Fachbeiträge & Kommentare zu Datensicherheit

Das sogenannte Corporate Owned, Personally Enabled ("unechtes" BYOD) ist ähnlich wie das Choose Your Own Device aufgestellt. Der Arbeitnehmer hat allerdings kein Auswahlrecht hinsichtlich des Geräts. Der Vorteil für den Arbeitgeber liegt darin, dass er ein einheitliches Modell für alle Arbeitnehmer wählen kann und ein geringer administrativer Aufwand auf Arbeitgeberseite bes...mehr

Bei der Bereitstellung von Mobilgeräten sind die Vorgaben des Datenschutzrechts zu beachten. Dies gilt unabhängig davon, für welches Bereitstellungsmodell sich ein Unternehmen entscheidet, denn bei der Nutzung von Mobilgeräten für betriebliche Zwecke werden regelmäßig personenbezogene Daten von Mitarbeitern, Kunden oder Geschäftspartnern verarbeitet, etwa E-Mail-Adressen, Te...mehr

Unbestritten ist, dass die Künstliche Intelligenz (KI) nicht nur über die internationale Wettbewerbsfähigkeit der Unternehmen bestimmen wird. Auch kleinere und mittelständische Unternehmen müssen sich mittelfristig im nationalen Wettbewerb an ihrer KI-Kompetenz messen lassen. Fakt ist allerdings, dass Sie dabei auf die Kompetenzen und die individuelle Flexibilität Ihrer einz...mehr

Rz. 19 Hamacher/Katzenbeisser/Kussel/Stammler, Genomische Daten und der Datenschutz, Zeitschrift Datenschutz und Datensicherheit, Ausgabe 2/2020, Zusammenfassung: link.springer.com. Lorenz, Die "ePA für alle" zwischen Gesundheits- und Datenschutz, GuP 2023, 165.mehr

Rz. 34 Die Krankenkassen stellen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die Krankenkassen sind befugt, für die Identifizierung Daten aus dem Personalausweis oder dem Pass auszulesen und zu verarbeiten (Satz 2). Die digitale Identität ist nicht an eine Chipkarte g...mehr

Rz. 1 Die Vorschrift wurde durch das Patientendaten-Schutz-Gesetz v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt und zuletzt geändert durch Art. 3 Nr. 32a des Gesetzes zur Befugniserweiterung und Entbürokratisierung in der Pflege v. 22.12.2025 (BGBl. I Nr. 371) zum 1.1.2024. Rz. 2 Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Tel...mehr

Rz. 33 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 3 Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftr...mehr

Nachrichtenprogramme (sog. Messenger) haben mit den Smartphones eine weite Verbreitung erfahren. Es ist inzwischen Standard geworden, der eigentlichen Textnachricht Anhänge unterschiedlichster Art – und damit auch Rechnungen – beifügen zu können. Eine Reihe von Messengern bietet auch die sog. Ende-zu-Ende-Verschlüsselung, die es gewährleistet, dass die Daten der jeweiligen N...mehr

Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Personaleinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – was Betriebe erkannt haben: Studien[1] zufolge ...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand in einem Betrieb, in dem die Risiken für die Informationssicherheit, die beim Einsatz von digitalen Technologien aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Secur...mehr

Die Gründe hierfür liegen in der grundlegend neuen Leistungsfähigkeit von KI-Technologien. Was dies konkret bedeutet und welche Konsequenzen sich daraus für die Datensicherheit ergeben, zeigt Tab. 2:mehr

Das schnelle Wachstum von Rechenleistung und Speicherkapazität, längere Akkulaufzeiten, steigende Übertragungsbandbreiten sowie das Zusammenspiel intelligenter Sensoren, Aktoren und Algorithmen im Rahmen von KI-Technologien fördern die Vernetzung und Integration von Informations- und Kommunikationstechnik. Dies führt zur Entstehung des Internets der Dinge und Dienste (cyber-...mehr

Die folgenden 3 Szenarien veranschaulichen, welche Auswirkungen mangelnde Datensicherheit für Unternehmen haben kann. 2.1 Nutzung privater mobiler Endgeräte/Arbeiten mit Cloud Computing In einem Dachdeckerbetrieb werden Smartphones und Tablets auch im Arbeitskontext eingesetzt, und zwar zur Baustellensteuerung sowie zur Zeiterfassung. Die mobil erfassten Daten, z. B. zu Projek...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien aus den vorangegangenen Kapiteln erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Mögliche Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass Datensicherh...mehr

Der Einsatz von Cloud-Diensten erweitert und verändert das Feld der Datensicherheit. So wurden in einem Architekturbüro mehrere Cloud-Services unterschiedlicher Anbieter genutzt. Zum einen wurden Softwareprodukte (Stichwort "Software as a Service (SaaS)"), hauptsächlich Office-Anwendungen, per Cloud genutzt. SaaS-Produkte müssen nicht auf eigenen Rechnern lokal installiert u...mehr

Datensicherheit in Unternehmen erfordert eine systematische und ganzheitliche Betrachtung. Es ist nicht möglich, durch allein technisch gelagerte Maßnahmen ein ausreichendes Sicherheitsniveau herzustellen. Daher werden in diesem Kapitel neben technischen auch organisatorische und personelle Maßnahmen beschrieben. Damit soll die Sicherheit im Umgang mit sämtlichen Daten verbe...mehr

Überblick Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken im Griff zu beh...mehr

Der konkrete Zuständigkeitsbereich der Sifa im Hinblick auf Aufgaben der Datensicherheit sollte mit der Unternehmensleitung festgelegt und schriftlich dokumentiert werden. Ansonsten können Doppelarbeiten und Versäumnisse – und letztlich auch Gefährdungen für den sicheren Ablauf der Systeme – die Folge sein. Es ist sinnvoll, die Zuständigkeitsbereiche regelmäßig zu prüfen. Gg...mehr

Der Geltungsbereich für Schutzmaßnahmen sollte definiert werden, indem festgelegt wird, welche smarten Geräte hinsichtlich des Umgangs mit Daten überprüft werden müssen. Damit verbunden ist auch zu definieren, welche spezifischen Sicherheitsanforderungen die Geräte, z. B. auch eine Cloud und die über die Cloud geregelten Prozesse, erfüllen müssen. Die Sifa kann den Unternehm...mehr

Zusammenfassung Überblick Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken ...mehr

Neben technischen und organisatorischen Aspekten ist es auch Aufgabe der Sifa, die Auswirkungen der Technologien auf den Menschen zu beurteilen – positiv wie negativ. Hintergrund ist, dass Führungskräfte und Beschäftigte im Umgang mit 4.0-Technologien entlastet oder auch zusätzlich belastet werden, sich der Umgang miteinander wandelt und sich das Verhältnis jedes Einzelnen z...mehr

Ein Werkzeugmaschinenhersteller setzt für die Fertigung von Ersatzteilen die 3D-Druck-Technologie ein. Dafür wurden bei einem Online-Anbieter 3D-Druckvorlagen eingekauft. Diese Praxis wurde für den Druck einiger Stücke durchlaufen, bis ein Ausfall mehrerer CNC-Maschinen sowie Unregelmäßigkeiten auf den PCs die Produktion völlig lahmlegten. Angriffsflächen gab es durch Verbin...mehr

In einem Dachdeckerbetrieb werden Smartphones und Tablets auch im Arbeitskontext eingesetzt, und zwar zur Baustellensteuerung sowie zur Zeiterfassung. Die mobil erfassten Daten, z. B. zu Projektfortschritt und verwendetem Material, landen in Echtzeit auf dem Server des Betriebs. Die Mitarbeitenden können somit Informationen zum Auftrag, aktuelle Änderungen und sämtliche Doku...mehr

Überblick Digitale Technologien und telemedizinische Verfahren sind mittlerweile im Gesundheitswesen weit verbreitet. Auch in der zukunftsorientierten Arbeitsmedizin sind in Ergänzung der bestehenden Betreuungsformen bereits zahlreiche Anwendungsgebiete der Telematik identifiziert. Ziel muss eine sichere Anwendung und eine breite Akzeptanz der Instrumente sein – insbesondere...mehr

mehr

mehr

Für den erfolgreichen Einsatz von KI in der Kanzlei benötigen Mitarbeitende spezifische Kompetenzen, die über das klassische Fachwissen hinausgehen. Zunächst ist die Fähigkeit zur strukturierten Interaktion mit Sprachmodellen entscheidend. Gemeint ist damit insbesondere die Kompetenz, Fragestellungen präzise und zielgerichtet zu formulieren – ein Ansatz, der unter dem Begrif...mehr

Sobald KI-Systeme personenbezogene Daten verarbeiten – sei es Mandantendaten oder Daten der Mitarbeitenden – gelten vollumfänglich die Vorgaben der DSGVO. Deshalb müssen insbesondere: eine Rechtsgrundlage für die Verarbeitung vorliegen (Art. 6 DSGVO) – etwa die Erfüllung des Mandatsvertrags oder berechtigte Interessen, Auftragsverarbeitungsverträge mit KI-Dienstleistern geschlo...mehr

Rn. 36 Stand: EL 48 – ET: 02/2026 Nach Art. 80 Abs. 1 GG können die Bundesregierung, ein Bundesminister oder die Landesregierungen ermächtigt werden, Rechts-VO zu erlassen. Inhalt, Zweck und Ausmaß der erteilten Ermächtigung muss dabei im Gesetz bestimmt werden. Die jeweilige Rechtsgrundlage ist in betreffender VO anzugeben. Gemäß § 335 Abs. 7 Satz 1 ist das BMJV (zuvor: BMJ)...mehr

Wenn Kanzlei und Mandant gemeinsam KI-Systeme nutzen (z. B. Mandantenportal mit KI-Chat, KI-gestützte Belegprüfung oder gemeinsame Dokumentenplattform), sollten einige Punkte besonders beachtet werden: Klare Rollen- und Aufgabenverteilung Wer ist für welchen Arbeitsschritt zuständig (Datenerfassung, Prüfung, finale Freigabe)? Wo endet die Mandantenverantwortung (z. B. Bereitste...mehr

Auch in der IT-Abteilung müssen einige Prozesse angestoßen und überwacht werden: Sperren aller vorhandenen Mitarbeiter-Accounts (Software- und Web-Anwendungen), Telefonnummer und E-Mails sperren oder an Kollegen übertragen / weiterleiten, Intranet / Verteilerlisten pflegen und ggf. Nachfolger eintragen, Organigramme aktualisieren, Rückgabe von Firmenequipment überwachen (z. B. La...mehr

In Anhang 6.4 finden sich mehrere durch die ArbStättV-Reform 2016 eingefügte Neuregelungen. Denn die Verwendung mobiler Bildschirmgeräte in vielen verschiedenen Ausführungen hat sich stark ausgebreitet. Allerdings ist § 1 Abs. 5 Nr. 2 zu beachten, wonach tragbare Bildschirmgeräte für die ortsveränderliche Verwendung, die nicht regelmäßig an einem Arbeitsplatz verwendet werde...mehr

Der Datenschutz ist in der Telemedizin wie sonst in der Medizin auch gleichrangig zu beachten. Dies bedeutet im Besonderen sichere Übertragungswege, ein sparsamer Umgang mit personenbezogenen Daten, ein möglichst hoher Standard bei der Datenspeicherung und klar definierte Zugriffsrechte. Auch wenn wie bei einer herkömmlichen Behandlung von einer stillschweigenden Einwilligung...mehr

Bücher und die sonst erforderlichen Aufzeichnungen können auch auf Datenträgern geführt werden[1], soweit diese Form der Buchführung einschl. des dabei angewandten Verfahrens den GoB entspricht (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff – GoBD).[2] Technische Vorgaben oder ...mehr

Rz. 82 Für digitale Angebote sowie andere digitale Anwendungen nach dieser Vorschrift gelten die Anforderungen, die der Spitzenverband Bund der Pflegekassen in seiner Richtlinie nach § 17 Abs. 1a zur Durchführung von Beratungen für den Datenschutz und die Datensicherheit bestimmt hat, Satz 5. Rz. 83 Nach § 17 Abs. 1a erlässt der Spitzenverband Bund der Pflegekassen unter Bete...mehr

Rz. 79 Bei der Durchführung der Beratung als Videokonferenz gilt § 365 Abs. 1 Satz 1 SGB V, Satz 4 . Rz. 80 Nach § 365 Abs. 1 Satz 1 SGB V vereinbart die Kassenärztliche Bundesvereinigung mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik und der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfa...mehr

Rz. 2 Abs. 1 regelt die Pflegeberatung zugunsten der betroffenen pflegebedürftigen Person selbst. Satz 1 HS 1 gibt hierzu den Anspruch. Satz 1 HS 1 räumt dem Anspruchsberechtigten das Recht gegenüber der Pflegekassen ein, vor der erstmaligen Beratung unverzüglich einen zuständigen Pflegeberater benannt zu bekommen. Satz 2 macht Vorgaben zur Durchführung der Pflegeberatung. S...mehr

In Art. 28 DSGVO ist ein Vertrag oder ein anderes Rechtsinstrument mit dem Auftragsverarbeiter vorgeschrieben. Dieses kann in schriftlicher oder elektronischer Form geschlossen werden, muss aber die Nachweis- und Rechenschaftspflichten des Verantwortlichen erfüllen und – bei Cloud-/Datenverarbeitungsdiensten – zusätzlich die Vorgaben des EU Data Act zu Datenportabilität, Dat...mehr

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Ohne Daten keine Aussage. Die Aussagekraft eines Benchmarks steht und fällt mit der Größe und Qualität der Datenbasis. Die Methodik des Benchmarkings ist also eng mit der Methodik der Datenbankstrukturierung verwandt. Einzelvergleiche sind nämlich selten belastbar – eine breite Basis von Vergleichsdaten schafft dagegen statistische Relevanz und vermeidet Verzerrungen. Grunds...mehr

Vorschriften für die Buchführung und für Aufzeichnungen mittels elektronischer Aufzeichnungssysteme enthält die AO. Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz und der Unterlagen, sofern es sich bei letztgenannten Unterlagen um amtliche Urkunden oder handschriftlich zu unterschreibende nicht förmliche Präferenznachweise handelt, können genannten Unterlagen auch a...mehr

Die Krankenkassen sind verpflichtet, Angebote zur Förderung der digitalen Gesundheitskompetenz vorzusehen. Die Angebote sollen die Versicherten dazu befähigen, selbstbestimmte Entscheidungen über den Einsatz digitaler Innovationen im Rahmen der Krankenbehandlung zu treffen.[1] Die Nutzung digitaler oder telemedizinischer Anwendungen und Verfahren kann einen Beitrag zur weiter...mehr

Video: Datenschutz bei Homeoffice und Mobile Work Der Datenschutz im Homeoffice unterliegt denselben Anforderungen wie am innerbetrieblichen Arbeitsplatz und bei den innerbetrieblichen Abläufen. Im Rahmen des Homeoffice sind die öffentlich-rechtlichen Datenschutzvorschriften[1] zu beachten. Die Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in...mehr

Das Bundesministerium für Arbeit und Soziales ist ermächtigt, Einzelheiten der Unfallanzeige durch Rechtsverordnung zu regeln.[1] Es hat deshalb die geltende Unfallversicherungs-Anzeigeverordnung (UVAV) erlassen. Achtung Neuregelung zur Unfallanzeige ab 1.1.2024 Zum 1.1.2024 ist die "Verordnung zur Neuregelung der Anzeige von Versicherungsfällen" (UVAV 2024) in der gesetzliche...mehr

Rz. 28 Der Buchführungspflichtige hat die freie Wahl hinsichtlich des gewählten Buchführungssystems.[1] Allerdings muss es sich zumindest um eine kaufmännische Buchführung also um die "einfache" oder "doppelte" Buchführung, handeln, die eine Gewinnermittlung zulässt. Die "kameralistische" Buchführung, die im Wesentlichen nur einen Nachweis der Einnahmen und Ausgaben darstell...mehr

Der Arbeitgeber muss die Lohnsteuer, die er im Laufe eines Kalenderjahres einzubehalten hat, bis zum 10. des Folgemonats an das Betriebsstättenfinanzamt abführen. Der Arbeitgeber muss die Lohnsteuer-Anmeldung elektronisch übermitteln. Das zu verwendende Erklärungsformular sowie die erforderlichen Eintragungen sind als Muster-Anmeldung jährlich im Bundessteuerblatt abgedruckt...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Rz. 25 Mit Wirkung zum 9.6.2021 ist durch Abs. 2a Satz 1 vorgegeben, dass in den Verträgen nach Abs. 1 auch die Einzelheiten der Versorgung mit solchen Heilmitteln zu regeln sind, die in den jeweiligen Heilmittelbereichen telemedizinisch erbracht werden können. Für die Regelung im Vertrag ist den Vertragspartnern eine Frist bis zum 31.12.2021 gesetzt worden, bis zu der sie F...mehr