Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 62 Mit Aufsichtsbehörde ist nach Art. 4 Nr. 21 DSGVO eine oder mehrere von einem Mitgliedstaat gemäß Art. 51 Abs. 1 DSGVO eingerichtete unabhängige Behörden gemeint, die für die Überwachung der Anwendung dieser Verordnung zuständig i. S. v. Art. 55 DSGVO sind. Dies sind die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschut...mehr

Rz. 56 Unter Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede "freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person zu verstehen, die in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt wurde, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verar...mehr

Rz. 64 Bis 24.5.2018 definierte § 67 Abs. 12 SGB X a. F. "besondere Arten personenbezogener Daten". Im Einzelnen waren dies Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Rz. 65 Art. 9 DSGVO enthält das Prinzip des Verbotes mit Erlaubnisvorbehalt, nac...mehr

Rz. 37 Art. 7 Abs. 1 DSGVO legt dem Verantwortlichen eine Nachweispflicht für das Vorliegen einer Einwilligung auf, die in § 67b Abs. 2 Satz 1 konkretisiert wird. Mit Art. 7 Abs. 2 DSGVO werden Bedingungen an eine schriftliche Einwilligung gestellt, die in § 67b Abs. 2 Satz 2 ergänzt werden. Art. 7 Abs. 3 DSGVO und § 67b Abs. 2 Satz 3 regeln das Widerrufsrecht der betroffenen...mehr

Rz. 60 Art. 4 Nr. 14 DSGVO definiert biometrische Daten als personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die mit speziellen technischen Verfahren gewonnen wurden und die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, z. B. Gesichtsbilder oder daktyloskopische Daten. Si...mehr

Rz. 10 Neben den Spezialvorschriften im SGB (Rz. 9) kann sich die Zulässigkeit für die Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung unmittelbar aus der DSGVO ergeben. Art. 6 DSGVO regelt die "Rechtmäßigkeit der Verarbeitung" und Art. 9 DSGVO die "Verarbeitung besonderer Kategorien personenbezogener Daten". 2.1.2.1 Rechtmäßigkeit...mehr

Rz. 1 Die Vorschrift ist mit der Einfügung des SGB X v. 18.1.1980 in das Sozialgesetzbuch (BGBl. I S. 1469) zum 1.1.1981 in Kraft getreten. Umfassend überarbeitet wurde sie durch das Zweite SGB-ÄndG v. 13.6.1994 (BGBl. I S. 1229). Die bis zum 30.6.1994 geltende Übermittlungsbefugnis gegenüber allen Behörden im Rahmen der Amtshilfe wurde reduziert auf bestimmte im Gesetz gena...mehr

Rz. 5 Seit dem 25.5.2018 ist aufgrund der unmittelbaren Rechtswirkung der Vorschriften der DSGVO (vgl. Rz. 2) für die zulässige Erhebung von Sozialdaten nicht mehr nur § 67a maßgebend, sondern insbesondere die Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und Art. 9 DSGVO (Verarbeitung besonderer Kategorien von personenbezogenen Daten). Zusätzlich gelten die unmittelbar anzu...mehr

Rz. 16 Seit dem 25.5.2018 gelten für den Umgang mit personenbezogenen Daten europaweit und unmittelbar die Begrifflichkeiten der DSGVO, die in Art. 4 DSGVO bestimmt werden. Art. 9 DSGVO ergänzt Art. 4 DSGVO um die "Verarbeitung besonderer Kategorien personenbezogener Daten", die unter einem besonderen Schutz gestellt sind und grundsätzlich nur unter besonderen Voraussetzunge...mehr

Rz. 17 Art. 9 Abs. 2 Buchst. h DSGVO lässt Ausnahmen vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO zu für "Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im ...mehr

Rz. 47 Bereits im Jahr 2001 wurde sowohl im BDSG als auch im SGB X (§ 67a Abs. 8a SGB X a. F.) der Begriff des Pseudonymisierens eingeführt. Als abgeschwächte Form der Anonymisierung sah das Pseudonymisieren nur das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen vor. Dadurch sollte und soll weiterhin die Bestimmung der betroffenen Person ausges...mehr

Rz. 20 Nach § 67a Abs. 1 Satz 3 gilt seit dem 25.5.2018 § 22 Abs. 2 BDSG entsprechend. Dieser Verweis trägt dem Umstand Rechnung, dass Art. 9 Abs. 2 Buchst. b, g, h und i DSGVO verlangen, bei der Verarbeitung besonderer Kategorien von Daten, "geeignete Garantien" bzw. "angemessene und spezifische Maßnahmen" vorzusehen (BT-Drs. 18/12611). Mit § 22 Abs. 1 Nr. 1 Buchst. a BDSG w...mehr

Rz. 11 Die Verarbeitung ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; Näheres hierzu in Rz. 23 ff.; die Verarbeitung ist für die Erfüllung eines Vertrags, des...mehr

Rz. 14 Art. 9 Abs. 2 Buchst. a DSGVO lässt die Verarbeitung besonderer Kategorien personenbezogener Daten mit Einwilligung der betroffenen Person zu, sofern nicht eine nationale gesetzliche Regelung die Einwilligung als Zulässigkeitsvoraussetzung ausdrücklich ausnimmt. § 67b Abs. 1 Satz 1 regelt als nationale einschränkende bzw. ergänzende Vorschrift i. S. v. Art. 6 Abs. 2 D...mehr

Rz. 38 Der Verantwortliche muss nach Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Näheres zur Art und Weise der Umsetzung dieser Nachweispflicht ist in der DSGVO nicht geregelt. § 67b Abs. 2 Satz 1 legt einschränkend fest, "zum Nachweis, dass die betroffene Person in die Verarbeitung ihrer ...mehr

Rz. 52 Der Begriff des"Empfängers" erhielt bereits durch die Anpassung an die EU-Richtlinie 95/46/EG im Jahr 2001 eine neue Bedeutung und umfasst seit dem außer einem Dritten auch die von der Datenverarbeitung betroffene Person, den Auftragsverarbeiter und die verschiedenen Organisationseinheiten beim Verantwortlichen. Empfänger ist damit seit 2001 jeder, der Sozialdaten erh...mehr

Rz. 16 Art. 9 Abs. 2 Buchst. h DSGVO lässt Ausnahmen vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO zu für "Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im ...mehr

Rz. 49 Nach Art. 4 Nr. 6 DSGVO ist unter einem Dateisystem"jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird" zu verstehen. Dies entspricht im Wesentlichen dem Begriff der nicht automatisierten...mehr

Rz. 55 Dritter ist nach Art. 4 Nr. 9 DSGVO jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten".mehr

Rz. 50 Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".mehr

Rz. 41 Art. 7 Abs. 2 DSGVO reget den Fall, dass die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die auch noch andere Sachverhalte betrifft; das ist regelmäßig bei formularmäßigen Antragstellungen der Fall z. B. auf Rente oder Leistung zur Teilhabe. In diesen Fällen "muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher...mehr

Rz. 51 Der Begriff eines Auftragsverarbeiters ist neu definiert. Bisher wurden zwar in § 80 SGB X und in § 11 BDSG die Rechte und Pflichten des Auftragnehmers geregelt, der Begriff selbst war bis 25.5.2018 nicht definiert. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Dat...mehr

Rz. 57 Eine "Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden", wird gemäß Art. 4 Nr. 12 DSGVO als Verletzung des Schutzes pers...mehr

Rz. 61 Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen, werden nach Art. 4 Nr. 15 DSGVO als Gesundheitsdaten definiert. Zu den personenbezogenen Gesundheitsdaten zählen alle Daten,...mehr

Rz. 59 Genetische Daten sind nach Art. 4 Nr. 13 DSGVO "personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden". E...mehr

Rz. 63 Grenzüberschreitende Verarbeitung liegt nach Art. 4 Nr. 23 DSGVO vor, wenn entweder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergel...mehr

Rz. 6 "Absatz 1 regelt als generelle Norm die Zulässigkeit von Verarbeitungsvorgängen außerhalb der Erhebung und verweist insoweit auf die folgenden Vorschriften", so die Gesetzesbegründung zur Neufassung des Abs. 1 zum 25.5.2018 (BT-Drs. 18/12611). Tatsächlich regelt er die Zulässigkeit der Verarbeitungsvorgänge Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung...mehr

Rz. 19 Art. 4 Nr. 2 DSGVO fasst unter dem Begriff Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zusammen. Seit 25.5.2018 fallen somit alle Phasen des Umganges mit personenbezogenen Daten (Vorgang oder Vorgangsreihe) unter den Begriff Verarbeitung; also auch die ...mehr

Rz. 44 Nach Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Auch der Widerruf kann – wie die Einwilligung selbst – grundsätzlich nur von der betroffenen Person selbst vorgenommen werden (vgl. Rz. 29). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbei...mehr

Rz. 46 Unter Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel zu verstehen, ihre künftige Verarbeitung einzuschränken. Damit entspricht die Einschränkung im Wesentlichen dem bis 24.5.2018 in § 67 Abs. 6 Nr. 4 SGB X a. F. enthaltenen Begriff des Sperrens, das als das Untersagen (auch teilweise) der weiteren Verarbeitung oder ...mehr

Einführung zum Siebten Buch Sozialgesetzbuch (SGB VII) – Gesetzliche Unfallversicherung – Rz. 1 Die Gesetzliche Unfallversicherung ist neben der Kranken- und Rentenversicherung ein Zweig der Sozialversicherung. Im Rahmen der Bismarckschen Sozialversicherungsgesetze und aufgrund der kaiserlichen Botschaft v. 17.11.1881 sind mit dem Unfallversicherungsgesetz v. 6.7.1884 (RGBl. S...mehr

Rz. 28 Nach Art. 4 Nr. 11 DSGVO bezeichnet Einwilligung "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten e...mehr

Rz. 2 § 67d ist die grundsätzliche Befugnisnorm für den Vorgang des "Übermittelns". Seit 25.5.2018 enthält weder Art. 4 Nr. 2 DSGVO noch § 67 eine Definition des Begriffs der Übermittlung. Aus § 67d Abs. 1 ist jedoch zu entnehmen, welche Vorgänge der Verarbeitung Übermittlungen i. S. d. SGB X sind. Danach trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit "...mehr

Rz. 18 Art. 4 Nr. 1DSGVO definiert die Begriffe personenbezogene Daten und betroffene Person. Danach versteht man unter betroffener Person eine identifizierte oder identifizierbare natürliche Person. Identifizierbar ist eine natürliche Person, wenn sie "direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten...mehr

Rz. 5 An der zum 1.7.1994 eingeführten Definition des Begriffes "Sozialdaten" (2. SGBÄndG v. 13.6.1994, BGBl. I S. 1229) hat sich auch durch die Anpassung an die DSGVO inhaltlich nichts geändert. Es erfolgte lediglich die Anpassung an die Begriffsbestimmungen nach Art. 4 DSGVO (BT-Drs. 18/12611). Abs. 2 regelt daher seit 25.5.2018 die Verarbeitung von Sozialdaten; die früher...mehr

Rz. 8 In der Gesetzesbegründung zur Anpassung von § 67a zum 25.5.2018 an die Vorgaben der DSGVO wird klargestellt: "Eine Einwilligung der betroffenen Person in die Datenerhebung ist dann nicht erforderlich" (BT-Drs. 18/12611). Sofern also die Sozialdaten zur gesetzlichen Aufgabenerfüllung der Stellen nach § 35 SGB I erforderlich sind, dürfen sie ohne Einwilligung der betroff...mehr

Rz. 33 Die Einwilligung "soll durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen ka...mehr

Rz. 35 Eine Offenlegung i. S. v. Art. 4 Nr. 2 DSGVO kann auch in Form von Verbreitung oder sonstiger Bereitstellung von Daten erfolgen. Beide Begriffe sind weder in der DSGVO noch im SGB X definiert. Rz. 36 Die Verbreitung kommt an keiner anderen Stelle der DSGVO vor; lediglich in EG 49 der DSGVO wird von der Verhinderung der "Verbreitung schädlicher Programmcodes" gesprochen...mehr

Rz. 3 Mit § 67b hat der Gesetzgeber von der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c und e i. V. m. Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 DSGVO Gebrauch gemacht und für bestimmte Vorgänge der Verarbeitung (Art. 4 Nr. 2 DSGVO) von Sozialdaten nationale Einschränkungen in Form von Zulässigkeitsvoraussetzungen geschaffen. Konkret betroffen sind die Vorgänge Speicherung,...mehr

Rz. 30 Art. 4 Nr. 2 DSGVO führt zum 25.5.2018 den neuen Begriff der Offenlegung ein. Art. 4 Nr. 2 DSGVO definiert den Begriff Offenlegung zwar nicht, erläutert ihn aber durch beispielhafte Auflistung verschiedener Arten von Offenlegung. Konkret und abschließend werden benannt die Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknü...mehr

Rz. 12 Abs. 1 Satz 2 regelt – gestützt auf Art. 9 Abs. 2 Buchst. b und h DSGVO –, dass auch besondere Kategorien von Sozialdaten i. S. d. Art. 9 Abs. 1 DSGVO im Bereich der sozialen Sicherheit zur Erfüllung einer Aufgabe nach dem Sozialgesetzbuch im Rahmen der Erforderlichkeit erhoben werden können. Eine Einwilligung der betroffenen Person in die Datenerhebung ist dann nicht...mehr

Rz. 27 Art. 4 Nr. 2 DSGVO bestimmt seit 25.5.2018 die "Verwendung" als Vorgang der Verarbeitung, definiert diesen Begriff jedoch nicht. In der DSGVO selbst ist der Begriff Verwendung nicht weiter enthalten. Lediglich in verschiedenen EG der DSGVO wird er erwähnt (z. B. EG 38, 50, 51) und zwar im Sinne von Benutzung. Weitere Synonyme sind Anwendung, Einsatz, Gebrauch, Nutzung,...mehr

Rz. 42 Art. 4 Nr. 2 DSGVO zählt die Begriffe Löschen und Vernichtung als Vorgänge der Verarbeitung auf, ohne sie näher zu bestimmen. Rz. 43 Löschen war bis 24.5.2018 in § 67 Abs. 6 Nr. 5 SGB X a. F. definiert als das "Unkenntlichmachen gespeicherter Sozialdaten". Dies konnte z. B. durch Schwärzen oder Überschreiben erfolgen. Rz. 44 Neu im deutschen Datenschutzrecht und daher n...mehr

Rz. 2 Mit der Anpassung des § 67c an die Regelungen der DSGVO (Rz. 1) hat der Gesetzgeber – wie auch mit § 67b – von der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c und e i. V. m. Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 DSGVO Gebrauch gemacht und für bestimmte Vorgänge der Verarbeitung (Art. 4 Nr. 2 DSGVO) von Sozialdaten nationale Einschränkungen in Form von Zulässigkeit...mehr

Rz. 30 Allgemein wird Freiwilligkeit oder auch Willensfreiheit definiert mit der subjektiv empfundenen menschlichen Fähigkeit, bei verschiedenen Wahlmöglichkeiten eine bewusste Entscheidung treffen zu können. Auch der deutsche Gesetzgeber setzt die Fähigkeit der freien Entscheidung des erwachsenen Menschen voraus, indem er in § 104 Nr. 2 BGB im Umkehrschluss die Geschäftsunf...mehr

Rz. 21 Seit 25.5.2018 umfasst die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 2 DSGVO auch das Erheben (Rz. 19). Art. 4 Nr. 2 DSGVO selbst definiert den Begriff Erheben nicht. An die Definition des § 67 Abs. 5 SGB X a. F. anknüpfend, die Erheben als "das Beschaffen" von Daten definierte, und den allgemeinen Definitionen in der Forschung folgend, die die Datenerhe...mehr

Rz. 38 Beide Begriffe sind seit 25.5.2018 als Formen der Offenlegung neu aufgenommen durch Art. 4 Nr. 2 DSGVO und nicht definiert. Rz. 39 Der Begriff Abgleich kommt an keiner Stelle der DSGVO oder des SGB X vor. Es gibt aber mehrere Vorschriften in den übrigen Büchern des SGB und in verschiedenen Verordnungen, mit denen Abgleiche von personenbezogenen Daten zugelassen werden u...mehr

Rz. 4 Abs. 1 regelt "die Zulässigkeit von Datenspeicherung, -veränderung und -nutzung" (BT-Drs. 18/12611). Die Zulässigkeit der Datenspeicherung, -veränderung und -nutzung nach Abs. 1 Satz 1 erfordert zunächst, dass der Verantwortliche eine Aufgabe nach dem SGB zu erfüllen hat, für die er zuständig ist. Ferner muss das Speichern, Verändern oder Nutzen der Sozialdaten zur Aufg...mehr

Rz. 25 § 67 Abs. 6 Nr. 2 SGB X a.F. definierte bis 24.5.2018 den Begriff Verändern als das "inhaltliche Umgestalten gespeicherter Sozialdaten". Art. 4 Nr. 2 DSGVO zählt den Begriff Veränderung als Vorgang der Verarbeitung auf, ohne ihn näher zu bestimmen. Es kann daher auf die bisherige Definition des § 67 SGB X a. F. zurückgegriffen und Veränderung als das inhaltliche Umges...mehr

Rz. 28 Der Begriff Nutzen ist in Art. 4 DSGVO nicht enthalten. Da die Aufzählung der Verarbeitungsformen oder "Vorgänge oder Vorgangsreihen" in Art. 4 Nr. 2 DSGVO nicht abschließend ist (vgl. Rz. 20) hielt es der deutsche Gesetzgeber für vertretbar, dass die beiden Verarbeitungsformen – Verwendung und Nutzung – nebeneinander stehen können, wenn sie sich unterscheiden bzw. de...mehr