Fachbeiträge & Kommentare zu Datenschutz

Digitale Anwendungen in der Arbeitsmedizin bringen zeitliche Flexibilität u. a. durch den Wegfall von Fahrzeiten und räumliche Flexibilität durch die Nutzung stabiler Informations- und Kommunikationstechniken, schonen Ressourcen und erhöhen die Effizienz unter ökologischen, ökonomischen, zeitlichen und persönlichen Gesichtspunkten, sind manchmal die einzige Möglichkeit der Errei...mehr

Bei einem Wechsel der Pflegekasse gilt grundsätzlich, dass Leistungsentscheidungen der bisherigen Pflegekasse mit dem Ende der Mitgliedschaft ihre Gültigkeit verlieren. Erfolgt der Kassenwechsel jedoch wegen Schließung oder Insolvenz bleiben die Leistungsentscheidungen der bisherigen Pflegekasse auch gegenüber der neuen Kasse gültig. Die abgebende Pflegekasse kann das Pflegeg...mehr

Inhaltlich richtet sich die Fortbildungspflicht nach den Maßgaben der Anlage 1 Buchstabe B zu § 15b Abs. 1 MaBV. Für Wohnimmobilienverwalter sind insoweit folgende Inhalte vorgesehen: Grundlagen der Immobilienwirtschaft (u. a. Abgrenzung Facility Management/Gebäudemanagement, relevante Versicherungsarten im Immobilienbereich sowie Umwelt- und Energiethemen im Immobilienbereic...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Ein weiterer Fall aus der Praxis ist die Überwachung des Standorts der Beschäftigten mittels technischer Einrichtungen wie GPS-Systemen oder RFID-Chips. Diese kommt unter anderem im Rahmen des Gebrauchs von Dienstfahrzeugen sowie zunehmend auch der Nutzung von mobilen Endgeräten oder der Verwendung von Mitarbeiterkarten (bspw. Zugangskarten) zum Einsatz. Grundsätzlich stellt ...mehr

Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Gleichermaßen erlaubt § 26 Abs. 1 Satz 1 BDSG [1] die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Praxis-Tipp Regelung im Arbeitsvertrag Es empfiehlt sich, di...mehr

Bei der Überwachung von Beschäftigen ist der Daten- und Privatsphärenschutz von zentraler Bedeutung. Dieser gilt auch im beruflichen Umfeld und am Arbeitsplatz. Kaum eine Überwachungsmaßnahme wird ohne einen Bezug zu einem konkreten Beschäftigten auskommen. Aufgrund des Prinzipien-Charakters dieser Gesetze haben sich Arbeitgeber daher entlang der datenschutzrechtlichen Kernp...mehr

Viele Arbeitgeber beschäftigten sich mit der Frage, ob und in welchem Umfang ein Arbeitgeber seinen Beschäftigten die private Nutzung von Internet, E-Mail und Telefon erlauben soll. Die Frage erhält dadurch besondere Brisanz, dass seit vielen Jahren unklar ist, ob der Arbeitgeber als Anbieter von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten i. S....mehr

Manche Unternehmen führen Datenabgleiche – sog. Datenscreenings oder Rasterungen – durch, um Korruptionsfälle aufzudecken. In der Vergangenheit wurden Datenscreens etwa auch zu Krankendaten von Mitarbeitern vorgenommen. Dies ist jedenfalls unzulässig, soweit die Daten dazu nicht mit Einwilligung der Arbeitnehmer erhoben werden. Widersprüchliche Ansichten herrschen in der arbe...mehr

Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH[1] nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die dat...mehr

Eine Legaldefinition des Begriffs der Personalakte besteht nicht. Gesetzliche, aber auch tarifvertragliche Normen setzen den Begriff regelmäßig voraus (vgl. § 83 BetrVG, § 3 Abs. 5 TVöD-AT). Das BAG unterscheidet zwischen dem formellen und dem materiellen Personalaktenbegriff.[1] Personalakten im formellen Sinn sind danach die Schriftstücke, die der Arbeitgeber als "Personal...mehr

Zusammenfassung Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzu...mehr

Die Landesbeauftragte für den Datenschutz von Niedersachsen hat ein Bußgeld gegen den Online-Versandhändler notebooksbilliger.de verhängt, weil das Unternehmen seine Mitarbeiter und Kunden ohne angemessene rechtliche Grundlage überwacht hatte. Die Videoüberwachung war pauschal und zeitlich unbegrenzt, was gegen die Datenschutzbestimmungen verstößt. Das Bußgeld entspricht 1,1...mehr

Aus dem Jahresbericht des Hessischen Datenschutzbeauftragten geht hervor, dass eine Arztpraxis ein Bußgeld erhielt, weil sie Patientenakten in einem öffentlich zugänglichen Müllcontainer entsorgt hatte. Diese Unterlagen waren teils geschreddert, aber leicht rekonstruierbar, einige wurden ungeschreddert weggeworfen. Mildernd wurde berücksichtigt, dass die Praxis den Vorfall e...mehr

Personalakten beinhalten sensible personenbezogene Daten. Der Arbeitgeber hat bei der Personalaktenführung auf die Belange des Datenschutzes und des Persönlichkeitsrechts des Beschäftigten Rücksicht zu nehmen und den Grundsatz der Vertraulichkeit zu wahren (siehe dazu auch Abschnitt 4.1.5). Die Vorschriften der DSGVO sowie des BDSG – insbesondere § 26 BDSG – sind zu beachten...mehr

Überblick In der Datenschutz-Grundverordnung (DSGVO) wurden Sanktionsnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen. Zusätzlich sind seit 2023 die Sanktionsregelungen des EU Data Act und seit November 2025 die Bußgeldvorschriften der NIS2-Umsetzung (BSIG) zu be...mehr

Die Bewertung, Verfolgung und Ahndung von Datenschutzverstößen ist Aufgabe der zuständigen Aufsichtsbehörden. Zu diesen zählen der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbeauftragten. Für Verstöße gegen IT-Sicherheitsanforderungen (NIS2) ist in Deutschland das Bundesamt für Sicherheit in der Informationst...mehr

mehr

6.1 Verletzung von Art. 9 und Art. 32 DGSVO: 75.000 EUR Ein Mitarbeiter hatte bei der Datenschutzbehörde Hamburg Beschwerde eingelegt, weil er seine krankheitsbedingten Ausfälle per E-Mail in einem E-Mail-Verteiler mit 25 Kollegen und Vorgesetzten melden musste, obwohl die unternehmensinterne Richtlinie vorsah, dass eine Krankmeldung lediglich beim Leiter der jeweiligen Abtei...mehr

Für bestimmte Verstöße sind Geldbußen bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres festgelegt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO). Hier muss unterschieden werden. Die genannte Geldstrafe wird im Fall schwerer Verstöße verhängt. Hierzu zählen...mehr

Ein Mitarbeiter hatte bei der Datenschutzbehörde Hamburg Beschwerde eingelegt, weil er seine krankheitsbedingten Ausfälle per E-Mail in einem E-Mail-Verteiler mit 25 Kollegen und Vorgesetzten melden musste, obwohl die unternehmensinterne Richtlinie vorsah, dass eine Krankmeldung lediglich beim Leiter der jeweiligen Abteilung eingereicht werden müsse. Darüber hinaus hatte ihr...mehr

Neben den Bußgeldern, die von den Aufsichtsbehörden bei Verstößen gegen die DSGVO verhängt werden können, sieht die DSGVO auch Schadenersatzansprüche für betroffene Personen vor (Art. 82 DSGVO). Auch bei Verstößen gegen den EU Data Act und die NIS2-Anforderungen können Schadenersatzansprüche geltend gemacht werden. Dies stellt ein zusätzliches zivilrechtliches Haftungsrisiko...mehr

Seit dem 12.9.2023 gilt der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen EU-Mitgliedstaaten. Er regelt den Zugang zu und die Nutzung von Daten, insbesondere bei vernetzten Produkten, Cloud-Diensten und Datenteilungen zwischen Unternehmen (B2B) und zwischen Unternehmen und öffentlichen Stellen. Bei Verstößen gegen Kapitel II des Data Act (Datenzugang und -nutzu...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Eine gesetzliche oder tarifliche Verpflichtung zum Führen von Personalakten besteht für Arbeitgeber in Deutschland grundsätzlich nicht. Gemäß § 106 Bundesbeamtengesetz (BBG) bzw. § 50 Beamtenstatusgesetz (BeamtStG) besteht lediglich die rechtliche Verpflichtung zum Führen von Personalakten für verbeamtete Beschäftigte. Gleichwohl wird man wohl kaum einen Arbeitgeber in Deuts...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben (letztes Update: 20...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Beschäftigte können nach § 3 Abs. 5 Satz 3 TVöD bzw. § 3 Abs. 6 Satz 3 TV-L Auszüge oder Kopien aus ihren Personalakten erhalten. Im Fall von elektronischen Personalakten, hat der Beschäftigte Anspruch auf den Ausdruck entsprechender Daten. Der Anspruch auf Erhalt von Auszügen oder Kopien ist zweistufig ausgestaltet. Der Beschäftigte nimmt zunächst Einsicht in seine Personala...mehr

Den Inhalt der Personalakte bestimmt grundsätzlich der Arbeitgeber. Diese Gestaltungsfreiheit des Arbeitgebers findet ihre Grenzen in den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG sowie in den grundrechtlichen Wertentscheidungen. Für die Frage, welche konkreten Vorgänge und Informationen aufbewahrt und damit zur materiellen Personalakte genommen werden dürfen, si...mehr

Ein zentrales Problemfeld beim Einsatz Künstlicher Intelligenz im notariellen Kontext betrifft die berufsrechtlich normierte Verschwiegenheitspflicht (§ 18 BNotO) sowie die datenschutzrechtliche Zulässigkeit der Verarbeitung besonders schutzwürdiger personenbezogener Daten, wie sie insbesondere im Bereich der Nachlassermittlung regelmäßig anfallen. Die Bewertung der rechtlic...mehr

Ist jemand der Ansicht, bei der Verarbeitung seiner personenbezogenen Sozialdaten in seinen Rechten verletzt worden zu sein, so kann er sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er eine Verletzung seiner Rechte durch eine in § 35 SGB I genannte Stelle des Bundes (z. B. bundesunmittelbare Krankenkasse) bei der Wahrnehmung von ...mehr

Begriff Der Datenschutz erhält zunehmend in der öffentlichen Diskussion eine größere Bedeutung. Dabei geht es um den Schutz von personenbezogenen Daten, die auch den Sozialversicherungsträgern (z. B. Krankenkassen, Rentenversicherungsträgern, Arbeitsagenturen, Berufsgenossenschaften) zur Kenntnis gelangen. Aus dem Sozialgeheimnis folgt der Anspruch des Einzelnen, dass die So...mehr

Bei den einzelnen Leistungsträgern, z. B. den Krankenkassen, existieren Datenschutzbeauftragte. An diese bzw. an die Aufsichtsbehörde kann sich der Bürger wenden, wenn er meint, ihm gegenüber sei der Datenschutz/seien seine Rechte verletzt worden. Personen, die bezüglich ihrer Daten z. B. bei einem Sozialversicherungsträger Probleme und Fragen haben, können sich an diesen Bea...mehr

Grundnorm für den Datenschutz im Bereich der sozialen Sicherung ist § 35 SGB I. Diese Vorschrift bezieht sich sowohl auf das Außen- als auch auf das Innenverhältnis der Sozialversicherungsträger. Sie gibt jedem einen Anspruch darauf, dass seine Sozialdaten von den Leistungsträgern als Sozialgeheimnis zu wahren sind und nicht unbefugt verarbeitet werden dürfen.mehr

Selbstverwaltungsorgane sind Vertreterversammlung bzw. Verwaltungsrat bei den Krankenkassen[1], (hauptamtlicher) Vorstand[2] und Geschäftsführer bzw. Direktorium bei der der Deutschen Rentenversicherung Bund[3]. Die vertretungsberechtigten Organe des Versicherungsträgers haben die Eigenschaft einer Behörde.[4] In den einzelnen Zweigen der Sozialversicherung setzen sich die Organe...mehr

Begriff Sozialdatenschutz bezeichnet den Schutz personenbezogener Daten des Einzelnen. Diese Daten sollen auch insbesondere von den Sozialleistungsträgern vor Missbrauch geschützt werden. Damit ist der Sozialdatenschutz gleichzeitig auch Persönlichkeitsschutz. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Der Sozialdatenschutz ist im SGB I und SGB X geregelt. D...mehr

Die Schweigepflicht gilt nur, soweit keine Offenbarungsbefugnisse bestehen.[1] Offenbarungsbefugnisse sind: Einwilligung: Der Betroffene hat eingewilligt, dass sein Geheimnis offenbart werden darf. Hier muss im Einzelfall geprüft werden, ob die Einwilligung wirksam ist.[2] Die strafrechtliche Einwilligung ist auch mündlich und ohne die Informationspflichten wirksam. Mitteilungs...mehr

Rn. 147 Stand: EL 51 – ET: 05/2002 Das Gesetz dient iw der redaktionellen inhaltlichen Bereinigung, der Beseitigung nicht praktikabler Vorschriften sowie einer Anpassung an die Rspr des BFH und an das Recht der EU. Der Schwerpunkt des Gesetzes liegt im Bereich der USt (Einführung der Steuerschuldnerschaft des Leistungsempfängers nach § 13b UStG). Neben redaktionellen Änderunge...mehr

Liebe Leserinnen und Leser, unter der Rubrik "Literaturkritik: Erbrecht" stellen wir monatlich eine Auswahl von Neuerscheinungen aus dem Bereich des Erbrechts, des Erbschaftsteuerrechts sowie der erbrechtsrelevanten Nebengebiete vor. Bormann/Diehn/Sommerfeldt Gesetz über Kosten der freiwilligen Gerichtsbarkeit für Gerichte und Notare: GNotKG Kommentar 5. Auflage, 2025 C.H. BECK, I...mehr

Das Informationsfreiheitsgesetz des Bundes gilt nur für Bundesbehörden. Für das Jugendamt gelten aber in den meisten Bundesländern entsprechende Landesgesetze. Sie gewähren Akteneinsicht nur unter dem Vorbehalt des Datenschutzes, gehen also nicht über das Recht auf Akteneinsicht nach § 25 SGB X hinaus.mehr

Rz. 25 Mit Wirkung zum 9.6.2021 ist durch Abs. 2a Satz 1 vorgegeben, dass in den Verträgen nach Abs. 1 auch die Einzelheiten der Versorgung mit solchen Heilmitteln zu regeln sind, die in den jeweiligen Heilmittelbereichen telemedizinisch erbracht werden können. Für die Regelung im Vertrag ist den Vertragspartnern eine Frist bis zum 31.12.2021 gesetzt worden, bis zu der sie F...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. d. Art. 4 Nr. 1 und Nr. 2 DSGVO dar, deren Vorgaben zu beachten sind.[1] Die DSGVO enthält keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Allerdings sind bestimmte Vorgaben der D...mehr

Wie ist das Einsichtsrecht zu behandeln, wenn der Eigentümer die Abrechnungsunterlagen aus den Vorjahren einsehen will? Hierzu ist er durchaus berechtigt. Wie oft muss ein Einsichtsrecht gewährt werden, bis es als Schikane zu bewerten ist bzw. unter das Schikaneverbot fällt? Das ist stets einzelfallabhängig. Will der Wohnungseigentümer anlasslos regelmäßig jeden Monat Einsi...mehr

Begriff Die Bewerbung bzw. das Bewerbungsverfahren zielt auf die Besetzung eines Arbeitsplatzes durch den Arbeitgeber zur Deckung eines bestehenden Personalbedarfs. Regelmäßig erfolgt die Bewerbung als Reaktion auf eine Stellenausschreibung; möglich ist aber auch eine Initiativbewerbung. Mit Einleitung des Bewerbungsverfahrens entsteht ein vorvertragliches Schuldverhältnis z...mehr

Beschlussfassung Muss der Beschluss zur Hybridversammlung einstimmig sein? Nein, es reicht eine einfache Mehrheit (§ 25 Abs. 1 WEG). Kann der Online-Eigentümer abstimmen? Ja, wenn in dem Beschluss nach § 23 Abs. 1 Satz 2 WEG bestimmt ist, dass die Wohnungseigentümer, die online teilnehmen, abstimmen dürfen. Kann man beschließen, dass ein Wohnungseigentümer an der Versammlun...mehr

Mit der Digitalisierung ergeben sich auch neue Anforderungen an den Datenschutz. Hierbei geht es um die Verarbeitungssysteme und deren Konformität zur Datenschutzgrundverordnung (DSGVO). Außerdem ist zu befürchten, dass die Abmahnrisiken im Bereich des Datenschutzes auch für Vereine steigen werden.mehr

mehr