Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Begriff Auskunftspflicht ist die Verpflichtung aufgrund gesetzlicher Grundlage zur Erteilung von Informationen über einen bestimmten Sachverhalt. Diese ist für Ärzte – gleich ob niedergelassen tätig oder angestellt in einem Krankenhaus – oder für sonstige Angehörige der Heilberufe nur in einem eng definierten Rahmen geregelt. Dies ist darauf zurückzuführen, dass Gegenstand i...mehr

Rz. 27 Nach § 94 BetrVG bedürfen Einstellungsfragebögen der Zustimmung des Betriebsrats. Der Betriebsrat hat nach § 94 Abs. 1 BetrVG mitzubestimmen, wenn der Arbeitgeber zur Aufklärung von Straftaten im Betrieb in einem standardisierten Fragebogen personenbezogene Fragen nach dem Verhalten des befragten Arbeitnehmers stellt, die objektiv Rückschlüsse auf dessen Eignung zulas...mehr

Die gesetzlichen Anspruchsgrundlagen für die verschuldensabhängige Haftung des Arbeitgebers ergeben sich aus den §§ 280 ff. BGB. Grundsätzlich erfordert ein arbeitsvertraglicher Haftungsanspruch eine Pflichtverletzung des Arbeitgebers, ein darauf bezogenes "Vertretenmüssen" [1] sowie den Eintritt eines Schadens beim Arbeitnehmer. Im Rahmen des Vertretenmüssens wird dem Arbeit...mehr

Rz. 1 § 139a AO enthält die Verpflichtung, jedem Stpfl. zu dessen eindeutiger Identifizierung im Besteuerungsverfahren ein lebenslanges und unveränderliches Merkmal zuzuordnen. Bei natürlichen Personen ist dies – unabhängig von einer etwaigen Steuerpflicht – mit der steuerlichen Identifikationsnummer nach § 139b AO gelungen. Für Personenvereinigungen und Körperschaften wird ...mehr

Rz. 7 Die WIDNr unterliegt gem. § 139c Abs. 2 AO im Hinblick auf Art und Umfang der Erhebung und Verwendung ähnlichen Restriktionen wie die Identifikationsnummer für natürliche Personen. Auch hier werden den Finanzbehörden weitergehende Befugnisse zur Verwendung der WIDNr eingeräumt als anderen öffentlichen oder nicht öffentlichen Stellen.[1] Aufgrund der höheren Öffentlichke...mehr

Rz. 11 § 139c Abs. 6 AO enthält die verfassungsrechtlich gebotenen Regelungen zur Zweckbestimmung der für wirtschaftlich Tätige gespeicherten Daten. Die Regelung ist der in § 139b Abs. 4 AO für die Identifikationsnummer enthaltenen Regelung nachempfunden, sodass sinngemäß auf die dortigen Ausführungen verwiesen wird.[1] Rz. 12 Mit dem Familienleistungsgesetz[2] wurde der dem ...mehr

Rz. 19 Den Beteiligten sind die Unterlagen nach § 364 AO "offenzulegen". Der Begriff der "Offenlegung" wurde erst mit Wirkung v. 26.11.2019 in die Vorschrift eingeführt und ersetzte dort den Begriff "Mitteilung". Bis dahin waren die Unterlagen "mitzuteilen".[1] Die Änderung der Begrifflichkeiten sollte der Anpassung an die Begriffsbestimmungen der DSGVO [2] dienen. Dort wird "...mehr

Rz. 22 Auch wenn die Finanzbehörde dem Beteiligten zur Erfüllung seines Anspruchs auf Offenlegung der Besteuerungsgrundlagen Akteneinsicht gewähren kann, ergibt sich aus § 364 AO für das Einspruchsverfahren – ebenso wie aus § 91 AO und aus Art. 15 DSGVO für das allgemeine Besteuerungsverfahren – kein Anspruch auf Akteneinsicht. [1] Der Gesetzgeber hat die Einführung eines all...mehr

Rz. 24 Die Leistungserbringer, Genomrechenzentren, klinischen Datenknoten sowie Datendienste sind befugt, die erforderlichen personenbezogenen Daten zur Wahrnehmung ihrer Aufgaben nach den Abs. 10 bis 10c zu verarbeiten (Satz 1). Die zweckgebundene Nutzung der Daten (Abs. 9c Satz 7 Nr. 1 und Abs. 11 Satz 3 Nr. 4) bedarf der vorherigen schriftlichen oder elektronischen Einwil...mehr

Rz. 54 Das BfArM macht die in den klinischen Datenknoten und Genomrechenzentren gespeicherten Daten auf Antrag nach Maßgabe der Sätze 4 und 5 sowie der Abs. 11a und 11b den Nutzungsberechtigten zugänglich (Satz 1). Es handelt sich um eine Verarbeitungsbefugnis i. S. d. Art. 6 i. V. m. Art. 9 der Verordnung (EU) 679/2016. Nutzungsberechtigt sind natürliche und juristische Per...mehr

Rz. 23 Die für die Einrichtung und den Betrieb der klinischen Krebsregister (vgl. Rz. 5 ff.) notwendigen Bestimmungen sowie die Erhebung, Verarbeitung und Nutzung der Daten richten sich nach Landesrecht, soweit es keine abweichenden Bestimmungen gibt. Rz. 24 In die Länderkompetenz fallen unter anderem Regelungen zur Festlegung regionaler Einzugsgebieten oder zu Meldepflichten der...mehr

Rz. 84 Der G-BA hat die Dokumentationsanforderungen, die für die Zulassung von strukturierten Behandlungsprogrammen für Brustkrebs nach § 137f Abs. 2 Satz 2 Nr. 5 geregelt sind, regelmäßig an den einheitlichen onkologischen Basisdatensatz anzupassen, um unterschiedliche, medizinisch nicht begründbare Unterschiede bei den Dokumentationsinhalten zu vermeiden (Satz 1; BT-Drs. 1...mehr

Rz. 42 Qualifizierte Einrichtungen der wissenschaftlichen Forschung können Genomrechenzentren einrichten (Satz 1). Genomdaten werden ausschließlich in Genomrechenzentren gespeichert und verarbeitet. Über die Genomrechenzentren soll eine entsprechende Anbindung an europäische Strukturen (über das European Genome Archive) ermöglicht werden, um für die relevanten Datensätze ein...mehr

Rz. 2 Die Leistungserbringer von Hilfsmitteln müssen zur ordnungsgemäßen, fachgerechten Ausübung ihres Berufes befähigt sein und die Anforderungen an die technische und persönliche Eignung bzw. Leistungsfähigkeit erfüllen. Dazu sind auch die ggf. erforderlichen berufsrechtlichen Voraussetzungen (z. B. nach Gewerbe- oder Handwerksrecht) einzuhalten. Diese Bedingungen sind gru...mehr

Rz. 47 Leistungserbringer können klinische Datenknoten einrichten oder sich dem entsprechenden Netzwerk anderer Leistungserbringer anschließen (Satz 1). Klinische Datenknoten sind Schnittstellen, über die pseudonymisierte klinische Datensätze zur Verfügung gestellt werden. Klinische Datenknoten bedienen sich dabei der von den Leistungserbringern betriebenen Speicher. Über di...mehr

Rz. 81 Wohnt ein Pflegebedürftiger in einem anderen als dem zuständigen Staat, besteht ein europarechtlicher Bezug, der grundsätzlich die Anwendbarkeit des sog. Koordinierungsrechts auslöst, also zur Anwendung der Grundverordnung EGV 883/2004 und der Durchführungsverordnung EGV 987/2009 führt. Rz. 82 Art. 17 EGV 883/2004 regelt dabei den gemeinschaftsrechtlichen Sachleistungs...mehr

mehr

mehr

mehr

Problemüberblick Im Fall will eine Wohnungseigentümerin von einem anderen Wohnungseigentümer nicht fotografiert werden. Personenbezogene Datum Das LG urteilt vertretbar und verurteilt den Fotografen zur Unterlassung. Das LG hätte zwar wohl Art. 6 Abs. 1 UA 1 Buchstabe f) DSGVO prüfen müssen. Das Ergebnis wäre aber kaum anders ausgefallen. Denn tatsächlich ist es nicht rechtmäßi...mehr

Begriff Die Bewerbung bzw. das Bewerbungsverfahren zielt auf die Besetzung eines Arbeitsplatzes durch den Arbeitgeber zur Deckung eines bestehenden Personalbedarfs. Regelmäßig erfolgt die Bewerbung als Reaktion auf eine Stellenausschreibung; möglich ist aber auch eine Initiativbewerbung. Mit Einleitung des Bewerbungsverfahrens entsteht ein vorvertragliches Schuldverhältnis z...mehr

Begriff Die ärztliche Behandlung ist eine Leistung der gesetzlichen Krankenversicherung. Sie umfasst die Tätigkeit des Arztes, die zur Verhütung, Früherkennung und Behandlung von Krankheiten nach den Regeln der ärztlichen Kunst ausreichend und zweckmäßig ist. Das Wirtschaftlichkeitsgebot ist dabei zu beachten. Zur ärztlichen Behandlung gehört auch die vom Arzt angeordnete un...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. d. Art. 4 Nr. 1 und Nr. 2 DSGVO dar, deren Vorgaben zu beachten sind.[1] Die DSGVO enthält keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Allerdings sind bestimmte Vorgaben der D...mehr

Begriff Hinter dem Arbeitsmodell "Crowdworking" steht das Konzept, dass Unternehmen einzelne Aufträge oder Projekte, wie beispielsweise Texterstellung, Datenrecherche, IT-Dienstleistungen, Design- oder andere Arbeitsleistungen, über Internet-Plattformen vergeben. Dabei wird mithilfe von Algorithmen die Arbeitsleistung, die Vergütung und auch die Beziehung zwischen Kunden und...mehr

Jeder Versicherte erhält zu Beginn der Versicherung bei einer gesetzlichen Krankenkasse seine elektronische Gesundheitskarte. Der Anspruch auf ärztliche Behandlung ist dem Arzt damit nachzuweisen.[1] Dazu hat der Versicherte vor Beginn der Behandlung seine elektronische Gesundheitskarte auszuhändigen. Der Einsatz der elektronischen Gesundheitskarte entspricht der DSGVO, ist g...mehr

Diese Mitteilungen sind Übermittlungen[1] und sind zulässig[2]. Nur anvertraute Daten[3] dürfen grds. nicht weitergegeben werden. Ebenso ist die Datenerhebung im Einschätzungsverfahren zulässig.[4]mehr

Infographic Zwingend zu beteiligen sind zunächst der Arbeitgeber bzw. eine von ihm benannte vertretungsberechtigte Person und die beschäftigte und BEM-berechtigte Person. Der Arbeitgeber hat das BEM anzubieten und bei Zustimmung der beschäftigten Person (i. d. R. des Arbeitnehmers) durchzuführen. Er muss auch den nach Art. 7, 9 DSGVO erforderlichen Datenschutz gewährleisten. N...mehr

Unabdingbare Voraussetzung für die Durchführung eines BEM ist die vorherige Zustimmung der beschäftigten Person.[1] Die Zustimmung hat der Arbeitgeber von dieser nach Information über die verwendeten Daten und Ziele des betrieblichen Eingliederungsmanagements einzuholen. Die beschäftigte Person entscheidet mit ihrer Zustimmung, ob ein BEM stattfinden kann. Lehnt sie ab, darf ...mehr

Die Datenschutz-Grundverordnung (Art. 22 DSGVO) garantiert jedem Menschen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, die rechtliche Wirkung entfalten oder erheblich beeinträchtigen. Nur drei Ausnahmen sind erlaubt: wenn die Entscheidung für die Vertragserfüllung erforderlich ist, auf einer Rechtsgrundlage beruht oder auf ausdrücklic...mehr

Überblick Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, i. d. R. sind ...mehr

Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit d...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Der Mandant kann gem. Art. 15 DSGVO Auskunft über die vom Steuerberater verarbeiteten personenbezogenen Daten verlangen, insbesondere über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Ein...mehr

Der Steuerberater als Inhaber der Kanzlei selbst darf sich nach dem Gesetz nicht zum Datenschutzbeauftragten bestellen (Interessenkollision; Art. 38 Abs. 3 DSGVO). Aus Gründen der Gefahr der fehlenden Objektivität darf auch nicht der für die EDV verantwortliche Mitarbeiter Datenschutzbeauftragter werden. Datenschutzbeauftragter kann sowohl ein Mitarbeiter der Steuerberatungska...mehr

Mit der Verordnung (EU) 2024/1689 – dem AI Act – führt Europa das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz ein. Sein Prinzip ist klar: Je höher das Risiko für Grundrechte oder Sicherheit, desto strenger die Pflichten. Für die Personalarbeit bedeutet das einen Wendepunkt. Nach Anhang III, Abschnitt 4 gilt jedes KI-System als Hochrisiko, das Einfluss...mehr

Die Datenschutzaufsichtsbehörde (Art. 51 ff. DSGVO) sorgt für die Einhaltung der datenschutzrechtlichen Regelungen (§§ 8, 18 ff. BDSG). Es ist Ländersache, welche Stellen die Aufgaben der Aufsichtsbehörden übernehmen. In jedem Bundesland existiert eine Aufsichtsbehörde, welcher die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich obliegt (§§ 19 ff. BDSG).[1] Der Ste...mehr

Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Er ist aber in der Wahrnehmung seiner Aufgaben weisungsfrei. Sinn und Zweck des Datenschutzbeauftragten ist es, die Personen, die hinter den Daten stehen, zu schützen. Er ist daher überwiegend beratend tätig, nimmt dem Kanzleiinhaber also nicht dessen Verantwortung ab. Der Datenschutzbeauftragte ist...mehr

Ein Steuerberater, der i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung (Erhebung, Verarbeitung oder Nutzung) personenbezogener Daten beschäftigt, muss dafür sorgen, dass ein Datenschutzbeauftragter (s. Tz. 3) benannt wird (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG). Maßgeblich ist die Möglichkeit der Datenverarbeitung, nicht der Umfang der tatsächli...mehr

Die eigentliche Herausforderung beginnt, wenn die Pflicht erfüllt ist. Governance ist kein Kontrollkästchen, sondern eine Lernarchitektur. Unternehmen, die den AI Act ernst nehmen, verstehen ihn nicht als Regulierung, sondern als Einladung, Verantwortung professionell zu gestalten. Sie verbinden juristische Nachweise mit ethischer Reflexion – und machen daraus ein Qualitätsm...mehr

Art. 37 Abs. 5 DSGVO legt fest, dass zum Beauftragten für den Datenschutz nur benannt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Anforderungen, die an den Datenschutzbeauftragten zu stellen sind, hängen auch von der Kanzleigröße, der Zahl der Mitarbeiter, dem Umfang und der Art der Datenverarbeitung ab. Grundsätzlich ist ein Mitarbeiter aus ...mehr

Governance endet nicht mit der Einführung eines Systems, vielmehr beginnt sie dort. Der AI Act verlangt, dass der gesamte Lebenszyklus vom Design bis zur Stilllegung jedes Modells dokumentiert wird. Design: Zweck, Trainingsdaten, Verantwortliche und Erklärbarkeitsziele werden festgelegt. Training: Datensätze werden auf Repräsentativität, Rechtmäßigkeit und Bias geprüft. Deploym...mehr

Die DSGVO verlangt menschliche Aufsicht, aber ihr eigentlicher Wert liegt tiefer. Der Mensch fungiert als semantischer Filter zwischen mathematischer Wahrscheinlichkeit und organisationaler Bedeutung. Human-in-the-Loop (HITL) ist kein Bremsklotz, sondern ein Rückkopplungsmechanismus. Er bringt Kontext, Empathie und Erfahrung in Entscheidungen ein. Wenn ein Algorithmus eine Em...mehr

Hat es die Steuerberatungskanzlei z. B. unterlassen, einen Datenschutzbeauftragten ordnungsgemäß zu benennen, oder ist dies verspätet bzw. fehlerhaft erfolgt, kann das mit einer Geldbuße bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes geahndet werden (Art. 83 Abs. 4 Satz 1 Buchst. a DSGVO). Gleiches gilt, wenn der Datenschutzbeauftragte seine Aufgaben nicht erfüllt.mehr

Ein modernes Governance-Modell gliedert sich in drei Ebenen, die ineinandergreifen wie ein Regelkreis: Strategische Ebene: Der Vorstand, der CHRO und ein interdisziplinäres AI Ethics Board definieren Leitlinien, Risikokategorien und Zielsysteme. Sie legen fest, wie viel Risiko eine Organisation eingehen will und welche Prinzipien unverhandelbar sind. Governance beginnt hier a...mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

mehr

Wesentliche Inhalte Bewerbungen erfolgen größtenteils "online" über Job-Portale, E-Mails oder eigens auf den Internetseiten des Unternehmens befindliche Bewerbungsformulare, aber auch noch "klassisch" in Papierform per Post. Dabei werden personenbezogene Daten erfasst und verarbeitet wie Name, Adresse, Wohnort, Alter, E-Mail und Telefonnummer, beruflicher Werdegang inklusive ...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr