Gesundheitssektors, z. B. Krankenhäuser, Arztpraxen, Alten- und Pflegeheime besteht nach § 20a IfSG eine einrichtungsbezogene Impfpflicht. Das bedeutet, dass diese Personen entweder genesen oder geimpft sein müssen, zumindest solange keine medizinische Kontraindikation hinsichtlich einer Impfung vorliegt. Die B...mehr

Der Arbeitgeber muss die erhobenen Daten nach Art. 17 Abs. 1 Buchst. a DSGVO grundsätzlich dann löschen, wenn der Zweck für die Verarbeitung entfallen ist. Ungeachtet eines etwaigen Zweckentfalls sind die Daten spätestens dann zu löschen, wenn die entsprechende Rechtsgrundlage entfällt. Arbeitgeber müssen die zur Erfüllung des § 20a IfSG erhobenen Gesundheitsdaten ihrer Besc...mehr

Aufgabe des Betriebsarztes ist die Förderung von Gesundheit und Arbeitssicherheit im Unternehmen. Dabei schützt er die Gesundheit der Arbeitnehmer, seine Tätigkeit dient aber gleichzeitig auch den Interessen des Arbeitgebers. Angesichts der Notwendigkeit der Durchführung bestimmter betriebsärztlichen Untersuchungen und Vorsorgen kann hinsichtlich der Legitimation auf Art. 9 ...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Überblick Durch moderne Medien wie Internet, E-Mail und Telefon sind heute so viele Daten über die eigene Person im Umlauf, dass sie kaum noch zu kontrollieren sind. Arbeitgeber tragen hier insbesondere Verantwortung für den Umgang mit den Daten ihrer eigenen Mitarbeiter. Ist erst der Eindruck entstanden, dass die Daten nicht vor Zugriffen Unberechtigter geschützt sind, ents...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Am 31.5.2023 hat der Bundestag mit Zustimmung des Bundesrats das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz – HinSchG) verabschiedet. Das Gesetz ist am 2.7.2023 in Kraft getreten. Ziel des Gesetzes ist eine Erweiterung des Schutzes vo...mehr

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Dritt...mehr

Der im deutschen Grundgesetz verankerte Schutz des Persönlichkeitsrechts[1] wird nunmehr vorrangig durch die DSGVO geregelt. Neben der DSGVO können weitere, bereichsspezifische Vorschriften zum Schutz personenbezogener Daten zu beachten sein. Für das Arbeitsverhältnis sind hierbei vor allem die Vorschriften des Bundesdatenschutzgesetzes 2018 (BDSG 2018), das Betriebsverfassu...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Für die vollständige Speicherung von Anrufzeit, -dauer und Rufnummern der Beteiligten dient Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage. Im Rahmen einer Abwägung ist festzustellen, ob das Interesse des Arbeitgebers an der Speicherung dieser statistischen Daten das Interesse seiner Beschäftigten und der Angerufenen hieran überwiegt. Diese Abwägung sollte schriftlich vor...mehr

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen. Die Neuen Standardvertragsklauseln s...mehr

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind. Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an D...mehr

Die Verarbeitung von Beschäftigtendaten ist grundsätzlich nur in einem engen Rahmen zulässig. Beschäftigtendaten dürfen in Einklang mit § 26 BDSG regelmäßig verarbeitet werden, wenn dies zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der "Erforderlichkeit" ist hierbei eng auszulegen. Nur, wenn die Verarbeitung unmittelba...mehr

Dem Arbeitgeber drohen bei Verstößen gegen datenschutzrechtliche Vorgaben an einigen Stellen Verwertungsverbote für die datenschutzrechtlich unrechtmäßig gewonnenen Erkenntnisse. Zwar kennen die deutschen Prozessordnungen kein generelles Verwertungsverbot für solche unrechtmäßig gewonnenen Erkenntnisse, aber insbesondere im Arbeitsrecht lassen die Gerichte eine Wertung diese...mehr

Auch das geschriebene Wort ist durch das Gesetz in einem gewissen Umfang geschützt. Bei Arbeitnehmern wird hier ein besonderes Augenmerk auf die Unterscheidung zwischen privater und geschäftlicher Nutzung gelegt werden müssen.[1] Der Schutz des Briefgeheimnisses in § 202 StGB ist nicht auf E-Mails und Faxe anwendbar, weil die bei beiden Medien verwendeten Daten nicht als "ver...mehr

Besondere Beachtung finden sollte die Kontrolle der Telekommunikationsdaten bei Mitarbeitern, die einem Sonderstatus dahingehend unterliegen, dass sie anderen Gruppen gegenüber zu Verschwiegenheit bzw. Vertraulichkeit verpflichtet sind. In dem Fall muss ggf. das Kontrollinteresse des Arbeitgebers dahinter zurückstehen. Explizit vor Kontrollen geschützt sind die Träger eines ...mehr

Arbeitgeber sind verpflichtet, im Rahmen des Arbeitsverhältnisses einzelne Dokumente und Informationen für eine gewisse Dauer aufzubewahren. Entsprechende Aufbewahrungspflichten können sich aus Gesetz, Satzung, Tarif- oder Individualvertrag ergeben. Sinn und Zweck ist in erster Linie die Ermöglichung und Sicherstellung von effektiven Kontrollen durch staatliche Behörden. Für ...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr

Einfluss nationaler Rechtsvorschriften Sowohl Exporteure als auch Importeure müssen zukünftig versichern, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Bestimmungsland, einschließlich Offenlegungs- und Überwachungsvorschriften, den Datenimporteur an der Erfüllung seiner Pflichten gemäß den Neuen Standardvertragsklauseln hindern...mehr

Ausgangsfall Anwendbarkeit bei Exporteuren mit Sitz außerhalb der EU und für Rückübermittlungen (Datenverarbeiter an Verantwortliche) Datenexporteure müssen nicht mehr in der EU ansässig sein, um die Neuen Standardvertragsklauseln anwenden zu können. Die Neuen Standardvertragsklauseln decken auch ein Szenario ab, in dem personenbezogene Daten von einem Exporteur mit Sitz auße...mehr

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.[1] Hierbei wird zunächst gefragt, ob für das entsprechende Drittla...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr