Fachbeiträge & Kommentare zu Datensicherheit

Ohne Daten keine Aussage. Die Aussagekraft eines Benchmarks steht und fällt mit der Größe und Qualität der Datenbasis. Die Methodik des Benchmarkings ist also eng mit der Methodik der Datenbankstrukturierung verwandt. Einzelvergleiche sind nämlich selten belastbar – eine breite Basis von Vergleichsdaten schafft dagegen statistische Relevanz und vermeidet Verzerrungen. Grunds...mehr

Die Krankenkassen sind verpflichtet, Angebote zur Förderung der digitalen Gesundheitskompetenz vorzusehen. Die Angebote sollen die Versicherten dazu befähigen, selbstbestimmte Entscheidungen über den Einsatz digitaler Innovationen im Rahmen der Krankenbehandlung zu treffen.[1] Die Nutzung digitaler oder telemedizinischer Anwendungen und Verfahren kann einen Beitrag zur weiter...mehr

Rz. 28 Der Buchführungspflichtige hat die freie Wahl hinsichtlich des gewählten Buchführungssystems.[1] Allerdings muss es sich zumindest um eine kaufmännische Buchführung also um die "einfache" oder "doppelte" Buchführung, handeln, die eine Gewinnermittlung zulässt. Die "kameralistische" Buchführung, die im Wesentlichen nur einen Nachweis der Einnahmen und Ausgaben darstell...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Überblick Digitale Technologien und telemedizinische Verfahren sind mittlerweile im Gesundheitswesen weit verbreitet. Auch in der zukunftsorientierten Arbeitsmedizin sind in Ergänzung der bestehenden Betreuungsformen bereits zahlreiche Anwendungsgebiete der Telematik identifiziert. Ziel muss eine sichere Anwendung und eine breite Akzeptanz der Instrumente sein – insbesondere...mehr

mehr

Der Arbeitgeber muss die Lohnsteuer, die er im Laufe eines Kalenderjahres einzubehalten hat, bis zum 10. des Folgemonats an das Betriebsstättenfinanzamt abführen. Der Arbeitgeber muss die Lohnsteuer-Anmeldung elektronisch übermitteln. Das zu verwendende Erklärungsformular sowie die erforderlichen Eintragungen sind als Muster-Anmeldung jährlich im Bundessteuerblatt abgedruckt...mehr

mehr

Gesetzestext (1) Zur Erfassung des anteiligen Wärmeverbrauchs sind Wärmezähler oder Heizkostenverteiler, zur Erfassung des anteiligen Warmwasserverbrauchs Warmwasserzähler zu verwenden. Soweit nicht eichrechtliche Bestimmungen zur Anwendung kommen, dürfen nur solche Ausstattungen zur Verbrauchserfassung verwendet werden, hinsichtlich derer sachverständige Stellen bestätigt ...mehr

Die Daten werden vom Arbeitgeber bzw. Steuerberater ausschließlich zum konkreten Zweck der Durchführung der einzelnen Betriebsprüfung nach § 28p SGB IV übermittelt. Eine regelmäßig wiederkehrende Datenübermittlung oder eine anlasslose Bevorratung der Arbeitgeberdaten erfolgt nicht. Die Speicherung erfolgt für die Dauer der Betriebsprüfung ausschließlich in speziell gesicherte...mehr

Der Gesetzgeber hat in § 8 Abs. 2 BVV geregelt, welche ergänzenden Unterlagen in elektronischer Form zu den Entgeltunterlagen zu nehmen sind. Zu den begleitenden Entgeltunterlagen gehören Unterlagen zur Versicherungspflicht/Versicherungsfreiheit, zur Staatsangehörigkeit, zur Mitgliedschaft bei der Krankenkasse, zur Entsendung und auch Stundenaufzeichnungen. Es fallen u. a. fo...mehr

Um Betrügereien im Taxigewerbe einzudämmen, können die im Taxameter erzeugten Daten durch den Einsatz sog. Fiskaltaxameter geschützt werden. Dabei handelt es sich um technische Implantate, die Daten zentral speichern, gegen unkontrollierten Zugriff, nachträgliche Veränderungen und Verlust sichern sollen. Mittlerweile ist das Thema der "Datensicherheit" im Taxi- und Mietwagen...mehr

Die Übersendung der Daten erfolgt medienbruchfrei und im Online-Verfahren unter Nutzung des eXTra-Standards (einheitliches XML-basiertes Transportverfahren). Dieser Standard wurde unter Federführung des Bundesministeriums für Wirtschaft und Technologie (BMWi) entwickelt und richtet sich insbesondere an Datenübermittlungsverfahren zwischen Wirtschaft und Verwaltung. Die Daten ...mehr

I. Typischer Sachverhalt Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weit...mehr

Rz. 73 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

Rz. 68 Das Bayerische Staatsministerium des Innern hat einen Mustervertrag zur Auftragsverarbeitung veröffentlicht, der auf den sog. "Standardvertragsklauseln" der EU-Kommission beruht. Dieser Entwurf des Bayerischen Staatsministeriums ist aus Praktikabilitätsgründen schlanker gehalten, s. https://www.stmi.bayern.de/assets/stmi/sus/datensicherheit/muster_einer_vereinbarung_z...mehr

Rz. 94 Die Art und Weise, in der eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erh...mehr

mehr

1. Überblick Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwor...mehr

Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwortliche muss ...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 78 Mit der DSGVO hat der Gesetzgeber die Verpflichtung eingeführt, Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst aber binnen 72 Stunden zu melden. Darüber hinaus müssen Unternehmen eine solche Datenpanne den Betroffenen umgehend melden, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich ...mehr

Rz. 90 Eine umgehende Information des Betroffenen über den Datenverlust ist nach Art. 34 Abs. 1 DSGVO im Fall eines voraussichtlich bestehenden hohen Risikos für die Rechte und Freiheiten für den Betroffenen erforderlich. Von dieser Benachrichtigungspflicht sieht Art. 34 Abs. 3 DSGVO Ausnahmen vor. Eine Meldung gegenüber dem Betroffenen ist nicht erforderlich, sofern durch t...mehr

Rz. 97 Das Bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Aus...mehr

Rz. 23 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.1: Richtlinie zum Datenschutz Organisationsanweisung Datenschutz der _________________________ [Firma, Rechtsform] Adressat: _________________________ Datum: _________________________ Datenschutzrichtlinie der _________________________ – Organisationsanweisung Datenschutz Änderungshistoriemehr

Rz. 80 Nach Art. 4 Nr. 12 DSGVO umfasst der Begriff Verletzung des Schutzes personenbezogener Daten die unbefugte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten. Zudem ist auch die unbefugte Vernichtung, der Verlust oder die unbefugte Veränderung personenbezogener Daten als eine Verletzung des Schutzes personenbezogener Daten anzusehen. Regelmäßig wird...mehr

Rz. 87 Die Frist für die Meldung bei der Aufsichtsbehörde beträgt 72 Stunden nach Bekanntwerden der Verletzung. Nach Ansicht der Aufsichtsbehörden ist dem Verantwortlichen ein Vorfall bekannt, sofern eine hinreichende Gewissheit darüber besteht, dass ein Sicherheitsvorfall aufgetreten ist.[58] Letztlich hängt diese Frage auch von den konkreten Umständen der Datenschutzverlet...mehr

Rz. 93 Der Verantwortliche sollte alle Maßnahmen treffen, um den eingetretenen Datenverlust umgehend zu beseitigen bzw. die Auswirkungen auf den Betroffenen zu reduzieren. Aufsichtsbehörden für den Datenschutz fragen in den online vorgehaltenen Meldebögen regelmäßig, ob das Unternehmen entsprechende Maßnahmen zur Reduzierung der Auswirkungen des Datenverlustes auf den Betrof...mehr

Rz. 82 Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern die Datenschutzverletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten des Betroffenen führt. Das Risiko, das Besteh...mehr

Rz. 145 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.7: Datenschutzhinweise für eine Webseite Datenschutzhinweise In diesen Datenschutzhinweisen wird die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung der Webseite von _________________________ beschrieben. Zudem enthalten diese Informationen zu den Rechten, die Ihnen zustehen, und wie Sie uns ko...mehr

Rz. 10d Der GKV-Spitzenverband legt bis zum 31.1.2018 in einer Richtlinie Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme fest (Satz 1). Diese Richtlinie ist für die Krankenkassen verbindlich und bei Kontakten mit ihren Versicherten anzuwenden. Bestehende Regelungen gewährleisten bereits den Schutz von Sozialdaten vor unbefugtem Zugriff (z....mehr

Der Einsatz generativer KI, etwa Sprachmodelle wie ChatGPT, eröffnet in Change-Prozessen erhebliche Potenziale für Effizienz und Personalisierung. Standardformate wie E-Mails oder Change-FAQs können schneller erstellt, zielgruppenspezifisch angepasst und zeitnah verbreitet werden – ein Vorteil besonders in frühen Phasen des Wandels, wenn Unsicherheit herrscht und Information...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Alternativ zu einer Betriebsvereinbarung, die die Überwachungs- und Protokollmöglichkeiten mit dem Betriebsrat abstimmt, kann jedes Unternehmen eine Dienstanweisung "Elektronische Kommunikationssysteme und informationstechnische Infrastruktur" an seine Mitarbeiter herausgeben, die die Nutzung des Unternehmensnetzwerks, von Internet und E-Mail-Diensten transparent macht und r...mehr

Eine Mitarbeiterbefragung ist eine anonyme und überwiegend strukturierte Befragung aller Mitarbeiter mit Blick auf ihre Verbundenheit zum Unternehmen, sowie zur Wichtigkeit und Zufriedenheit mit relevanten Themen rund um Kultur, Führung und Atmosphäre im Unternehmen, das Arbeitsverhältnis und die Arbeitsbedingungen. Es geht also um eine Gesamtsicht und nicht um den einzelnen...mehr

Rz. 154 Der Zahlungsbericht ist jährlich (§ 341s Abs. 1 HGB) und dabei in Übereinstimmung mit dem jeweiligen Gj aufzustellen (§ 341r Nr. 8 HGB). Damit sind auch verkürzte Berichtszeiträume denkbar, wenn ein Rumpfgeschäftsjahr eingefügt wird. Diese Regelung ist ausweislich des Gesetzesentwurfs erforderlich, damit die Rechnungslegung eines Unt einheitlich erstellt wird und nac...mehr

Rz. 49 Die Buchführung auf Datenträgern ist nach § 239 Abs. 4 HGB zulässig; als Datenträger kommen infrage: Mikrofilm oder andere Bildträger und EDV-Datenträger. Rz. 50 Bei der Mikrofilm-Buchführung erfolgt die Dokumentation der Buchführung nicht in Papierform, sondern auf Mikrofilm; diese Form der Buchführung spielt in der heutigen Praxis keine wesentliche Rolle mehr. E-Rechnun...mehr

Viele der Stolperfallen und Fehler kennen Sie aus anderen (IT-) Projekten – sie sind immer ähnlich und finden leider trotz allem überall statt. Deshalb finden Sie hier zum Abschluss unseres Leitfadens die Top-11 der häufigsten „Eigentore“, die Sie vermeiden sollten. Sie vergessen, den Betriebsrat (rechtzeitig) einzubinden. Sie denken zu spät an Themen wie Datensicherheit, Daten...mehr

In diesem letzten Schritt der IST-Analyse entsteht eine Übersicht über IT-Lösungen, die aktuell im Einsatz sind. Hierfür kann die Aufgabenübersicht aus Schritt 2.4 genommen werden und die bereits eingesetzte Software beim jeweiligen Arbeitspaket ergänzt werden. Bei der Recherche sollte sich das Projektteam zunächst auf Software konzentrieren, die im Personalwesen genutzt wird...mehr

Rn 155 Originale (§ 556 IV 2). Der Mieter hat grds das Recht, die Originale einzusehen (BGH ZMR 22, 280 Rz 13 ff; s.a. BTDrs 20/11306, 100). Der Vermieter ist nach § 556 IV 2 aber nicht daran gehindert, Originalbelege zB einzuscannen oder anders zu digitalisieren (Scan- und Datensicherheit soll zB die TR-RESISCAN abbilden [www.bsi.bund.de/resiscan], dann zu vernichten und dem...mehr

Gesetzestext (1) 1Die Landesregierungen können durch Rechtsverordnung bestimmen, dass und in welchem Umfang das Vereinsregister in maschineller Form als automatisierte Datei geführt wird. 2Hierbei muss gewährleistet sein, dassmehr

Rz. 12f Abs. 2a schafft eine Rechtsgrundlage für die Zusammenarbeit mehrerer Träger, z. B. in den Jugendberufsagenturen. Damit sollen insbesondere Bedenken in Bezug auf die zulässige Datenübermittlung ausgeräumt werden. Die in der Gesetzesbegründung genannten Jugendberufsagenturen stellen keine abschließende Benennung dar, es ist vielmehr davon auszugehen, dass alle Bündniss...mehr

Das Unternehmen muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden.[1] Das gilt auch, wenn der Mitarbeiter Daten in seinem Homeoffice oder an seinem Arbeitslatz bearbeitet. Insofern muss ähnlich wie beim Arbeitsschutz auch hier das Unternehmen die erforderlichen Maßnahmen treffen, die entsprechenden Daten zu schützen.[2] Dies kann praktisch ...mehr

Rz. 3 Die Vorschrift ergänzt Regelungen im BBiG. Die Ausbildungsvermittlungsstatistik soll im Ergebnis aus den nach dem BBiG zu erstellenden Unterlagen generiert werden. Die Vorschrift unterstützt damit ein generelles Anliegen des Gesetzgebers auch in § 282a, nach Möglichkeit erforderliche Erkenntnisse aus bereits vorhandenen Verwaltungsdaten zu gewinnen und auf stattdessen ...mehr

Zusammenfassung Die neueste Fassung des chinesischen Gesellschaftsgesetzes hat sowohl den Kreis der verpflichteten Organe als auch den inhaltlichen Haftungsrahmen erweitert. Es haften nun Senior Manager ((stellvertretende) Geschäftsführer, Finanzverantwortliche und anderes Personal, das in der Satzung des Unternehmens als Senior Manager bezeichnet wird (z. B. Abteilungsleite...mehr

Das Verfahren ist relativ einfach: Nach der Registrierung der beteiligten Parteien und der Einrichtung eines Datenraums kann die eine Verfahrenspartei Daten und Informationen in den entsprechenden Datenraum der Steuercloud einstellen. Die andere Partei kann diese anschließend von dort herunterladen. Die Steuerclouds der Finanzverwaltungen ermöglichen einen Datenaustausch zwis...mehr

Meist wird eine Konzeption des Angebots von zusätzlichen Leistungen nicht auf der "grünen Wiese" erfolgen. In Abhängigkeit von einigen Faktoren wie Alter, Größe und Entwicklung in Form von an-/organischem Wachstum etc., gibt es im Unternehmen meist ein Sammelsurium an zusätzlichen Leistungen. Dies gilt insbesondere, wenn das Unternehmen tariflich gebunden und darüber hinaus ...mehr

Ein strukturierter und gut gesteuerter Datenerhebungsprozess ist essenziell für eine präzise CO2-Bilanzierung sowie für die Entwicklung und Umsetzung wirksamer Klimastrategien. Nur wenn Zuständigkeiten, Datenflüsse, Speicherorte und Zugriffsrechte eindeutig geregelt sind, lassen sich Nachhaltigkeitsdaten effizient, regelkonform und vertrauenswürdig verarbeiten. Dabei ist die...mehr

Gesetzestext Das Bundesministerium der Justiz und für Verbraucherschutz hat durch Rechtsverordnung mit Zustimmung des Bundesrates die näheren Bestimmungen über die Einrichtung und Führung des Registers, über die Einreichung von Schutzschriften zum Register, über den Abruf von Schutzschriften aus dem Register sowie über die Einzelheiten der Datenübermittlung und -speicherung...mehr