Fachbeiträge & Kommentare zu Datensicherheit

Rz. 87 Die Frist für die Meldung bei der Aufsichtsbehörde beträgt 72 Stunden nach Bekanntwerden der Verletzung. Nach Ansicht der Aufsichtsbehörden ist dem Verantwortlichen ein Vorfall bekannt, sofern eine hinreichende Gewissheit darüber besteht, dass ein Sicherheitsvorfall aufgetreten ist.[58] Letztlich hängt diese Frage auch von den konkreten Umständen der Datenschutzverlet...mehr

Rz. 97 Das Bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Aus...mehr

Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwortliche muss ...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 78 Mit der DSGVO hat der Gesetzgeber die Verpflichtung eingeführt, Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst aber binnen 72 Stunden zu melden. Darüber hinaus müssen Unternehmen eine solche Datenpanne den Betroffenen umgehend melden, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich ...mehr

Rz. 90 Eine umgehende Information des Betroffenen über den Datenverlust ist nach Art. 34 Abs. 1 DSGVO im Fall eines voraussichtlich bestehenden hohen Risikos für die Rechte und Freiheiten für den Betroffenen erforderlich. Von dieser Benachrichtigungspflicht sieht Art. 34 Abs. 3 DSGVO Ausnahmen vor. Eine Meldung gegenüber dem Betroffenen ist nicht erforderlich, sofern durch t...mehr

Rz. 23 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.1: Richtlinie zum Datenschutz Organisationsanweisung Datenschutz der _________________________ [Firma, Rechtsform] Adressat: _________________________ Datum: _________________________ Datenschutzrichtlinie der _________________________ – Organisationsanweisung Datenschutz Änderungshistoriemehr

Rz. 93 Der Verantwortliche sollte alle Maßnahmen treffen, um den eingetretenen Datenverlust umgehend zu beseitigen bzw. die Auswirkungen auf den Betroffenen zu reduzieren. Aufsichtsbehörden für den Datenschutz fragen in den online vorgehaltenen Meldebögen regelmäßig, ob das Unternehmen entsprechende Maßnahmen zur Reduzierung der Auswirkungen des Datenverlustes auf den Betrof...mehr

Rz. 82 Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern die Datenschutzverletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten des Betroffenen führt. Das Risiko, das Besteh...mehr

Rz. 145 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.7: Datenschutzhinweise für eine Webseite Datenschutzhinweise In diesen Datenschutzhinweisen wird die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung der Webseite von _________________________ beschrieben. Zudem enthalten diese Informationen zu den Rechten, die Ihnen zustehen, und wie Sie uns ko...mehr

Das Active Sourcing ist datenschutzrechtlich grundsätzlich zulässig, jedoch nicht frei von jedwedem Risiko. Arbeitgeber bzw. Unternehmen sollten daher folgendermaßen vorgehen: Prüfung der Rechtmäßigkeit der Datenerhebung (entweder durch Einwilligung oder Rechtfertigung bei öffentlichen Daten[1]) Blick in die AGB der Plattformen, auf denen Daten erhoben werden sollen Schaffen vo...mehr

Rz. 10d Der GKV-Spitzenverband legt bis zum 31.1.2018 in einer Richtlinie Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme fest (Satz 1). Diese Richtlinie ist für die Krankenkassen verbindlich und bei Kontakten mit ihren Versicherten anzuwenden. Bestehende Regelungen gewährleisten bereits den Schutz von Sozialdaten vor unbefugtem Zugriff (z....mehr

Der Einsatz generativer KI, etwa Sprachmodelle wie ChatGPT, eröffnet in Change-Prozessen erhebliche Potenziale für Effizienz und Personalisierung. Standardformate wie E-Mails oder Change-FAQs können schneller erstellt, zielgruppenspezifisch angepasst und zeitnah verbreitet werden – ein Vorteil besonders in frühen Phasen des Wandels, wenn Unsicherheit herrscht und Information...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Alternativ zu einer Betriebsvereinbarung, die die Überwachungs- und Protokollmöglichkeiten mit dem Betriebsrat abstimmt, kann jedes Unternehmen eine Dienstanweisung "Elektronische Kommunikationssysteme und informationstechnische Infrastruktur" an seine Mitarbeiter herausgeben, die die Nutzung des Unternehmensnetzwerks, von Internet und E-Mail-Diensten transparent macht und r...mehr

Eine Mitarbeiterbefragung ist eine anonyme und überwiegend strukturierte Befragung aller Mitarbeiter mit Blick auf ihre Verbundenheit zum Unternehmen, sowie zur Wichtigkeit und Zufriedenheit mit relevanten Themen rund um Kultur, Führung und Atmosphäre im Unternehmen, das Arbeitsverhältnis und die Arbeitsbedingungen. Es geht also um eine Gesamtsicht und nicht um den einzelnen...mehr

Rz. 154 Der Zahlungsbericht ist jährlich (§ 341s Abs. 1 HGB) und dabei in Übereinstimmung mit dem jeweiligen Gj aufzustellen (§ 341r Nr. 8 HGB). Damit sind auch verkürzte Berichtszeiträume denkbar, wenn ein Rumpfgeschäftsjahr eingefügt wird. Diese Regelung ist ausweislich des Gesetzesentwurfs erforderlich, damit die Rechnungslegung eines Unt einheitlich erstellt wird und nac...mehr

Rz. 49 Die Buchführung auf Datenträgern ist nach § 239 Abs. 4 HGB zulässig; als Datenträger kommen infrage: Mikrofilm oder andere Bildträger und EDV-Datenträger. Rz. 50 Bei der Mikrofilm-Buchführung erfolgt die Dokumentation der Buchführung nicht in Papierform, sondern auf Mikrofilm; diese Form der Buchführung spielt in der heutigen Praxis keine wesentliche Rolle mehr. E-Rechnun...mehr

Viele der Stolperfallen und Fehler kennen Sie aus anderen (IT-) Projekten – sie sind immer ähnlich und finden leider trotz allem überall statt. Deshalb finden Sie hier zum Abschluss unseres Leitfadens die Top-11 der häufigsten „Eigentore“, die Sie vermeiden sollten. Sie vergessen, den Betriebsrat (rechtzeitig) einzubinden. Sie denken zu spät an Themen wie Datensicherheit, Daten...mehr

In diesem letzten Schritt der IST-Analyse entsteht eine Übersicht über IT-Lösungen, die aktuell im Einsatz sind. Hierfür kann die Aufgabenübersicht aus Schritt 2.4 genommen werden und die bereits eingesetzte Software beim jeweiligen Arbeitspaket ergänzt werden. Bei der Recherche sollte sich das Projektteam zunächst auf Software konzentrieren, die im Personalwesen genutzt wird...mehr

Gesetzestext (1) 1Die Landesregierungen können durch Rechtsverordnung bestimmen, dass und in welchem Umfang das Vereinsregister in maschineller Form als automatisierte Datei geführt wird. 2Hierbei muss gewährleistet sein, dassmehr

Rn 155 Originale (§ 556 IV 2). Der Mieter hat grds das Recht, die Originale einzusehen (BGH ZMR 22, 280 Rz 13 ff; s.a. BTDrs 20/11306, 100). Der Vermieter ist nach § 556 IV 2 aber nicht daran gehindert, Originalbelege zB einzuscannen oder anders zu digitalisieren (Scan- und Datensicherheit soll zB die TR-RESISCAN abbilden [www.bsi.bund.de/resiscan], dann zu vernichten und dem...mehr

Das Unternehmen muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden.[1] Das gilt auch, wenn der Mitarbeiter Daten in seinem Homeoffice oder an seinem Arbeitslatz bearbeitet. Insofern muss ähnlich wie beim Arbeitsschutz auch hier das Unternehmen die erforderlichen Maßnahmen treffen, die entsprechenden Daten zu schützen.[2] Dies kann praktisch ...mehr

Rz. 3 Die Vorschrift ergänzt Regelungen im BBiG. Die Ausbildungsvermittlungsstatistik soll im Ergebnis aus den nach dem BBiG zu erstellenden Unterlagen generiert werden. Die Vorschrift unterstützt damit ein generelles Anliegen des Gesetzgebers auch in § 282a, nach Möglichkeit erforderliche Erkenntnisse aus bereits vorhandenen Verwaltungsdaten zu gewinnen und auf stattdessen ...mehr

Zusammenfassung Die neueste Fassung des chinesischen Gesellschaftsgesetzes hat sowohl den Kreis der verpflichteten Organe als auch den inhaltlichen Haftungsrahmen erweitert. Es haften nun Senior Manager ((stellvertretende) Geschäftsführer, Finanzverantwortliche und anderes Personal, das in der Satzung des Unternehmens als Senior Manager bezeichnet wird (z. B. Abteilungsleite...mehr

Das Verfahren ist relativ einfach: Nach der Registrierung der beteiligten Parteien und der Einrichtung eines Datenraums kann die eine Verfahrenspartei Daten und Informationen in den entsprechenden Datenraum der Steuercloud einstellen. Die andere Partei kann diese anschließend von dort herunterladen. Die Steuerclouds der Finanzverwaltungen ermöglichen einen Datenaustausch zwis...mehr

Meist wird eine Konzeption des Angebots von zusätzlichen Leistungen nicht auf der "grünen Wiese" erfolgen. In Abhängigkeit von einigen Faktoren wie Alter, Größe und Entwicklung in Form von an-/organischem Wachstum etc., gibt es im Unternehmen meist ein Sammelsurium an zusätzlichen Leistungen. Dies gilt insbesondere, wenn das Unternehmen tariflich gebunden und darüber hinaus ...mehr

Ein strukturierter und gut gesteuerter Datenerhebungsprozess ist essenziell für eine präzise CO2-Bilanzierung sowie für die Entwicklung und Umsetzung wirksamer Klimastrategien. Nur wenn Zuständigkeiten, Datenflüsse, Speicherorte und Zugriffsrechte eindeutig geregelt sind, lassen sich Nachhaltigkeitsdaten effizient, regelkonform und vertrauenswürdig verarbeiten. Dabei ist die...mehr

Gesetzestext Das Bundesministerium der Justiz und für Verbraucherschutz hat durch Rechtsverordnung mit Zustimmung des Bundesrates die näheren Bestimmungen über die Einrichtung und Führung des Registers, über die Einreichung von Schutzschriften zum Register, über den Abruf von Schutzschriften aus dem Register sowie über die Einzelheiten der Datenübermittlung und -speicherung...mehr

(1) 1Das Schuldnerverzeichnis wird für jedes Land von einem zentralen Vollstreckungsgericht geführt. 2Der Inhalt des Schuldnerverzeichnisses kann über eine zentrale und länderübergreifende Abfrage im Internet eingesehen werden. 3Die Länder können Einzug und Verteilung der Gebühren sowie weitere Abwicklungsaufgaben im Zusammenhang mit der Abfrage nach Satz 2 auf die zuständi...mehr

Gesetzestext Das Bundesministerium der Justiz wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die näheren Einzelheiten zum Verbandsklageregister zu regeln, insbesondere Bestimmungen über Inhalt, Aufbau, Führung und Art des Betriebs des Verbandsklageregisters, die Einreichung, Eintragung, Änderung und Vernichtung der im Verbandsklageregister erfassten...mehr

Gesetzestext (1) Das Musterverfahrensregister wird im Bundesanzeiger unter der Rubrik ›Register nach dem Kapitalanleger-Musterverfahrensgesetz‹ geführt. (2) Die Einsicht in das Musterverfahrensregister steht jedem unentgeltlich zu. (3) Das Gericht, das die Bekanntmachung veranlasst, trägt die datenschutzrechtliche Verantwortung für die von ihm im Musterverfahrensregister beka...mehr

Vom 26.7.12 (BGBl I S 1663, geändert durch Art 7 G v. 15.7.24, BGBl I Nr 237) Gesetzestext Diese Verordnung gilt für Vermögensverzeichnisse, die nach § 802f Absatz 8 der Zivilprozessordnung oder nach § 284 Absatz 7 Satz 4 der Abgabenordnung zu hinterlegen sind. Sie gilt ferner für Vermögensverzeichnisse, die aufgrund einer bundes- oder landesgesetzlichen Regelung errichtet wo...mehr

Rn 2 Der Gesetzgeber hat wichtige normative Voraussetzungen für einen elektronischen Zivilprozess geschaffen. Neben § 128a lassen §§ 130a, 130b, 130c sowie § 130d elektronische Dokumente zu. Gleiches gilt für die elektronische Rechtsmitteleinlegung (§§ 519 IV, 520 V, 525, 549 II, 551 IV). Das Protokoll in elektronischer Form sieht § 160a mit § 130b vor. Für die Beweisaufnahm...mehr

(1) 1Nach § 802f Absatz 8 dieses Gesetzes oder nach § 284 Abs. 7 Satz 4 der Abgabenordnung zu hinterlegende Vermögensverzeichnisse werden landesweit von einem zentralen Vollstreckungsgericht in elektronischer Form verwaltet. 2Die Vermögensverzeichnisse können über eine zentrale und länderübergreifende Abfrage im Internet eingesehen und abgerufen werden. 3Gleiches gilt für V...mehr

Damit die Datensicherheit gewährleistet ist, sollte dafür gesorgt sein, dass die Buchführungsdaten ausreichend oft gespeichert sind und die Sicherungen an verschiedenen Orten aufbewahrt werden.[1] Andernfalls ist bei einem Datenverlust die Buchführung nicht mehr formell ordnungsgemäß.[2] Dies berechtigt das Finanzamt u. U. zu einer Schätzung.[3]mehr

So wie die Buchhaltungsdaten in Papierform sicher aufbewahrt werden müssen, müssen auch elektronische Daten sicher archiviert sein. Sie müssen während der Aufbewahrungsfrist jederzeit unverändert und lesbar zur Verfügung stehen. Ist das nicht oder nicht mehr möglich, ist die Buchhaltung nicht oder nicht mehr ordnungsgemäß.[1] Das ist beispielsweise der Fall, wenn der Unterne...mehr

Das Unternehmen muss die gesetzlichen Anforderungen an den Gesundheitsschutz am Arbeitsplatz sicherstellen, ebenso muss auch beim mobilen Arbeiten der Datenschutz einschließlich angemessener Maßnahmen zum Schutz von Geschäftsgeheimnissen eingehalten werden. Das heißt: Mitarbeiter sind unabhängig vom Arbeitsort verpflichtet, im Sinne des Datenschutzes, der Datensicherheit und...mehr

Co-Working-Spaces sind zumeist von externen Anbietern an Freiberufler, einzelne Gewerbetreibende und Mitarbeiter verschiedener Unternehmen vermietete sofort benutzbare Büroräume. Sie ermöglichen einen Arbeitsplatz auf Zeit. Dabei ist eine stundenweise Mietdauer genauso möglich wie über Monate oder auch Jahre. In Co-Working-Büros steht den Nutzern eine komplett eingerichtete ...mehr

Rn. 79 Stand: EL 182 – ET: 07/2025 § 68 Abs 5 S 2 EStG enthält für das BMF die Ermächtigung, durch Rechts-VO ohne Zustimmung des BR zur Durchführung von automatisierten Abrufen nach § 68 Abs 5 S 1 EStG die Voraussetzungen festzulegen, unter denen ein Datenabruf erfolgen kann. Von dieser Ermächtigung hat das BMF durch die VO zur Datenübermittlung zwischen den für das Kindergel...mehr

Die Fortschritte in der Künstlichen Intelligenz (KI) haben zahlreiche Bereiche unseres Lebens revolutioniert, und die Testamentsgestaltung ist da keine Ausnahme. Die Integration von KI in diesen sensiblen und persönlichen Prozess birgt jedoch nicht nur Chancen, sondern auch erhebliche Risiken und Herausforderungen, die eine kritische Betrachtung erfordern. Künstliche Intellig...mehr

Rn. 85 Stand: EL 182 – ET: 07/2025 Die Regelung ermächtigt das BFM, durch RechtsVO ohne Zustimmung des Bundesrats zur Durchführung von automatisierten Abrufen nach § 68 Abs 6 S 1 EStG die Voraussetzungen festzulegen, unter denen ein Abruf erfolgen kann. Dies betrifft insb die technischen Anforderungen für den automatisierten Datenabruf (BT-Drs 19/8691, 67). Das BMF hat auf der...mehr

Rn. 60 Stand: EL 182 – ET: 07/2025 § 68 Abs 4 S 2 EStG enthält für das BMF die Ermächtigung, durch Rechts-VO ohne Zustimmung des BR zur Durchführung von automatisierten Abrufen nach § 68 Abs 4 S 1 EStG die Voraussetzungen, unter denen ein Datenabruf erfolgen kann, festzulegen. In der Kindergelddaten-AbrufVO (KiGAbV) v 24.04.2018, BStBl I 2018, 1022, die ab dem 01.05.2018 gilt...mehr

Rz. 344 [Autor/Zitation] Gemäß Abs. 1 Satz 1 muss sich der Prüfungsausschuss insbesondere mit den in § 107 Abs. 3 Satz 2 AktG beschriebenen Aufgaben befassen. Die dort genannten Aufgaben stellen somit keine abschließende Aufzählung dar (so auch Staake in HKMS3, § 324 HGB Rz. 73 mit Hinweis auf Hönsch, DK 2009, 553, 559; Grottel/Gundel in Beck BilKomm.14, § 324 HGB Rz. 61; vgl...mehr

Rz. 281 [Autor/Zitation] Zur Überwachung der Führungssysteme kann der Prüfungsausschuss wie bei der Prüfung des Rechnungslegungsprozesses (Rz. 249) auf verschiedene Ansprechpartner mit unterschiedlichen fachlichen Schwerpunkten zurückgreifen. Die Geschäftsleitung (zB Vorstand) ist für die Implementierung und Ausgestaltung der Systeme zuständig, wobei ihr ein großer Ermessenss...mehr

Rz. 20 Bräunig/Rehfeld/Stautz/Schippers, Sichere digitale Wahlen mit dem Online-Ausweis, Datenschutz und Datensicherheit – DuD 7/2024, 460.mehr

Medizinische Daten haben einen hohen Schutzbedarf. Die von der gematik konzipierten Anwendungen der TI werden mit dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI) und dem BSI abgestimmt. Das BSI zertifiziert wichtige Komponenten der TI, nachdem die einzelnen Komponenten von anerkannten Prüfstellen evaluiert worden sind. Grundlage der Datensicherh...mehr

Die TI ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiterer Akteure des Gesundheitswesens sowie der Rehabilitation und der Pflege dient (Datenautobahn des Gesundheitswesens). Ihre Gesamtarchitektur ist technikneutral vorgegeben, indem die einzelne...mehr

Zum Einsatz kommt ein speziell entwickeltes KI-Modul, das das bestehende Risikomanagementsystem der Finanzverwaltung ergänzt. Die KI erkennt Muster in den eingereichten Steuererklärungen und identifiziert Fälle mit geringem Prüfbedarf. Diese werden automatisiert verarbeitet – unter Wahrung aller rechtlichen Vorgaben und höchster Datensicherheit. Zum Start beteiligen sich die ...mehr

Rz. 8 Zum Zweck einer einheitlichen Rechtsanwendung und zur Unterstützung der Selbsthilfe haben die Spitzenverbände der Krankenkassen gemeinsam und einheitlich Grundsätze zur Förderung der Selbsthilfe zu beschließen und dabei künftig auch die spezifischen Anforderungen digitaler Anwendungen zu berücksichtigen (Abs. 3 Satz 1). Diese Grundsätze sollen die notwendige Transparen...mehr