Fachbeiträge & Kommentare zu Datenschutz

Jeder Arbeitgeber, der Minijobber und kurzfristig Beschäftigte [2] beschäftigt, ist verpflichtet, Beginn, Ende und Dauer der täglichen Arbeitszeit dieser Arbeitnehmer spätestens bis zum Ablauf des 7. auf den Tag der Arbeitsleistung folgenden Kalendertages aufzuzeichnen. Er hat diese Aufzeichnungen mindestens 2 Jahre beginnend ab dem für die Aufzeichnung maßgeblichen Zeitpunkt...mehr

Gleiches gilt für Entleiher von Leiharbeitnehmern. Auch das Arbeitnehmerentsendegesetz beinhaltet Aufzeichnungs- und Aufbewahrungspflichten. Den Arbeitgeber (die Arbeitnehmer und ggf. auch angetroffene Dritte) treffen die Mitwirkungspflichten aus § 5 SchwarzArbG sowie die Aufzeichnungs- und Bereitstellungspflichten aus §§ 18 und 8 AEntG.[2] Zu den Unterlagen, die ein Arbeitge...mehr

In der Eisen- und Stahlindustrie muss ein Verzeichnis über die an arbeitsfreien Sonn- und Feiertagen eingesetzten Arbeitnehmer geführt und für 2 Jahre aufbewahrt werden.[1] Gleiches gilt für die Papierindustrie.[2] Besondere Aufbewahrungsfristen gibt es bei arbeitsmedizinischen Aufzeichnungen oder Unterlagen über Untersuchungen nach der Strahlenschutzverordnung und Röntgenver...mehr

Das JArbSchG sieht die Pflicht zur ärztlichen Begutachtung der Jugendlichen vor Aufnahme einer Tätigkeit und in deren Verlauf vor.[2] Mithilfe dieser Untersuchungen soll gesundheitlichen Schädigungen der Jugendlichen durch die Beschäftigung vorgebeugt werden. Arbeitgeber von Jugendlichen haben die anlässlich der Untersuchungen erstellten ärztlichen Bescheinigungen bis zur Be...mehr

Soweit gesetzliche Aufbewahrungspflichten bestehen, ist die Speicherung der Arbeitnehmerdaten durch § 26 Abs. 1 Satz 1 BDSG legitimiert.[1] Personenbezogene Daten von Beschäftigten dürfen auch nach der Beendigung des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Ausübung oder Erfüllung der sich aus einem Gesetz, einem Tarifvertrag oder einer Kollektivvere...mehr

Weitgehend Klarheit hinsichtlich der Löschpflichten besteht, soweit klare gesetzliche oder vertragliche Aufbewahrungspflichten bestehen. Bis zum Ende der Aufbewahrungsfristen muss (und darf) der Arbeitgeber die Daten nicht löschen. Im Übrigen ist eine sofortige Löschung dann nicht notwendig, wenn ein berechtigtes Interesse an der weiteren Datenverarbeitung besteht, beispielsw...mehr

Für die Entfernung von Abmahnungen aus der Personalakte gibt es keine gesetzliche Frist. Während des Bestehens des Arbeitsverhältnisses wird man bei leichten Pflichtverstößen eine Entfernungspflicht nach 3 Jahren annehmen können, wenn keine weiteren Verstöße hinzugekommen sind. Allerdings kann eine Abmahnung für eine spätere Interessenabwägung bei einer verhaltensbedingten K...mehr

Neben den gesetzlich geregelten Aufbewahrungspflichten bestehen weitere Fälle, in denen Arbeitgeber ein berechtigtes Interesse daran haben könnten, Daten und Unterlagen ihrer Arbeitnehmer aufzubewahren. So kann eine Löschung unterbleiben, wenn dadurch schutzwürdige Interessen des Betroffenen – sprich des Arbeitgebers – beeinträchtigt werden würden.[1] Besonders relevant ist d...mehr

Fraglich ist, ob die Vorgaben der DSGVO und des BDSG auch für noch traditionell in Papierform geführte Personalakten gilt. Die Rechtsprechung äußerte Zweifel. "In Art. 2 Abs. 1 und Art. 4 Nr. 6 DSGVO wird der Begriff der Dateisysteme zugrunde gelegt. Unabhängig von der Frage, ob dieser Begriff zwischen automatisierten und nicht automatisierten Vorgängen unterscheidet (dazu et...mehr

Maßgeblich im Bereich des Datenschutzrechts sind vor allem die Bestimmungen der Art. 82, 83 DSGVO. Danach ziehen Ordnungswidrigkeitstatbestände [1], die abhängig von dem jeweiligen formellen oder materiellen datenschutzrechtlichen Verstoß Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweit erzielten Jahresumsatzes, bzw. bis zu 20 Mio. EUR oder 4 % des weltweit erzielten Jah...mehr

Quittungsbelege über Zahlungen von Arbeitslohn sind 6 bis 10 Jahre aufzubewahren.[2] Die Unterlagen können auf einem Bildträger oder auf anderen Datenträgern aufbewahrt werden.[3] Lohnberechnungsunterlagen sind 10 Jahre aufzubewahren, soweit sie für die Besteuerung Bedeutung haben.[4] Gleiches gilt für Bücher, Inventare und Bilanzen. Die Aufbewahrung auf Bild- oder Datenträg...mehr

Hinweis Defintion: Aufbewahrungspflicht Aufbewahrungspflicht meint die Pflicht des Arbeitgebers, bestimmte geschäftliche Unterlagen in einer geordneten Form aufzubewahren, um diese bei einem berechtigten Verlangen Dritter, beispielsweise einer Betriebsprüfung durch das Finanzamt, vorlegen zu können.[1] Während des bestehenden Arbeitsverhältnisses trifft den Arbeitgeber neben d...mehr

Arbeitgeber in den Schwarzarbeitsbekämpfungsbranchen sind verpflichtet, Beginn, Ende und Dauer der täglichen Arbeitszeit dieser Arbeitnehmer spätestens bis zum Ablauf des 7. auf den Tag der Arbeitsleistung folgenden Kalendertages aufzuzeichnen.[2] Auch sie haben diese Aufzeichnungen mindestens 2 Jahre beginnend ab dem für die Aufzeichnung maßgeblichen Zeitpunkt aufzubewahren...mehr

Arbeiten Arbeitnehmer über die werktägliche Höchstarbeitszeit von 8 Stunden hinaus, sind Arbeitgeber verpflichtet, die Arbeitszeiten aufzuzeichnen und die dazugehörigen Nachweise aufzubewahren.[2] Außerdem müssen sie ein Verzeichnis über die Arbeitnehmer führen, die nach § 7 Abs. 7 ArbZG der Verlängerung der werktäglichen Arbeitszeit auch ohne Ausgleich aufgrund einer tarifv...mehr

Ein Verstoß gegen gesetzliche Aufbewahrungspflichten ist abhängig von den spezialgesetzlichen Vorschriften meist bußgeldbewehrt. Wichtige Beispiele hierfür sind: Verstöße gegen Vorgaben des Arbeitnehmerüberlassungsgesetzes werden mit einem Bußgeld von bis zu 30.000 EUR bestraft.[1] Ein Verstoß gegen den Jugendarbeitsschutz ist mit bis zu 5.000 EUR bußgeldbewehrt.[2] Ein Verstoß...mehr

Für Arbeitnehmer, die als Fahrer oder Beifahrer bei Straßenverkehrstätigkeiten beschäftigt werden, hat der Arbeitgeber die Arbeitszeit i. S. d. Arbeitszeitgesetzes insgesamt aufzuzeichnen und die Aufzeichnungen 2 Jahre aufzubewahren, um die Kontrolle der Einhaltung der Lenk- und Ruhezeiten zu erleichtern.[2] Diese Vorgaben gelten (nur) für Arbeitnehmer, die als Fahrer oder Be...mehr

Aufbewahrungspflichten einerseits und Löschpflichten andererseits stehen sich in einem Spannungsverhältnis gegenüber. Dieses Spannungsverhältnis hat der Gesetzgeber für die gesetzlichen Aufbewahrungspflichten mit § 26 BDSG aufgelöst. Bei anderen Aufbewahrungsinteressen des Arbeitgebers bestehen jedoch weiterhin offene Fragen, die bislang weitestgehend auch noch keiner höchst...mehr

Das MuSchG sieht verschiedene Mitteilungs- und Dokumentationspflichten des Arbeitgebers betreffend schwangerer und stillender Arbeitnehmerinnen vor. Unterlagen, aus denen der Name der beschäftigten schwangeren oder stillenden Frau, die Art und der zeitliche Umfang ihrer Beschäftigung, die Entgelte, die an sie gezahlt worden sind, die Ergebnisse der mutterschutzrechtlichen Ge...mehr

Rechtsstreitigkeiten entstehen häufig auch rund um die Frage der Löschung von Daten der Arbeitnehmer auf Social-Media-Plattformen. Aus der Rechtsprechung geht dazu im Wesentlichen hervor, dass auf der Homepage veröffentlichte Daten des Arbeitnehmers (z. B. Name oder Fotos) umgehend zu löschen sind, wenn der Arbeitnehmer aus dem Unternehmen ausscheidet. Die Pflicht zur Löschun...mehr

Gerade vor dem Hintergrund bereits wiederholt in Millionenhöhe verhängter Bußgelder wird ein gutes Aufbewahrungs- bzw. Löschmanagementkonzept für Arbeitnehmerdaten immer bedeutender. Abschreckende Beispiele sind hierbei Fälle mit Millionenbußgeldern bei der "Deutsche Wohnen" und "1&1". Zwar lagen den dortigen Fällen keine arbeitsrechtlichen Datenschutzverstöße zugrunde – die...mehr

Die weitgehenden Sanktions- und Schadensersatzvorschriften verdeutlichen die Notwendigkeit eines gut strukturierten Löschmanagementkonzepts, das einerseits die gesetzlich normierten oder zur Wahrung der Interessen notwendigen Aufbewahrungspflichten berücksichtigt, andererseits aber auch den Löschzeitpunkt bestimmt, ab dem die Daten nicht mehr für die Abwicklung des Arbeitsve...mehr

Strategische Kommunikation braucht Strukturen. Wenn Informationen punktuell oder reaktiv vermittelt werden, entsteht kein verlässlicher Kommunikationsrahmen. HR ist deshalb gefordert, Plattformen und Routinen zu schaffen, die Kommunikation im Alltag verankern – nicht als Einzelmaßnahme, sondern als Bestandteil gelebter Personalprozesse. Ein wirkungsvolles Instrument ist der K...mehr

Rz. 32 Die Krankenkasse hat bei der Ausstellung der elektronischen Gesundheitskarte den Datenschutz zu beachten (Satz 1). Dazu hat sie sich an der verbindlichen Richtlinie des GKV-Spitzenverbandes zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V (GKV-SV Richtlinie Kontakt mit Versicherten) vom 14.12.2018 zu ori...mehr

Rz. 40 Die Modellvorhaben sind im Regelfall auf längstens 8 Jahre zu befristen (Satz 1). Für eine längere Laufzeit ist eine Begründung erforderlich. Die zeitliche Höchstgrenze soll verhindern, dass Modellvorhaben zweckentfremdet und bestimmte Versorgungsstrukturen oder Leistungsangebote dauerhaft ohne Bewertung ihrer Auswirkungen eingeführt werden (BT-Drs. 13/6087 S. 27). Un...mehr

Rz. 36 Die gematik hat die Interessen von Patienten zu wahren und sicherzustellen, dass die Vorschriften zum Schutz personenbezogener Daten (§§ 67 ff. SGB X) sowie zur Barrierefreiheit (vgl. hierzu die Bestimmungen der Barrierefreie-Informationstechnik-Verordnung v. 12.9.2011, BGBl. I S. 1843; zuletzt geändert durch Art. 1 der Verordnung v. 21.5.2019, BGBl. I S. 738) eingeha...mehr

Rz. 23 Nach Satz 1 kann von gesetzlichen Vorschriften abgewichen werden. Davon ausgenommen ist § 284 Abs. 1 Satz 4, wonach für die Datenerhebung und -speicherung die Vorschriften SGB I, X zu beachten sind. Damit ist bei den Modellvorhaben insbesondere der Sozialdatenschutz nach § 35 SGB I, §§ 67 f. SGB X zu beachten.mehr

Rz. 19 Hamacher/Katzenbeisser/Kussel/Stammler, Genomische Daten und der Datenschutz, Zeitschrift Datenschutz und Datensicherheit, Ausgabe 2/2020, Zusammenfassung: link.springer.com. Lorenz, Die "ePA für alle" zwischen Gesundheits- und Datenschutz, GuP 2023, 165.mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 3 Der Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) fördert Leistungserbringer, die Patienten mit pädophilen Sexualstörungen behandeln (Satz 1). Die Förderung erhalten Leistungserbringer, an die sich Menschen mit einer pädophilen Sexualpräferenz wenden können, die sich freiwillig in Therapie begeben wollen. Die Förderung soll dazu beitragen, pädophile Neigun...mehr

Rz. 34 Die Krankenkassen stellen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die Krankenkassen sind befugt, für die Identifizierung Daten aus dem Personalausweis oder dem Pass auszulesen und zu verarbeiten (Satz 2). Die digitale Identität ist nicht an eine Chipkarte g...mehr

Rz. 17 Der Antrag kann vom Betroffenen (Versicherter), dem Bundesbeauftragten für den Datenschutz oder der zuständigen Aufsichtsbehörde der Krankenkasse gestellt werden. Die Krankenkasse ist nicht antragsbefugt.mehr

Rz. 6 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patienten-Datenschutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263.mehr

Rz. 4 Bales/Holland/Pellens, Zulassungsentscheidungen der gematik – Rechtsanspruch, Rechtsnatur, Rechtsschutz, GesR 2008, 9. Dochow, Das Patienten-Datenschutz-Gesetz, MedR 2020, 979; MedR 2021, 13; MedR 2021, 115. Steinberg, Lässt sich "Leichtfertigkeit" als Straftatbestand sinnvoll handhaben?, ZStW 2019, 888.mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patienten-Datenschutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263. Braun, Interoperabilität in der gesetzlichen Krankenversicherung, NZS 2024, 881. gematik (Hrsg.), Notfalldaten-Management, www.gematik.de.mehr

Rz. 24 Modellvorhaben nach Abs. 1 können insbesondere informationstechnische und organisatorische Verbesserungen der Datenverarbeitung, einschließlich der Erweiterungen der Befugnisse zur Verarbeitung von personenbezogenen Daten betreffen (Satz 1). Rz. 24a Die bisherige Begriffstrias der Erhebung, Verarbeitung und Nutzung wird redaktionell an die Begriffsbestimmung des Art. 4...mehr

Rz. 25 Für Versicherte mit einem Leistungsanspruch auf außerklinische Intensivpflege nach § 37c wird mit der Regelung des Abs. 8 mehr Transparenz über die zur Verfügung stehenden Leistungserbringer geschaffen. Um ihnen die Auswahl unter den geeigneten Leistungserbringern im hochspezialisierten Bereich der außerklinischen Intensivpflege zu erleichtern, erstellen künftig entsp...mehr

Rz. 3 Die gematik richtet einen Beirat ein (Satz 1), der durch einen Vorsitzenden geführt wird (Satz 2). Der Beirat berät die gematik im Innenverhältnis und ist dabei den Interessen der entsendenden Stellen verpflichtet (§ 318 Abs. 1). Er ist nicht vertretungsberechtigt im Außenverhältnis. Rz. 4 Die Zusammensetzung ist gesetzlich geregelt (Satz 3) und kann nicht durch die Ges...mehr

Rz. 20 Modellvorhaben nach Abs. 1 dürfen während der Dauer des Vorhabens von den Vorschriften des Vierten (Recht der Beziehungen zu den Leistungserbringern) und des Zehnten Kapitels SGB V (Datenschutz), des Krankenhausfinanzierungsgesetzes, des Krankenhausentgeltgesetzes und den nach diesen Vorschriften getroffenen Regelungen abweichen. Von der Wahlfreiheit der Versicherten ...mehr

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Rz. 17 Die Formulierung "inbesondere" in Abs. 2 Satz 1 macht deutlich, dass über die nachstehenden gesetzlichen Vorgaben hinaus in den Rahmenempfehlungen weitere Vorgaben vereinbart werden können, wie etwa die Einhaltung des Datenschutzes und zum zeitgemäßen (elektronischen) Abrechnungsverfahren. Nach Abs. 2 sind in den Rahmenempfehlungen zu regeln: Personelle Anforderungen a...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr

Rz. 33 Beyer, Neuregelungen zur Telematikinfrastruktur und ihre Anwendungen, WzS 2021, 263. Bretthauer, Das Digital-Gesetz – Zentrale Neuerungen zur Beschleunigung der Digitalisierung des Gesundheitswesens, NVwZ 2024, 1047. Buchholtz/Brauneck/Schmalhorst, Der Gesetzgeber im Spannungsfeld zwischen Patientensouveränität und Forschungsinteressen – eine Bewertung der neuesten Gese...mehr

Rz. 3 Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftr...mehr

Neben der Automatisierung von regelmäßig auftretenden und standardisierten Vorgängen eignet sich KI auch zur Unterstützung einer kompetenzbasierten Aufgabenzuordnung in der Belegschaft.[1] Dabei werden anhand gesammelter Daten die Fähigkeiten eines Beschäftigten durch eine KI ausgewertet.[2] Die Bewertung dient im Anschluss als Entscheidungsgrundlage für die Zuteilung von Au...mehr

Der Einsatz von KI ist im Recruiting mittlerweile sehr verbreitet. Während Personalprozesse dadurch effizienter, zügiger und oftmals weniger fehleranfällig werden, erhöhen sich zugleich die Anforderungen an den Schutz personenbezogener Daten. Gerade im Bewerbungsverfahren, das häufig eine Vielzahl hochsensibler Informationen enthält, müssen Unternehmen besonders sorgfältig u...mehr

Für die Verarbeitung der personenbezogenen Daten der Beschäftigten ist in der Praxis häufig Art. 6 Abs. 1f DSGVO heranzuziehen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt jedoch nur, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Perso...mehr

Mitarbeiter haben nach den Art. 15–21 DSGVO verschiedene Rechte, die sie gegenüber dem Arbeitgeber geltend machen können. Auskunftsrecht (Art. 15 DSGVO): Zunächst haben Mitarbeiter das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Praxis-Tipp Erforderlichkeit der Datenübersicht Um das Auskunftsersuchen eines Betro...mehr

Nachrichtenprogramme (sog. Messenger) haben mit den Smartphones eine weite Verbreitung erfahren. Es ist inzwischen Standard geworden, der eigentlichen Textnachricht Anhänge unterschiedlichster Art – und damit auch Rechnungen – beifügen zu können. Eine Reihe von Messengern bietet auch die sog. Ende-zu-Ende-Verschlüsselung, die es gewährleistet, dass die Daten der jeweiligen N...mehr

Seit der Reform des Betriebsverfassungsgesetzes 2021 ist in § 80 Abs. 3 Satz 2 BetrVG ausdrücklich geregelt, dass zur Beurteilung der Einführung und Anwendung von KI das Hinzuziehen eines Sachverständigen erforderlich ist, da die technische und datenschutzrechtliche Komplexität von KI-Systemen oft fachkundige Unterstützung erfordert. Die Regelung befreit den Betriebsrat jedo...mehr

Der Schutz personenbezogener Daten ist ein wesentliches Element bei der Implementierung digitaler Prozesse. Die Einführung und Nutzung digitaler Technologien wird in aller Regel die Verarbeitung personenbezogener Daten[1] umfassen. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richtet sich nach der DSGVO und dem BDSG. Nach Art. 88 Abs. 1 DSGVO ist eine na...mehr