Fachbeiträge & Kommentare zu Datenschutz

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr

Rz. 17 Die Formulierung "inbesondere" in Abs. 2 Satz 1 macht deutlich, dass über die nachstehenden gesetzlichen Vorgaben hinaus in den Rahmenempfehlungen weitere Vorgaben vereinbart werden können, wie etwa die Einhaltung des Datenschutzes und zum zeitgemäßen (elektronischen) Abrechnungsverfahren. Nach Abs. 2 sind in den Rahmenempfehlungen zu regeln: Personelle Anforderungen a...mehr

Rz. 33 Beyer, Neuregelungen zur Telematikinfrastruktur und ihre Anwendungen, WzS 2021, 263. Bretthauer, Das Digital-Gesetz – Zentrale Neuerungen zur Beschleunigung der Digitalisierung des Gesundheitswesens, NVwZ 2024, 1047. Buchholtz/Brauneck/Schmalhorst, Der Gesetzgeber im Spannungsfeld zwischen Patientensouveränität und Forschungsinteressen – eine Bewertung der neuesten Gese...mehr

Rz. 3 Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftr...mehr

Neben der Automatisierung von regelmäßig auftretenden und standardisierten Vorgängen eignet sich KI auch zur Unterstützung einer kompetenzbasierten Aufgabenzuordnung in der Belegschaft.[1] Dabei werden anhand gesammelter Daten die Fähigkeiten eines Beschäftigten durch eine KI ausgewertet.[2] Die Bewertung dient im Anschluss als Entscheidungsgrundlage für die Zuteilung von Au...mehr

Der Einsatz von KI ist im Recruiting mittlerweile sehr verbreitet. Während Personalprozesse dadurch effizienter, zügiger und oftmals weniger fehleranfällig werden, erhöhen sich zugleich die Anforderungen an den Schutz personenbezogener Daten. Gerade im Bewerbungsverfahren, das häufig eine Vielzahl hochsensibler Informationen enthält, müssen Unternehmen besonders sorgfältig u...mehr

Für die Verarbeitung der personenbezogenen Daten der Beschäftigten ist in der Praxis häufig Art. 6 Abs. 1f DSGVO heranzuziehen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt jedoch nur, sofern nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Perso...mehr

Mitarbeiter haben nach den Art. 15–21 DSGVO verschiedene Rechte, die sie gegenüber dem Arbeitgeber geltend machen können. Auskunftsrecht (Art. 15 DSGVO): Zunächst haben Mitarbeiter das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Praxis-Tipp Erforderlichkeit der Datenübersicht Um das Auskunftsersuchen eines Betro...mehr

Die Einführung digitaler Personalakten bietet Unternehmen zahlreiche Vorteile, wie effizientere Prozesse, eine bessere Nachvollziehbarkeit und eine ortsunabhängige Zugriffsmöglichkeit. Gleichzeitig stellt sie erhöhte Anforderungen an den Datenschutz, da die darin enthaltenen personenbezogenen Informationen oftmals besonders sensibel sind. Demnach sind die oben skizzierten Gr...mehr

Nach § 87 Abs. 1 BetrVG steht dem Betriebsrat ein Mitbestimmungsrecht zu, soweit keine gesetzliche oder tarifliche Regelung besteht. Bei der Einführung von KI-Systemen sind folgende Regelungen besonders relevant: § 87 Abs. 1 Nr. 6 BetrVG: Zunächst steht dem Betriebsrat ein Recht auf Mitbestimmung bei der Einführung und Anwendung von technischen Einrichtungen zu, die dazu best...mehr

Der Betriebsrat ist bei der Aufstellung von personellen Auswahlrichtlinien, welche die maßgeblichen Kriterien für zentrale Personalentscheidungen konkretisieren, einzubeziehen.[1] In Unternehmen mit mehr als 500 Arbeitnehmern kann der Betriebsrat die Aufstellung dieser Richtlinien verlangen.[2] § 95 Abs. 2a BetrVG legt aus Klarstellungsgründen fest, dass die Rechte auch Anwe...mehr

Zudem kommt eine Verarbeitung der personenbezogenen Daten der Arbeitnehmer auf Grundlage des § 26 BDSG in Betracht. § 26 Abs. 1 Satz 1 BDSG [1] erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. § 26 Abs. 1 Satz 2 BDSG erlaubt die Verarbeitung personenbezogener Dat...mehr

Nachrichtenprogramme (sog. Messenger) haben mit den Smartphones eine weite Verbreitung erfahren. Es ist inzwischen Standard geworden, der eigentlichen Textnachricht Anhänge unterschiedlichster Art – und damit auch Rechnungen – beifügen zu können. Eine Reihe von Messengern bietet auch die sog. Ende-zu-Ende-Verschlüsselung, die es gewährleistet, dass die Daten der jeweiligen N...mehr

Seit der Reform des Betriebsverfassungsgesetzes 2021 ist in § 80 Abs. 3 Satz 2 BetrVG ausdrücklich geregelt, dass zur Beurteilung der Einführung und Anwendung von KI das Hinzuziehen eines Sachverständigen erforderlich ist, da die technische und datenschutzrechtliche Komplexität von KI-Systemen oft fachkundige Unterstützung erfordert. Die Regelung befreit den Betriebsrat jedo...mehr

Der Schutz personenbezogener Daten ist ein wesentliches Element bei der Implementierung digitaler Prozesse. Die Einführung und Nutzung digitaler Technologien wird in aller Regel die Verarbeitung personenbezogener Daten[1] umfassen. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richtet sich nach der DSGVO und dem BDSG. Nach Art. 88 Abs. 1 DSGVO ist eine na...mehr

Der Einsatz von KI im Personalmanagement steht exemplarisch für die Chancen und Herausforderungen der digitalen Transformation des Arbeitslebens. Digitale Systeme können Personalentscheidungen effizienter, datenbasierter und objektiver gestalten, bergen jedoch gleichermaßen erhebliche Risiken im Hinblick auf den Datenschutz. Aus einer datenschutzrechtlichen Perspektive ist in...mehr

Überblick Digitale Systeme werden im Personalbereich schon seit Jahren eingesetzt und ihr Gebrauch wird in Zukunft voraussichtlich weiter zunehmen. Die Digitalisierung bietet Vorteile wie mehr Effizienz, bessere Transparenz, Zeitgewinn und größere Flexibilität. Allerdings bringt sie auch Herausforderungen mit sich: Besonders bei sensiblen Mitarbeiterdaten entstehen komplexe ...mehr

Dem Beklagten (Auftraggeber und Zahlender) stehe allerdings ein Schadensersatzanspruch gegen den Werkunternehmer in Höhe des gezahlten Betrags zu. Diesen könne er dem Anspruchsteller unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten. Der Anspruch resultiere aus Art. 82 der Datenschutz-Grundverordnung (DS-GVO).[10] Die Vorschrift eröffne einen dir...mehr

Die Datenverarbeitung hat sich am Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit zu orientieren.[1] Danach dürfen nur solche Daten erhoben werden, die für den konkreten Zweck erforderlich sind. Digitale Systeme sollten die Datenerhebung auf ein verhältnismäßiges Maß begrenzen.mehr

Außerdem muss gewährleistet sein, dass die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, Beschädigung oder Zerstörung geschützt sind.mehr

Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgeführten Datenschutzprinzipien verantwortlich und muss deren Einhaltung nachweisen können.[1] Der Arbeitgeber muss demnach Maßnahmen ergreifen, um die Konformität des Einsatzes digitaler Systeme mit den Datenschutzanforderungen nachweisen zu können.mehr

Gemäß Art. 38 Abs. 1 DSGVO muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Im Rahmen der Einführung und Nutzung digitaler Systeme stellt der Datenschutzbeauftragte sicher, dass die Maßnahmen rechtskonform, verhältnismäßig und transpar...mehr

Sofern Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, sind die Anforderungen an internationale Datenübermittlungen zu prüfen und einzuhalten.[1]mehr

Entscheidend für die Praxis sind vor allem die Anbahnungs- und Durchführungsphase eines Arbeitsverhältnisses. 7.1 Anwendungsfälle am Beispiel KI im Recruiting Der Einsatz von KI ist im Recruiting mittlerweile sehr verbreitet. Während Personalprozesse dadurch effizienter, zügiger und oftmals weniger fehleranfällig werden, erhöhen sich zugleich die Anforderungen an den Schutz pe...mehr

7.2.1 Digitale Personalakte Die Einführung digitaler Personalakten bietet Unternehmen zahlreiche Vorteile, wie effizientere Prozesse, eine bessere Nachvollziehbarkeit und eine ortsunabhängige Zugriffsmöglichkeit. Gleichzeitig stellt sie erhöhte Anforderungen an den Datenschutz, da die darin enthaltenen personenbezogenen Informationen oftmals besonders sensibel sind. Demnach s...mehr

Eine Beteiligung des Betriebsrats soll sicherstellen, dass der Einsatz von digitalen Systemen im Personalwesen sozialverträglich, rechtskonform und transparent erfolgt. 8.1 Mitbestimmungsrechte Nach § 87 Abs. 1 BetrVG steht dem Betriebsrat ein Mitbestimmungsrecht zu, soweit keine gesetzliche oder tarifliche Regelung besteht. Bei der Einführung von KI-Systemen sind folgende Reg...mehr

Personenbezogene Daten dürfen nur zu den vorher klar definierten Zwecken verarbeitet werden.[1] Der Arbeitgeber muss daher von Anfang an klar und eindeutig festlegen, zu welchem Zweck der Einsatz digitaler Systeme erfolgt.mehr

3.1 Informationspflichten Gemäß Art. 12 ff. DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß Art. 13 DSGVO und 14 DSGVO und alle Mitteilungen gemäß Art. 15–22 DSGVO und Art. 34 DSGVO die sich auf die Verarbeitung beziehen, bereitzustellen. Diese Informationen müssen präzise, transparent, verständlich und leicht zug...mehr

Für digitale Personalsysteme sind geeignete TOMs nach Art. 32 DSGVO zu ergreifen. Diese können beispielsweise rollenbasierte Berechtigungen nach dem need-to-know-Prinzip, eine Protokollierung von Zugriffen, Verschlüsselung, sichere Authentifizierung (MFA), Backup-Konzepte sowie klare Berechtigungs- und Löschprozesse umfassen.mehr

Werden Personalsysteme durch externe Anbieter betrieben (z. B. Plattformen für das Bewerbermanagement), ist regelmäßig ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Verantwortliche sollten darin insbesondere Regelungen zu Unterauftragsverarbeitung, Support, Löschfristen, Audit-Rechten sowie technischen und organisatorischen Maßnahmen (TOMs) vereinbaren.mehr

Die Überwachung von Beschäftigten, etwa mittels Videoaufzeichnungen, der Analyse von E-Mail-Korrespondenz, der Ortung des Beschäftigtenstandorts und des Einsatzes von KI, ist nur unter engen datenschutzrechtlichen Grenzen zulässig.[1] So ist regelmäßig eine DSFA nach Art. 35 DSGVO erforderlich, da Überwachungsmaßnahmen üblicherweise ein hohes Risiko für die Rechte und Freihe...mehr

Der Einsatz von KI in der Beendigungsphase eines Arbeitsvertrags, etwa bei der automatisierten Analyse von Leistungsdaten zur Entscheidung über Kündigungen oder bei der Vorhersage von Personalabbaupotenzialen, wirft erhebliche datenschutzrechtliche Fragen auf. Da in dieser Phase besonders sensible personenbezogene Daten verarbeitet werden, unterliegt die Nutzung von KI den s...mehr

Digitalisierung im Personalbereich bezeichnet den Einsatz digitaler Technologien, um Personalprozesse effizienter, transparenter und datenbasierter zu gestalten. Zentral ist dabei der Einsatz von Künstlicher Intelligenz (KI). Die KI-VO definiert ein KI-System in Art. 3 Nr. 1 KI-VO als "maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb aus...mehr

Eine KI-gestützte Personalentscheidung darf nicht zu einer unmittelbaren oder mittelbaren Benachteiligung aufgrund der Rasse, der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität des Beschäftigten führen ( § 1 AGG). Das Allgemeine Gleichbehandlungsgesetz schützt ausdrücklich den Zugang zur Erwer...mehr

Gemäß Art. 5 Abs. 1a DSGVO muss jede Datenverarbeitung rechtmäßig, nach Treu und Glauben und in einer für die betroffenen Personen nachvollziehbaren Weise erfolgen. Rechtmäßig ist die Verarbeitung nur dann, wenn eine Einwilligung oder eine sonstige zulässige Rechtsgrundlage vorliegt.[1] Folgende Rechtsgrundlagen kommen bei der Einführung und Nutzung von digitalen Technologie...mehr

Die Verarbeitung ist außerdem zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Das Kriterium der Erforderlichkeit ist dabei eng auszulegen.[1] Demnach sind digitale Maßnahmen nur dann zulässig, wenn sie zur Durchführung des Arbeitsverhältnisses unmittelbar notwendig sind, z. B. zur Erfassung der Arbeitszeiten.mehr

Gemäß Art. 12 ff. DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß Art. 13 DSGVO und 14 DSGVO und alle Mitteilungen gemäß Art. 15–22 DSGVO und Art. 34 DSGVO die sich auf die Verarbeitung beziehen, bereitzustellen. Diese Informationen müssen präzise, transparent, verständlich und leicht zugänglich und in klarer und...mehr

Art. 22 Abs. 1 DSGVO verbietet, Betroffene einer ausschließlich auf einer automatisierten Datenverarbeitung beruhenden Entscheidung zu unterwerfen, die ihnen gegenüber Rechtswirkung entfaltet oder sie auf eine ähnliche Weise erheblich beeinträchtigt. Damit sollen Betroffene vor vollautomatisierten Entscheidungen durch Algorithmen geschützt werden und die Letztentscheidungsbe...mehr

Neben dem allgemeinen Unterrichtungsanspruch aus § 80 Abs. 2 BetrVG ist bei der Einführung von KI das Unterrichtungs- und Beratungsrecht nach § 90 Abs. 1 Nr. 3, Abs. 2 BetrVGzu berücksichtigen.[1] Danach ist der Betriebsrat bereits vor der Einführung über die Planung von Arbeitsverfahren und -abläufen, insbesondere über die Verwendung von KI, rechtzeitig zu unterrichten und ...mehr

Die Einwilligung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Einwilligung muss frei, spezifisch und unmissverständlich erteilt werden.[1] In einem Beschäftigungsverhältnis kann die Einwilligung eines Mitarbeiters aufgrund des Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber in der Regel nicht als freiwilli...mehr

Zusammenfassung Überblick Digitale Systeme werden im Personalbereich schon seit Jahren eingesetzt und ihr Gebrauch wird in Zukunft voraussichtlich weiter zunehmen. Die Digitalisierung bietet Vorteile wie mehr Effizienz, bessere Transparenz, Zeitgewinn und größere Flexibilität. Allerdings bringt sie auch Herausforderungen mit sich: Besonders bei sensiblen Mitarbeiterdaten ents...mehr

Die erhobenen Daten müssen korrekt und auf dem aktuellen Stand sein.[1] Zudem dürfen sie nur so lange gespeichert werden, wie dies für den verfolgten Zweck notwendig ist.[2] Der Verantwortliche ist darüber hinaus gemäß Art. 17 DSGVO verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet w...mehr

Eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Unternehmensgröße ist für diese Pflicht nicht entscheidend. Bei der Nutzung von Hochrisiko-KI-Systemen ist eine DSFA regelmäßig erforderlich. Arbeitgeber sollten diese vor ...mehr

Die KI-VO gilt ergänzend zu den allgemeinen Regeln. Mit dem risikobasierten Ansatz soll die KI-VO einen verantwortungsbewussten Einsatz von KI-Systemen fördern. Die Verordnung unterstellt insbesondere Hochrisiko-Systeme den strengen Anforderungen der Art. 8–15 KI-VO. Diese betreffen die Einrichtung eines Risikomanagementsystems[1] sowie konkrete Anforderungen an Daten und Dat...mehr

in der Fassung der Bekanntmachung v. 4.4.2006[1] mit den Änderungen durch: das Bundesschuldenwesenmodernisierungsgesetz v. 12.7.2006[2], das Föderalismusreform-Begleitgesetz v. 5.9.2006[3], das Gesetz über steuerliche Begleitmaßnahmen zur Einführung der Europäischen Gesellschaft und zur Änderung weiterer steuerrechtlicher Vorschriften (SEStEG) v. 7.12.2006[4], das Jahressteuerge...mehr

Das Arbeiten im Homeoffice ist seit der Corona-Pandemie in vielen Unternehmen ein fester Bestandteil des Arbeitsalltags. Es stellt Arbeitgeber, Mitarbeiter und Arbeitsschutzbehörden vor neue Herausforderungen. Aus einer datenschutzrechtlichen Perspektive stellt sich die Frage, wie die Vorgaben des BDSG und der DSGVO außerhalb der klassischen Büroumgebung eingehalten werden k...mehr

Arbeitsmedizinische Vorsorge erfolgt grundsätzlich im Interesse des Beschäftigten zur frühzeitigen Erkennung und Verhütung arbeitsbedingter Erkrankungen mit der zentralen Fragestellung, ob von der Tätigkeit eine Gefahr für die Gesundheit der Beschäftigten ausgeht. Sie dient damit ausschließlich dem Selbstschutz des Individuums. Pflichtvorsorge ist arbeitsmedizinische Vorsorge...mehr

Die meisten Rechtsanwälte korrespondieren mit ihren Mandanten per E-Mail. Das geschieht nicht zuletzt auf deren Wunsch. In der Mandatsvollmacht wird dieser Kommunikationsweg inzwischen standardmäßig (mit) vereinbart. Der E-Mail-Versand erfolgt fast ausschließlich mit einer Transportverschlüsselung (s. oben unter 2. c). Es existieren zwar andere Kommunikationsmöglichkeiten. B...mehr

Aufgrund der vielfältigen Verpflichtungen, die Arbeitgebern durch das Arbeitsverhältnis auferlegt werden, haben diese ein hohes Interesse daran, dass Personen, die sie beabsichtigen einzustellen, nicht nur in fachlicher Hinsicht, sondern auch in gesundheitlicher Hinsicht die Anforderungen an die konkrete Tätigkeit erfüllen. Die Einstellungsuntersuchung bietet die Möglichkeit...mehr