Fachbeiträge & Kommentare zu Datenschutz

Der TV-V enthält – im Gegensatz zu § 3 Abs. 5 TVöD – keine Regelungen zu den Personalakten. Insofern gelten die allgemeinen Vorgaben, die nach der Rechtsprechung sowie den gesetzlichen Bestimmungen, insbesondere auch zum Datenschutz, zu beachten sind. Nach § 83 Abs. 1 Satz 1 BetrVG hat der Arbeitnehmer das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Nac...mehr

Rz. 19 Bockholdt, BVerfG-Vorlage zur Ermächtigung des DIMDI zu rückwirkenden Änderungen des OPS, jurisPR-SozR 21/2020 Anm. 1. Eichberger, Die unendliche Geschichte – Krankenhausabrechnungen, SGb 2021, 19. Euler/Dirschedl, Deutsche Kodierrichtlinien, Allgemeine und spezielle Kodierrichtlinien für die Verschlüsselung von Krankheiten und Prozeduren – Version 2016, ku-Sonderheft. H...mehr

Rz. 14 Ergänzende Regelungen finden sich insbesondere in den Abs. 1 bis 4 ausdrücklich in Bezug genommenen Regelungen, so in den in Bezug genommenen Regelungen über diverse Anträge auf Leistungen nach §§ 36 bis 38, 40 Abs. 1 und 4, den §§ 40b, 41, 42b, 43, 44a, 45, 45e, 87a Abs. 2 Satz 1 und § 115 Abs. 4; weiter auch nach § 40 Abs. 2, den §§ 39 sowie 42 jeweils i. V. m. § 42...mehr

Rz. 107 Der Schutz von Sozialdaten greift nach Satz 1 bei ihrer Verarbeitung. Rz. 108 Der Oberbegriff "(Daten-)Verarbeitung" fand erst durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019 (BGBl. I S. 1626) mit Wirkung zum 26.11.2019 Eingang in § 7b Abs. 3 Satz 1. Rz. 109 Das geltende Recht sollte beibehalten werden. Die bisherige Begri...mehr

Rz. 28 Satz 4 erklärte ursprünglich die "Unterrichtung über personenbezogene Daten", die nach den §§ 284 bis 302 von Versicherten erhoben werden, für unzulässig. Nach der amtlichen Begründung (BT-Drs. 11/2237 S. 239) sollte mit Satz 4 klargestellt werden, dass der Datenschutz des Zehnten Kapitels auch im Rahmen dieser Vorschrift gilt. Rz. 29 Durch Art. 33 Nr. 22 2.SGB-ÄndG v....mehr

Mögliche Kennzahlen zur Bewertung der Qualität des Wissensmanagements Über Wissensmanagement sollte regelmäßig berichtet werden, z. B. mithilfe von Kennzahlen, die auch in das reguläre Reporting des Betriebes aufgenommen werden sollten. Wegen der Bedeutung des Themas sollte Wissensmanagement einen eigenen Platz im Berichtswesen bekommen. Mit den Kennzahlen sollte z. B. abgefr...mehr

Rz. 1 Die Vorschrift wurde seit ihrer Einführung mehrfach geändert. Zuletzt wurden die Abs. 1, 2 und 3 durch das Gesetz zur Anpassung des Sechsten Buches Sozialgesetzbuch und anderer Gesetze (SGB VI-Anpassungsgesetz) v. 22.12.2025 (BGBl. I Nr. 355) mit Wirkung zum 24.12.2025 geändert. Rz. 2 Die Vorschrift fasst die Ordnungswidrigkeiten gegen Regelungen im SGB III zusammen. Abs...mehr

Rz. 1 Die Vorschrift wurde ursprünglich durch Art. 1 des Gesetzes zur Strukturreform im Gesundheitswesen (Gesundheits-Reformgesetz – GRG) v. 20.12.1988 (BGBl. I 1988 S. 2477) mit der Nummer 306 eingeführt und trat am 1.1.1989 in Kraft. Sie wurde seitdem mehrfach geändert, zuletzt durch Art. 19 Abs. 2 Nr. 1 bis 3 des Gesetzes zur Modernisierung und Digitalisierung der Schwarz...mehr

Rz. 20 Ergänzende Regelungen finden sich insbesondere in den in den Abs. 1 bis 9 ausdrücklich in Bezug genommenen Regelungen, so in folgenden Vorschriften: Abs. 1 § 17 Abs. 1a (Richtlinien des Medizinischen Dienstes Bund; Richtlinien der Pflegekassen); Abs. 1 Satz 2 und Satz 4 und Abs. 2 und 3, § 37 Abs. 3 (Anspruch auf Pflegeberatung in Intervallen in der eigenen Häuslichkeit)...mehr

Rz. 111 Sofern die zuständige oberste Landesbehörde die Einrichtung von Pflegestützpunkten bestimmt hat, vereinbaren die Landesverbände der Pflegekassen mit den Landesverbänden der Krankenkassen und den anderen genannten Beteiligten Rahmenverträge zur Arbeit und zur Finanzierung der Pflegestützpunkte, Satz 1. Rz. 112 Zwar existierte Abs. 6 bereits vor dem 1.1.2017, die Vorsch...mehr

Rz. 6 Der Leistungsanspruch ist an weitere Voraussetzungen geknüpft. Abs. 1 Satz 2 Nr. 1 konkretisiert den Anspruch insofern, als nur solche digitalen Gesundheitsanwendungen in Betracht kommen, die vom Bundesinstitut für Arzneimittel und Medizinprodukte in das Verzeichnis für digitale Gesundheitsanwendungen nach § 139e aufgenommen wurden. Damit soll gewährleistet werden, das...mehr

Rz. 2 Abs. 1 regelt die Pflegeberatung zugunsten der betroffenen pflegebedürftigen Person selbst. Satz 1 HS 1 gibt hierzu den Anspruch. Satz 1 HS 1 räumt dem Anspruchsberechtigten das Recht gegenüber der Pflegekassen ein, vor der erstmaligen Beratung unverzüglich einen zuständigen Pflegeberater benannt zu bekommen. Satz 2 macht Vorgaben zur Durchführung der Pflegeberatung. S...mehr

Rz. 10 Der MD Bund erlässt Richtlinien für die Tätigkeit der MD auf Länderebene, die die MD binden (Satz 1). Die Richtlinien haben die Gesetze und sonstiges Recht zu beachten. Dazu gehören u. a. das Leistungs- und Leistungserbringungsrecht, das für die Begutachtungstätigkeit der MD von zentraler Bedeutung ist. Das Leistungsrecht regelt die Ansprüche der Versicherten gegen di...mehr

Rz. 79 Bei der Durchführung der Beratung als Videokonferenz gilt § 365 Abs. 1 Satz 1 SGB V, Satz 4 . Rz. 80 Nach § 365 Abs. 1 Satz 1 SGB V vereinbart die Kassenärztliche Bundesvereinigung mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik und der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfa...mehr

Rz. 1 Die Vorschrift trat mit Art. 1 des Vierten Gesetzes für moderne Dienstleistungen am Arbeitsmarkt v. 24.12.2003 (BGBl. I S. 2954) am 1.1.2005 (Art. 61 Abs. 1 des genannten Gesetzes) in Kraft und wurde seitdem mehrfach geändert. Zuletzt wurden durch das Gesetz zur Anpassung des Sechsten Buches Sozialgesetzbuch und anderer Gesetze (SGB VI-Anpassungsgesetz) v. 22.12.2025 (...mehr

Die datenschutzrechtliche Beurteilung eines Blockchain-Systems ist wesentlich von dem zugrundeliegenden technischen Rahmen abhängig. Aus diesem Grund sind pauschale datenschutzrechtliche Aussagen zur Beurteilung eines Blockchain-Systems schwierig. Es sollen jedoch im Folgenden Grundlinien für ein besseres Verständnis gezeichnet werden. Die Grundlinien verlaufen zwischen öffe...mehr

Ebenfalls im Jahr 2015 startete Hyperledger, ein privates zulassungsbeschränktes Blockchain-Netzwerk, als Open-Source-Projekt. Ziel des Projekts ist es, eine industrieübergreifende Blockchain-Infrastruktur und Anwendungen bereitzustellen. Der Fokus liegt auf Technologie-, Finanz- sowie Supply-Chain-Anwendungen. Neben Eigenentwicklungen greift das Projekt stark auf bereits vo...mehr

Durch die Datenverarbeitung von (personenbezogenen) Daten in KI-Systemen und den angebundenen Vorsystemen ergeben sich viele datenschutzrechtliche Fragestellungen beim Einsatz von KI (s. zur Übersicht Abbildung 9). Damit stellt der Datenschutz einen zentralen Baustein dar, der beim rechtssicheren Einsatz von KI berücksichtigt werden muss. Abbildung 9: Grundlegende datenschutz...mehr

Der Datenschutz ist ein zentrales Thema. Bei der Verwendung von smarten Geräten wie Wearables müssen in aller Regel Accounts bei den Herstellern angelegt und die gemessenen Werte auf der entsprechenden Cloudplattform u. a. für Auswertungszwecke gespeichert werden. Die Übertragung dieser personenbezogenern Daten erfolgt allerdings typischerweise end-to-end verschlüsselt und s...mehr

Künstliche Intelligenz wird nicht einzig und allein durch die KI-VO reguliert. Künstliche Intelligenz wird sektor- und anwendungsübergreifend eingesetzt, dadurch ergeben sich Überschneidungen in nahezu alle Rechtsbereiche. Dies reicht von zivilrechtlichen Fragestellungen, einschließlich Haftungsfragen (inkl. des Produkthaftungsrechts, geht über in gesellschaftsrechtliche Fra...mehr

Ein enormes Risiko besteht bei der Weitergabe oder dem Verkauf von Wearables. Viele Geräte bieten dem Nutzer keine (einfache) Möglichkeit die Daten zu löschen, weder auf dem Wearable noch in der begleitenden App. Nach Aussagen des Hessischen Datenschutzbeauftragten wiesen einige Hersteller sogar explizit darauf hin, dass eine Löschung nicht möglich sei[1]mehr

Beim (rechts-)sicheren Einsatz von KI-Tools, müssen eine Vielzahl unterschiedlicher rechtlicher und technischer Fragestellungen beantwortet werden. Eine Vorabfrage ist allerdings zentral und bildet die Leitlinien für die Prüfung bzw. Bewertung des KI-Systems. Wichtig Leitlinie für die Prüfung des KI-Systems Das KI-Tool und dessen Prozesse müssen zunächst technisch grundlegend ...mehr

Künstliche Intelligenz findet bereits in vielfältigsten alltäglichen Systemen indirekt oder direkt Anwendung. Dies geschieht bewusst über die Nutzung von ChatBots, die mit sog. generativer Künstlicher Intelligenz Inhalte, Audios, Bilder oder Videos erzeugen oder indirekt über die Online-Suche von Inhalten, die Entwicklung von Medikamenten oder beim Einsatz von autonomen Syst...mehr

Zur Veranschaulichung der rechtlichen Bewertungen und daraus resultierenden Pflichten nach der KI-VO wird folgendes Beispiel gebildet: Praxis-Beispiel KI-Compliance in der Praxis K ist potenzieller Kunde und möchte zur Verbesserung seiner Personalprozesse in der eigenen Steuerberatungskanzlei ein KI-Tool von dem Entwickler E einsetzen, in dem Bewerberunterlagen nach bestimmten...mehr

Zur Vereinfachung der regulatorischen Anforderungen hat die EU-Kommission die sog. Digital Omnibus-Pakete am 19.11.2025 veröffentlicht. Ein Omnibus-Paket adressiert Änderungen im Bereich des Datenschutzes, Cybergesetzgebung[1] und das weitere Omnibus-Paket Vereinfachungen in der KI-VO.[2] Diese Pakete befinden sich nun in der Abstimmung mit dem EU Rat und dem EU Parlament. D...mehr

Überblick Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. Vorgeschrieben für die Auftragsvergabe ist ein Vertrag oder ein anderes Rechtsinstrument, der/das die Anforderungen des Art. 28 DSGVO erfüllt und bei Cloud-/Datenverarbeitungsdiensten zusätzlich die Vorgaben des EU Data Act (insb. Art. 28-2-Richtlinie b...mehr

Auch wenn in der DSGVO nicht direkt eine Kontrollpflicht des Auftraggebers formuliert ist, ist trotzdem eine regelmäßige Kontrolle sinnvoll. Laut einer Information des bayerischen Landesbeauftragten für Datenschutz darf "die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt ...mehr

Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden.[1] Das bedeutet, dass man die Vorschriften (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl von Auftragsverarbeitern in Drittländer...mehr

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) korrekt durchgeführt werden. Diese sind in Art. 32 DSGVO definiert und sind – bei Diensten, die unter NIS2 fallen – durch die dort geforderten Sicherheitsmaßnahmen (z. B. Risikoanalyse, Incident Management...mehr

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, bleibt der Verantwortliche für die Einhaltung der DSGVO verantwortlich. Bei Cloud- und sonstigen Datenverarbeitungsdiensten ist zusätzlich zu prüfen, ob der Anbieter als "Datenverarbeitungsdienst" nach EU Data Act (Art. 2, 28–30) sowie als "wichtiger" oder "wesentl...mehr

mehr

Datenschutzbeauftragte beraten auch bzgl. einer Datenschutz-Folgenabschätzung (DSFA) (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO). Beauftragte überwachen und beraten die verantwortliche Stelle bei der Durchführung der DS...mehr

Überblick Jedes größere Unternehmen und jede Behörde muss laut Art. 37 der DSGVO einen Datenschutzbeauftragten bestellen. Nach § 38 BDSG besteht in Deutschland eine Benennungspflicht insbesondere dann, wenn in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Ve...mehr

Eine weitere, erstmals gesetzlich geregelte Aufgabe ist, dass Datenschutzbeauftragte unmittelbar mit der Aufsichtsbehörde für den Datenschutz kommunizieren. Sie dienen als deren Anlaufstelle und direkter Gesprächspartner in allen Datenschutz-Angelegenheiten (Art. 39 Abs. 1 Buchst. d und e DSGVO). Dies stärkt die Position der Beauftragten, weil sie die Verantwortung erhalten, ...mehr

Dass Angestellte in Bezug auf den Datenschutz zu schulen sind, ergibt sich nicht unmittelbar aus dem Gesetz. Beispielsweise verlangt Art. 5 DSGVO, dass nicht nur alle gesetzlichen Vorgaben einzuhalten sind, sondern auch, dass dies nachgewiesen werden muss. Die verantwortliche Einrichtung muss daher Maßnahmen treffen, die sicherstellen, dass ihre Beschäftigten über Kenntnisse...mehr

Nach Art. 6 Abs. 1 Buchst. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Bei Daten, die unter den EU Data Act fallen, sind zusätzlich die Vorgaben zu Datenzugriffen und -weitergabe nach Art. 5-8 EU Data Act zu beachten. Betroffene Personen haben ein Recht auf Berichti...mehr

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Die Aufgaben und Pflichten von Datenschutzbeauftragten gemäß der Datenschutz-Grundverordnung (DSGVO) sind umfangreich. Größere Unternehmen und Behörden sind verpflichtet, einen Datenschutzbeauftragten zu bestellen; dies gilt auch für kleinere Unternehmen, wenn sie besonders sensible personenbezogene Daten verarbeiten. Zu den gesetzlich vorgeschriebenen Pflichten der Datensch...mehr

Nach Art. 39 Abs. 1 Buchst. b DSGVO haben die Datenschutzbeauftragten die Einhaltung der Datenschutzvorschriften zu "überwachen". Zu den zu überwachenden Datenschutzvorschriften zählen die DSGVO, andere Datenschutzvorschriften in der EU und in den Mitgliedsstaaten und die internen Vorgaben und die Strategie des Verantwortlichen, einschließlich der Zuweisung der Zuständigkeiten, ...mehr

Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen. Bei E-Mail-Diensten aus der Cloud sind zusätzlich die Vorgaben des EU Data Act zur Datenrückgewähr und Portabilität (Art. 5, 6) sowie die TOMs nach Art. 32 DSGVO und NIS2-Sicherheitsanforderungen zu beachten. Ei...mehr

Betriebliche und behördliche Datenschutzbeauftragte gibt es seit dem Jahr 1978, als die erste Fassung des Bundesdatenschutzgesetzes in Kraft trat. Seitdem haben sich die Voraussetzungen und Aufgaben des Beauftragten gewandelt. 1995 traf die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen. In der Richtlinie 95/46/EG w...mehr

Die Aufgaben, die Datenschutzbeauftragte zwingend zu beachten haben, nennt das Gesetz in Art. 39 DSGVO. Bei all den nachfolgend dargestellten Aufgaben gilt: Beauftragte müssen bei ihrer Arbeit den spezifischen, datenschutzrechtlichen Risiken gebührend Rechnung tragen (Pflicht zur risikoorientierten Tätigkeit gemäß Art. 39 Abs. 2 DSGVO). D.h., sie müssen risikoorientiert handel...mehr

Angestellte haben nach DSGVO dieselben Rechte in Bezug auf Datenschutz wie alle anderen Personen auch. Notwendig sind nach Art. 88 Abs. 2 DSGVO angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. Zu berücksichtigen sind dabei die Transparenz der Verarbeitung, die Übermittlung personenbezogener Date...mehr

Eine weitere Aufgabe für Beauftragte ist die Unterrichtung und Beratung in allen datenschutzrechtlichen Fragen (Art. 39 Abs. 1 Buchst. a DSGVO). Diese Aufgabe ist nach innen gerichtet: Als interne Ansprechpartner stehen sie sowohl der Leitungsebene als auch allen Beschäftigten zur Verfügung. Dabei sollen sie über den Umgang mit personenbezogenen Daten aufklären und gesetzlic...mehr

Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben Datenschutzbeauftragter nach den Art. 37, 38 und 39 DSGVO. Für öffentliche Stellen in Deutschland gilt zusätzlich das BDSG. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Das bedeutet, dass das BDSG Lücken der DSGVO schließt und sie für landesspezifische Anwendungsfä...mehr

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) Bitkom-Leitfaden Backup & Restore Auf der Bitkom-Website kann ein Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung heruntergeladen werden, der zu den Vorgaben in Art. 32 und 35 DSGVO erarbeitet wurde.mehr

Nach Art. 30 DSGVO muss in jedem Unternehmen, jeder Organisation und Behörde ein Verzeichnis geführt werden, das auflistet, welche personenbezogenen Daten zu welchen Zwecken und wie verarbeitet werden. Dieses Verzeichnis müssen zwar auf den ersten Blick nur Unternehmen und Einrichtungen mit mehr als 250 Beschäftigten führen. Auf den zweiten Blick aber gelten laut Art. 30 Abs...mehr

Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, sind i. d. R. die Aufsichtsbehörden zu unterrichten und oft auch die davon Betroffenen (Art. 33, 34 DSGVO). Die Durchführung der Meldung liegt in der Verantwortung der Unternehmens- oder Behördenleitung. Die Pflicht zur Meldung von Datenschutzverletzungen trifft den Verantwortlichen bzw. Auftragsvera...mehr

Ohne Daten keine Aussage. Die Aussagekraft eines Benchmarks steht und fällt mit der Größe und Qualität der Datenbasis. Die Methodik des Benchmarkings ist also eng mit der Methodik der Datenbankstrukturierung verwandt. Einzelvergleiche sind nämlich selten belastbar – eine breite Basis von Vergleichsdaten schafft dagegen statistische Relevanz und vermeidet Verzerrungen. Grunds...mehr

Auf Unternehmen, die Hochrisiko-KI-Systeme einsetzen, kommen vor allem folgende Pflichten zu: Menschliche Aufsicht durch kompetente, ausgebildete und befugte Personen sicherstellen und erforderliche Unterstützung gewähren. Hierfür sollen Schulungen angeboten werden.[1] Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer vor Inbetriebnahme oder Verwendung eines H...mehr