Fachbeiträge & Kommentare zu Datenschutz

Rz. 76 Zu den externen Informationsquellen zählen z. B. die Einschätzungen externer Ratingagenturen, die Millionenkreditmeldungen nach § 14 KWG oder auch entsprechende Medienberichte und Wirtschaftsdienste. Einzelne kreditwirtschaftliche Verbände veröffentlichen in unregelmäßigen Abständen Analysen und Zukunftseinschätzungen über bestimmte Branchen oder Regionen bzw. über re...mehr

Anknüpfend an den einleitenden Ausführungen zeigt die BaFin auf, welche rechtlichen Regelungen und Vorgaben in jedem Fall in den Anwendungsbereich der Compliance-Funktion fallen. Hierzu gehören zunächst die Vorgaben des WpHG, die schon Gegenstand der MaComp sind, weiterhin die Vorgaben zur Vermeidung von Geldwäsche und Terrorismusfinanzierung; Vorgaben zur Vermeidung sonstig...mehr

Rz. 176 Zwar sind mit Informations- und Kommunikationstechnologien (IKT) sowohl Chancen als auch Risiken verbunden. Die IKT-Risiken bleiben nach Einschätzung der EU-Kommission aber trotz zahlreicher regulatorischer Maßnahmen in erster Linie eine Herausforderung für die "Betriebsstabilität", die Leistungsfähigkeit der Institute und die Stabilität des Finanzsystems in der EU. ...mehr

Rz. 12 In der nichtfinanziellen Erklärung[1] galt es zunächst, das Geschäftsmodell des Unternehmens gem. § 289c Abs. 1 HGB kurz darzustellen. Das CSR-RUG traf zur konkreten inhaltlichen Ausgestaltung der Beschreibung keine näheren Aussagen. Es konnte davon ausgegangen werden, dass die inhaltlichen Anforderungen zur Beschreibung des Geschäftsmodells für die nichtfinanzielle E...mehr

mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

[…] ich freue mich, Ihnen nunmehr die finale Fassung der MaRisk vorlegen zu können, wie sie sich nach Abschluss des im Oktober 2020 angestoßenen Konsultationsverfahrens darstellt. Im Ergebnis der Auswertung der Stellungnahmen sowie der Diskussionen in den drei Sitzungen des Fachgremiums MaRisk am 12. und 19.02. sowie am 04.03.2021 sind noch für eine Reihe von strittigen Punkt...mehr

Eine bedeutende Neuerung stellen die Anforderungen an die Vergütungssysteme dar. Aggressive Vergütungssysteme haben – neben anderen Faktoren – mit zur Finanzmarktkrise beigetragen. Fehlanreize in den Vergütungssystemen führten teilweise zu extremen Ausweitungen von Risikopositionen. Vor diesem Hintergrund ist es nicht überraschend, dass sich auch die maßgeblichen internation...mehr

Rz. 169 Die MaRisk enthalten im Hinblick auf die Risikoanalyse keine konkreten Vorgaben. Es gilt der Grundsatz der Proportionalität. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Die MaRisk verlangen lediglich, dass die maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse einz...mehr

Rz. 83 Die Auslagerung von zeitkritischen Aktivitäten und Prozessen darf nicht dazu führen, dass die Vorsorge für Notfälle vernachlässigt oder sogar komplett ausgeblendet wird. Das wäre insbesondere vor dem Hintergrund der großen Bedeutung der IT-Auslagerungen für die Institute ein fataler Trugschluss.[1] Rz. 84 Allerdings ist es schon unter Praktikabilitätsgesichtspunkten ka...mehr

Rz. 34 Unter "ESG-Faktoren" werden Aspekte aus den Bereichen Umwelt, Soziales und Unternehmensführung ("Environmental, Social and Governance", ESG) verstanden, die sich positiv oder negativ auf die finanzielle Leistung oder Solvenz eines Unternehmens, Staates oder einer Person auswirken können. Insofern können ESG-Faktoren auch bei der Bewertung von Chancen und Risiken für f...mehr

Der Zentralverband des deutschen Handwerks (ZDH) hat ein Kompetenzzentrum Digitales Handwerk eingerichtet. Hier können Sie Ihr Geschäftsmodell auf den digitalen Prüfstand stellen und Geschäftsprozesse auf digitalen Anpassungsbedarf optimieren lassen. Auch in Sachen Information, Kommunikation und Marketing-Strategien gibt es hilfreiche Tipps und Anregungen. Die Spezialisten de...mehr

Wikipedia definiert: "Der Begriff Digitale Revolution bezeichnet den durch Digitaltechnik und Computer ausgelösten Umbruch, der seit Ausgang des 20. Jahrhunderts einen Wandel nahezu aller Lebensbereiche bewirkt und der in eine Digitale Welt führt, ähnlich wie die industrielle Revolution 200 Jahre zuvor in die Industriegesellschaft führte". Betroffen davon sind nahezu alle Le...mehr

Ein Erfolgsrezept der vordigitalen Zeit bestand darin, dass Produkte ausgereift und fehlerfrei in den Markt gebracht wurden. Die meisten der neuen digitalen Projekte werden aber nicht mehr bis zum letzten Qualitätsstandard ausgetestet, sondern ganz bewusst bereits vor der "alten" Marktreife an den Kunden gebracht. Nachbesserungen werden mitgeliefert. Die Produkteinführung is...mehr

Zusätzlich sollte sich eine Führungskraft Unterstützung bei verschiedenen unternehmensinternen und externen Anlaufstellen holen. Innerbetrieblich sind an erster Stelle der Betriebsarzt und die sozialen Beratungsstellen (sofern vorhanden) zu nennen. Die Personalabteilung und die Interessenvertretungen (Personal-, Betriebsrat, Schwerbehindertenbeauftragte) sind ebenfalls Anspre...mehr

mehr

Rz. 1411 Der Versicherungsnehmer hat das Zustandekommen und Bestehen eines Versicherungsvertrages entsprechend §§ 133 ff. BGB nachzuweisen. Das gilt auch hinsichtlich des Inhaltes (wie mitversicherter Personenkreis, räumlicher und zeitlicher Deckungsbereich, Versicherungssumme). Dieser Nachweis ist nicht geführt, wenn sich nicht feststellen lässt, dass der Versicherer einen ...mehr

Die Verantwortung für den Datenschutz im Unternehmen kann bei unterschiedlichen Gruppen liegen. Infrage kommen hier der oder die Geschäftsführer, die Mitarbeitenden sowie ggf. ein Datenschutzbeauftragter. Geschäftsführer sind grundsätzlich für alle Belange des Unternehmens verantwortlich, damit auch für den Bereich des Datenschutzes, d. h. die Einrichtung personeller, organis...mehr

Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Diese muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Solc...mehr

3.1 Technische und organisatorische Maßnahmen Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichk...mehr

Unter "Outsourcing" wird das Verlagern von Prozessen oder Tätigkeiten an Stellen außerhalb des Unternehmens verstanden. Werden Daten dazu an Dritte herausgegeben, so sollte schon bei der Auswahl der Partnerunternehmen auf einen ausreichenden Datenschutz geachtet werden. Zudem sollte schriftlich geregelt sein, wie mit den übergebenen Daten verfahren wird. Hierzu zählen z. B. ...mehr

Bei Datenschutzverletzungen drohen sowohl gesetzlich normierte als auch vertraglich festgelegte Sanktionen. 9.1 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über ...mehr

Kunden sind für die meisten Unternehmen das wichtigste Gut, denn ohne Nachfrage kann kein Unternehmen Waren oder Dienstleistungen absetzen. Der Schutz von Kundendaten bedeutet den Schutz von Unternehmen UND Personen. Im Einzelnen sind dies insbesondere Schutz von Daten, die im Rahmen von Geschäftsprozessen genutzt werden. So z. B. Arbeitsergebnisse, Vorlagen, übergebene Unter...mehr

Der Datenschutz gegenüber einem Lieferunternehmen ist ähnlich gelagert wie der Datenschutz gegenüber der Kundschaft. Auch hier dürfen personenbezogene Daten nur unter Beachtung der bereits genannten Voraussetzungen für den Datenschutz nach der DSGVO und dem BDSG erhoben, gespeichert oder verarbeitet werden. Bei eigenen Lieferunternehmen wird häufig übersehen, dass auch hier i...mehr

Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen ("Datenminimierung", Art. 5 Abs. 1 lit. c DSGVO). Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck mögl...mehr

Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangene...mehr

Einführung Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Date...mehr

Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Mens...mehr

Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritt...mehr

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Eine Datenschutzverletzung kann hohe Bußgelder nach sich ziehen. Die DSGVO verlangt in Art. 83, dass jede Aufsichtsbehörde sicherstellt, "dass die Verhängung von Geldbußen (...) für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Dabei ist u. a. Folgendes gebührend zu berücksichtigen: Art, Schwere und Dauer des Verstoß...mehr

Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über den Vorfall benachrichtigt werden. Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rech...mehr

Neben der unmittelbaren Haftung im Fall einer Datenschutzverletzung dürfen auch vertraglich vereinbarte Sanktionen nicht außer Acht gelassen werden. Das Unternehmen kann gegenüber Kundschaft, Liefer-Unternehmen oder Mitarbeitenden haften, sofern gegen vertragliche Vereinbarungen oder Pflichten verstoßen wurde. Am häufigsten kommen wohl Verstöße gegen explizit geregelte Geheim...mehr

Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange: Interne Daten, wie Finanzdaten, Erfindungen, Businessplanning etc. Daten von Mitarbeitenden sowie Daten im Rahmen des Personalwachstums (z. B. Bewerbende) Daten von Kunden und Lieferanten Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden Di...mehr

Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über beschäftigte Personen, angefangen von der Bewerbung bis zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden. Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer...mehr

Die Betroffenen, deren Daten verarbeitet werden bzw. erhoben und gespeichert worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten: Recht auf Auskunft über die Verarbeitung personenbezogener Daten (Art. 15) Recht auf Berichtigung unrichtiger Daten (Art. 16) Recht auf Löschung der Daten unter bestimmten Voraussetzungen (Art. 17) Recht auf Ein...mehr

Personenbezogene Daten von Mitarbeitenden dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies dem Unternehmen gestattet ist. Dabei sind die gesetzlichen und arbeitsvertraglichen Regelungen zu beachten. Auch hier gilt, dass der Betroffene auch seine Einwilligung in Bezug auf den Umgang mit seinen Daten erteilen kann. Diese Einwilligung darf aber nicht durch Druckau...mehr

Die Internet-Nutzung und E-Mail-Nutzung Mitarbeitender kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können z. B. Benutzeridentifikation, IP-Adressen, Datum und Uhrzeit des Zugriffs, Datenmenge sowie Zieladresse des Zugriffs erfasst werden. Anhand dieser Daten wäre es für Arbeitgebende möglich nachzuvollziehen, wann Mitarbeitende was gelesen haben. Dies ka...mehr

Ob geschäftlicher Internetauftritt oder Direktmarketingaktionen: Überall werden Daten von Nutzern erhoben, verarbeitet oder gespeichert – wenn oftmals auch nur für wenige Augenblicke. Auch hier gelten Datenschutzvorschriften. Besonders das Gebot der Datensparsamkeit (§ 71 BDSG) bzw. Datenminimierung (Art. 5 DSGVO) wird häufig missachtet. Gerade das Internet mit seinen vielfä...mehr

Rz. 24 Die gematik hat die Interessen von Patienten zu wahren und sicherzustellen, dass die Vorschriften zum Schutz personenbezogener Daten (§§ 67 ff. SGB X) sowie zur Barrierefreiheit (vgl. hierzu die Bestimmungen der Barrierefreie-Informationstechnik-Verordnung v. 12.9.2011, BGBl. I S. 1843; zuletzt geändert durch Art. 1 der Verordnung v. 21.5.2019, BGBl. I S. 738) eingeha...mehr

Durch den neu eingeführten § 79a im BGB-Vereinsrecht werden die datenschutzrechtlichen Regelungen von Betroffenen nach der EU-DSGVO eingeschränkt. Dies betrifft insbesondere: Art. 15 DSGVO: Auskunftsrecht Art. 16 DSGVO: Recht auf Berichtigung Art. 21 DSGVO: kein Widerspruchsrecht So bleiben z. B. die Daten ausgeschiedener Vorstandsmitglieder im chronologischen Verlauf des Regist...mehr

Rz. 14 Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zur öffentlichen Anhörung im Ausschuss für Gesundheit am 27. Mai 2020 zum Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patienten-Datenschutz-Gesetz; www.bfdi.bund.de). Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendung...mehr

Rz. 1 Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Eine Vorgängervorschrift existiert nicht. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telemat...mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Dochow, Das Patienten-Datenschutz-Gesetz (Teil 1) – Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, 979. ders., Das Patienten-Datenschutz-Gesetz (Teil 2) – Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021...mehr

Rz. 3 Die Telematikinfrastruktur muss für die Nutzung weiterer Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 327 geeignet sein (§ 306 Abs. 1 Satz 2 Nr. 2 Buchst. a). Diese Anwendungen können die Telematikinfrastruktur für das Gesundheitswesen sowie für die Gesundheitsforschung nutzen, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz ...mehr

Rz. 2 "Geborene" Mitglieder des Digitalbeirats sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Weitere Mitglieder können berufen werden. Der Digitalbeirat berät dauerhaft die Gesellschaft für Telematik (gematik) zu Belangen des Datenschutzes und der Datensicherheit. Datensch...mehr

Rz. 16 Die elektronische Patientenakte ist innerhalb der Telematikinfrastruktur ein Dienst der Anwendungsinfrastruktur (§ 306 Abs. 2 Nr. 3). Die Krankenkasse ist Anbieter dieses Dienstes (§ 307 Abs. 4) und für die Verarbeitung personenbezogener Daten verantwortlich (Art. 4 Nr. 7 der Verordnung – EU – 679/2016; Satz 1). Damit sind für die Krankenkasse keine Zugriffsrechte auf...mehr

Rz. 21 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 9 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patienten-Datenschutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263. BfArM (Herausg.), Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V, www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.pdf?__b...mehr

Rz. 2 Die Gesellschaft für Telematik (gematik) hat sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit den Anwendungen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ins Benehmen zu setzen und durch den Digitalbeirat (§ 318a) ber...mehr