Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Als Konkretisierung der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO statuiert Art. 33 Abs. 5 DSGVO die Dokumentation im Falle von Schutzverletzungen. Eine sorgfältige Dokumentation ist wichtig, um die Rechenschaftspflicht zu erfüllen und bei Audits oder Anfragen der Aufsichtsbehörde Nachweise erbringen zu können. Im Gegensatz zur Meldepflicht, wird die Dokumenta...mehr

mehr

Personalakten beinhalten sensible personenbezogene Daten. Der Arbeitgeber hat bei der Personalaktenführung auf die Belange des Datenschutzes und des Persönlichkeitsrechts des Beschäftigten Rücksicht zu nehmen und den Grundsatz der Vertraulichkeit zu wahren (siehe dazu auch Abschnitt 4.1.5). Die Vorschriften der DSGVO sowie des BDSG – insbesondere § 26 BDSG – sind zu beachten...mehr

Für bestimmte Verstöße sind Geldbußen bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres festgelegt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO). Hier muss unterschieden werden. Die genannte Geldstrafe wird im Fall schwerer Verstöße verhängt. Hierzu zählen...mehr

Die Bewertung, Verfolgung und Ahndung von Datenschutzverstößen ist Aufgabe der zuständigen Aufsichtsbehörden. Zu diesen zählen der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbeauftragten. Für Verstöße gegen IT-Sicherheitsanforderungen (NIS2) ist in Deutschland das Bundesamt für Sicherheit in der Informationst...mehr

Im Hinblick auf die Vorgaben der Verordnung muss zukünftig genau geprüft werden, wer in welchen Fällen zu benachrichtigen ist. Es sind nicht mehr Aufsichtsbehörde und Betroffene stets gleichermaßen zu benachrichtigen. Die DSGVO enthält eine abgestufte Melde- und Benachrichtigungspflicht. Dieses ist umfangreicher als das im BDSG. Meldepflicht gegenüber Aufsichtsbehörde (Art. 3...mehr

Das Recht zur Einsichtnahme ist umfassend und bezieht sich auf sämtliche Personalakten im materiellen und formellen Sinne. Wichtig Der Anspruch auf Einsichtnahme nach § 3 Abs. 5 TVöD bzw. § 3 Abs. 6 TV-L ist umfassend und bezieht sich auf die materielle Personalakte, also auf alle Unterlagen und Vorgänge, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters b...mehr

Seit dem 12.9.2023 gilt der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen EU-Mitgliedstaaten. Er regelt den Zugang zu und die Nutzung von Daten, insbesondere bei vernetzten Produkten, Cloud-Diensten und Datenteilungen zwischen Unternehmen (B2B) und zwischen Unternehmen und öffentlichen Stellen. Bei Verstößen gegen Kapitel II des Data Act (Datenzugang und -nutzu...mehr

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) Anzahl der Betroffenen, ...mehr

Sollte es sich bei einem entsprechender Vorfall um eine Schutzverletzung darstellen, so ist – auch gerade aufgrund der engen 72h-Frist – ein innerbetrieblicher Ablauf- und Kommunikationsplan unerlässlich. Ein solcher ist nachfolgend exemplarisch aufgelistet, der je nach Unternehmensorganisation entsprechend anzupassen ist. Hierbei ist wie folgt vorzugehen: Der Mitarbeiter, de...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben (letztes Update: 20...mehr

Die Kenntnis von einer Schutzverletzung steht an erster Stelle. In der betrieblichen oder behördlichen Praxis ist oft nicht klar, wann der Verantwortliche von einer "Feststellung" im Sinne der Verordnung ausgehen muss. Relevant ist nämlich u. a., dass ab der Feststellung (und nicht ab Eintritt der Schutzverletzung) die Zeit hinsichtlich der durch die DSGVO vorgeschriebene 72...mehr

Ist von der Schwere eines Schadens (Schadenshöhe) die Rede, dann stellt sich die Frage, was die DSGVO darunter versteht. Hier hilft Erwägungsgrund 75 DSGVO weiter. Demnach kann eine Verarbeitung personenbezogener Daten zu physischen, materiellen und immateriellen Schäden führen, wie: Diskriminierung Identitätsdiebstahl oder -betrug Finanzieller Verlust Rufschädigung Verlust der V...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gemäß Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich ...mehr

Den Inhalt der Personalakte bestimmt grundsätzlich der Arbeitgeber. Diese Gestaltungsfreiheit des Arbeitgebers findet ihre Grenzen in den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG sowie in den grundrechtlichen Wertentscheidungen. Für die Frage, welche konkreten Vorgänge und Informationen aufbewahrt und damit zur materiellen Personalakte genommen werden dürfen, si...mehr

5.1.1 Inhalt der Meldung Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) ...mehr

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab. Quelle: GDPC GbR Abb. 1: Risikomatrix So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einst...mehr

Der Verantwortliche muss die Betroffenen in 2 Ausnahmefällen nicht benachrichtigen:[1] Wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehören z. B. eine sichere Verschlüsselung oder Pseudonymisierungsmaßnahmen. Wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherste...mehr

"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zuga...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Voraussetzungen Eine öffentliche Bekanntmachung kommt nur als Ersatz für die direkte Benachrichtigung der Betroffenen in Betracht, wenn eine solche Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (Art. 34 Abs. 3 Buchst. c DSGVO). Sie ist also die Ausnahme und setzt voraus, dass die direkte Benachrichtigung der Betroffenen tatsächlich einen sehr hohen Aufwand...mehr

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten: Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt. Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet. Verlust (Data Loss...mehr

Der Anspruch auf Entfernung nach §§ 242, 1004 Abs. 1 BGB (analog) hat nicht nur für die Entfernung von Abmahnungen aus der Personalakte Bedeutung. Ein Entfernungsanspruch des Beschäftigten besteht auch bezüglich solcher Angaben aus der Personalakte, die nicht als rechtmäßige Bestandteile von Personalakten gelten und dennoch in die Personalakte des Beschäftigten gelangt sind (...mehr

Beim Führen von Personalakten stellt sich für Arbeitgeber regelmäßig die Frage, wie lange die Informationen und Unterlagen aufbewahrt werden dürfen bzw. müssen. Es besteht keine pauschale gesetzliche Aufbewahrungsfrist für allgemeine personenbezogene Daten und Unterlagen im Arbeitsverhältnis. Ob und wann ein Arbeitgeber eine Information oder eine Unterlage aus der Personalak...mehr

Hat der Arbeitgeber rechtmäßig eine Abmahnung ausgesprochen, kann der Arbeitnehmer nach §§ 242, 1004 Abs. 1 Satz 1 BGB (analog) die Entfernung der Abmahnung verlangen, wenn seitens des Arbeitgebers kein schutzwürdiges Interesse am Verbleib der Abmahnung in der Personalakte besteht. Nach Auffassung des Bundesarbeitsgerichts lässt sich für das Recht auf Entfernung der an sich ...mehr

Für verbeamtete Personen beinhalten die Vorschriften § 50 BeamtStG und §§ 106 – 115 BBG ausführliche Regelungen rund um die Personalakte. In der Regel haben die Bundesländer in ihren Beamtengesetzen und zugehörigen Erlassen entsprechende Regelungen getroffen. Nach § 50 Abs. 1 Satz 1 BeamtStG ist für jeden Beamten der Länder, Gemeinden und Gemeindeverbände sowie der sonstigen ...mehr

Begriff Der Datenschutz erhält zunehmend in der öffentlichen Diskussion eine größere Bedeutung. Dabei geht es um den Schutz von personenbezogenen Daten, die auch den Sozialversicherungsträgern (z. B. Krankenkassen, Rentenversicherungsträgern, Arbeitsagenturen, Berufsgenossenschaften) zur Kenntnis gelangen. Aus dem Sozialgeheimnis folgt der Anspruch des Einzelnen, dass die So...mehr

Begriff Sozialdatenschutz bezeichnet den Schutz personenbezogener Daten des Einzelnen. Diese Daten sollen auch insbesondere von den Sozialleistungsträgern vor Missbrauch geschützt werden. Damit ist der Sozialdatenschutz gleichzeitig auch Persönlichkeitsschutz. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Der Sozialdatenschutz ist im SGB I und SGB X geregelt. D...mehr

Rechte der betroffenen Person, die u. a. verletzt werden und bei Vorliegen der Voraussetzungen im Einzelnen geltend gemacht werden können, sind beispielsweise: Auskunftsrecht[1]; Recht auf Berichtigung unrichtiger personenbezogener Daten/Recht auf Vervollständigung unvollständiger personenbezogener Daten[2]; Recht auf Löschung[3]; Recht auf Einschränkung der Verarbeitung[4]; Rech...mehr

Begriff Das Akteneinsichtsrecht ermöglicht den Beteiligten eines Verwaltungsverfahrens die Einsicht in die Akten, die das Verfahren betreffen. Gesetze, Vorschriften und Rechtsprechung Den Rechtsanspruch auf Akteneinsicht regelt § 25 SGB X. Ein spezielles Akteneinsichtsrecht in der Adoption für die Vermittlungsakten bestimmt § 9c AdVermiG. Ein spezielles Informationsrecht in d...mehr

Mit "personenbezogene Daten" sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder ...mehr

Wenn personenbezogene Daten bei der betroffenen Person erhoben werden, muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten grundsätzlich u. a. mitteilen: den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, ggf. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeit...mehr

Ein zentrales Problemfeld beim Einsatz Künstlicher Intelligenz im notariellen Kontext betrifft die berufsrechtlich normierte Verschwiegenheitspflicht (§ 18 BNotO) sowie die datenschutzrechtliche Zulässigkeit der Verarbeitung besonders schutzwürdiger personenbezogener Daten, wie sie insbesondere im Bereich der Nachlassermittlung regelmäßig anfallen. Die Bewertung der rechtlic...mehr

Wann und unter welchen Voraussetzungen Sozialdaten verarbeitet werden dürfen, ist u. a. im Zweiten Kapitel des SGB X geregelt. Dort finden sich Vorschriften über die Möglichkeiten, Sozialdaten zu erheben, zu speichern, zu verändern, zu nutzen und an andere zu übermitteln.[1]mehr

Sozialdaten sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem SGB verarbeitet werden.[1] Betriebs- und Geschäftsgeheimnisse, die gem. § 35 Abs. 4 SGB I den Sozialdaten gleichstehen, sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischar...mehr

Der Anspruch auf Geheimhaltung richtet sich gegen die Leistungsträger.[1] Die Wahrung des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden.[2] Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen t...mehr

In jedem Fall wird die Akteneinsicht durch berechtigte Geheimhaltungsinteressen begrenzt. Dies gilt auch für Akteneinsicht nach den Informationsfreiheitsgesetzen der Länder.[1] Solche ergeben sich aus dem Sozialgeheimnis und dem Weitergabeverbot.[2] Die personenbezogenen Daten Dritter müssen daher bei der Akteneinsicht geschützt werden. Dies kann durch Schwärzen oder Herausn...mehr

Die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten durch die in § 35 SGB I genannten Stellen ist zulässig, soweit es gesetzliche Bestimmungen erlauben oder anordnen.[1] Dies gilt auch für die besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO.[2] Die Übermittlung von biometrischen, genetis...mehr

Bei den einzelnen Leistungsträgern, z. B. den Krankenkassen, existieren Datenschutzbeauftragte. An diese bzw. an die Aufsichtsbehörde kann sich der Bürger wenden, wenn er meint, ihm gegenüber sei der Datenschutz/seien seine Rechte verletzt worden. Personen, die bezüglich ihrer Daten z. B. bei einem Sozialversicherungsträger Probleme und Fragen haben, können sich an diesen Bea...mehr

Alle Leistungsträger haben das Sozialgeheimnis zu beachten. Es besagt, dass jeder darauf Anspruch hat, dass seine Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden dürfen.[1] Der Schutz der Sozialdaten bezieht sich auf alle personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach...mehr

Eine "Verletzung des Schutzes personenbezogener Daten" versteht sich als Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.[1] Folgerichtig wir...mehr

Rz. 8 Seit dem 25.5.2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 v. 4.5.2016, S. 1; L 314 v. 22.11.2016, S. 72; L 127 v. 23.5.2018, S. 2) in a...mehr

Rz. 3 Das soziale Datenschutzrecht ist allgemeinrechtlich im SGB X geregelt. Korrespondierende Regelungen finden sich in §§ 67b, 67d, 67e und 68 ff. SGB X. Weitere ergänzenden Vorschriften finden sich insbesondere in § 75 SGB X (Übermittlung von Sozialdaten für die Forschung und Planung), in § 9e Abs. 1 Satz 1 Nr. 6 Adoptionsvermittlungsgesetz und in der Datenschutz-Grundver...mehr

Rz. 5 Nach Abs. 1 dürfen Sozialdaten zu dem Zweck übermittelt oder genutzt werden, zu dem sie erhoben worden sind. Bei Übereinstimmung von Erhebungs- und Weiterverwendungszweck entfällt im Hinblick auf die Datenübermittlung und -nutzung damit eine eigenständige Zulässigkeitsprüfung. Dies ist vor dem Hintergrund, dass die Datenerhebung zweckorientiert (mit dem Ziel der weiter...mehr

Rz. 26 Das Verhältnis der Datenschutzgrundverordnung zu nationalstaatlichen Regelungen über Datenschutz in den EU-Mitgliedstaaten regelt die Datenschutzgrundverordnung ausdrücklich selbst, und zwar in Art. 6 Abs. 2 und 3 VO (EU) 2016/679 ; danach behalten die EU-Mitgliedstaaten ihre Sozialdatenschutzregelungen. In Deutschland bleiben daher die Regelungswerke im SGB I, X und V...mehr

Rz. 14 Die durch das KJSG v. 3.6.2021 (BGBl. I S. 1444) mit Wirkung zum 10.6.2021 eingefügte Regelung in Abs. 2b regelt die Befugnis der Jugendhilfeträger, Sozialdaten zu übermitteln und zu nutzen, soweit dies für die Durchführung bestimmter wissenschaftlicher Vorhaben zur Erforschung möglicher politisch motivierter Adoptionsvermittlung in der DDR erforderlich ist (vgl. inso...mehr

Rz. 30 Die durch das KJSG v. 3.6.2021 (BGBl. I S. 1444) mit Wirkung zum 10.6.2021 eingefügte Regelung entspricht der ebenfalls durch das KJSG eingefügten Regelung in § 64 Abs. 2b und regelt die Befugnis zur Weitergabe und Übermittlung anvertrauter Sozialdaten, soweit dies für die Durchführung bestimmter wissenschaftlicher Vorhaben zur Erforschung möglicher politisch motivier...mehr

Rz. 58 OVG Lüneburg, Beschluss v. 28.11.2023, 11 LC 273/21: Zur Übermittlung von Sozialdaten vom Jugendamt an die Ausländerbehörde; VG München, Urteil v. 22.9.2022, M 10 K 21.30727: Zum Sozialdatengeheimnis der Angaben eines unbegleiteten minderjährigen Flüchtlings zu seinen (§ 42a Abs. 1 Satz 1 SGB VIII) unterfallen dem Sozialgeheimnis; BVerfG, Urteil v. 15.12.1983, 1 BvR 209...mehr