Fachbeiträge & Kommentare zu Datensicherheit

Rz. 28 Der Buchführungspflichtige hat die freie Wahl hinsichtlich des gewählten Buchführungssystems.[1] Allerdings muss es sich zumindest um eine kaufmännische Buchführung also um die "einfache" oder "doppelte" Buchführung, handeln, die eine Gewinnermittlung zulässt. Die "kameralistische" Buchführung, die im Wesentlichen nur einen Nachweis der Einnahmen und Ausgaben darstel...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Rz. 25 Mit Wirkung zum 9.6.2021 ist durch Abs. 2a Satz 1 vorgegeben, dass in den Verträgen nach Abs. 1 auch die Einzelheiten der Versorgung mit solchen Heilmitteln zu regeln sind, die in den jeweiligen Heilmittelbereichen telemedizinisch erbracht werden können. Für die Regelung im Vertrag ist den Vertragspartnern eine Frist bis zum 31.12.2021 gesetzt worden, bis zu der sie F...mehr

mehr

Gesetzestext (1) Zur Erfassung des anteiligen Wärmeverbrauchs sind Wärmezähler oder Heizkostenverteiler, zur Erfassung des anteiligen Warmwasserverbrauchs Warmwasserzähler zu verwenden. Soweit nicht eichrechtliche Bestimmungen zur Anwendung kommen, dürfen nur solche Ausstattungen zur Verbrauchserfassung verwendet werden, hinsichtlich derer sachverständige Stellen bestätigt ...mehr

Die Daten werden vom Arbeitgeber bzw. Steuerberater ausschließlich zum konkreten Zweck der Durchführung der einzelnen Betriebsprüfung nach § 28p SGB IV übermittelt. Eine regelmäßig wiederkehrende Datenübermittlung oder eine anlasslose Bevorratung der Arbeitgeberdaten erfolgt nicht. Die Speicherung erfolgt für die Dauer der Betriebsprüfung ausschließlich in speziell gesicherte...mehr

Der Gesetzgeber hat in § 8 Abs. 2 BVV geregelt, welche ergänzenden Unterlagen in elektronischer Form zu den Entgeltunterlagen zu nehmen sind. Zu den begleitenden Entgeltunterlagen gehören Unterlagen zur Versicherungspflicht/Versicherungsfreiheit, zur Staatsangehörigkeit, zur Mitgliedschaft bei der Krankenkasse, zur Entsendung und auch Stundenaufzeichnungen. Es fallen u. a. fo...mehr

Um Betrügereien im Taxigewerbe einzudämmen, können die im Taxameter erzeugten Daten durch den Einsatz sog. Fiskaltaxameter geschützt werden. Dabei handelt es sich um technische Implantate, die Daten zentral speichern, gegen unkontrollierten Zugriff, nachträgliche Veränderungen und Verlust sichern sollen. Mittlerweile ist das Thema der "Datensicherheit" im Taxi- und Mietwagen...mehr

Die Übersendung der Daten erfolgt medienbruchfrei und im Online-Verfahren unter Nutzung des eXTra-Standards (einheitliches XML-basiertes Transportverfahren). Dieser Standard wurde unter Federführung des Bundesministeriums für Wirtschaft und Technologie (BMWi) entwickelt und richtet sich insbesondere an Datenübermittlungsverfahren zwischen Wirtschaft und Verwaltung. Die Daten ...mehr

I. Typischer Sachverhalt Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weit...mehr

Rz. 73 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

Rz. 68 Das Bayerische Staatsministerium des Innern hat einen Mustervertrag zur Auftragsverarbeitung veröffentlicht, der auf den sog. "Standardvertragsklauseln" der EU-Kommission beruht. Dieser Entwurf des Bayerischen Staatsministeriums ist aus Praktikabilitätsgründen schlanker gehalten, s. https://www.stmi.bayern.de/assets/stmi/sus/datensicherheit/muster_einer_vereinbarung_z...mehr

Rz. 94 Die Art und Weise, in der eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erh...mehr

mehr

1. Überblick Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwor...mehr

Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwortliche muss ...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 78 Mit der DSGVO hat der Gesetzgeber die Verpflichtung eingeführt, Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst aber binnen 72 Stunden zu melden. Darüber hinaus müssen Unternehmen eine solche Datenpanne den Betroffenen umgehend melden, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich ...mehr

Rz. 90 Eine umgehende Information des Betroffenen über den Datenverlust ist nach Art. 34 Abs. 1 DSGVO im Fall eines voraussichtlich bestehenden hohen Risikos für die Rechte und Freiheiten für den Betroffenen erforderlich. Von dieser Benachrichtigungspflicht sieht Art. 34 Abs. 3 DSGVO Ausnahmen vor. Eine Meldung gegenüber dem Betroffenen ist nicht erforderlich, sofern durch t...mehr

Rz. 97 Das Bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Aus...mehr

Rz. 23 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.1: Richtlinie zum Datenschutz Organisationsanweisung Datenschutz der _________________________ [Firma, Rechtsform] Adressat: _________________________ Datum: _________________________ Datenschutzrichtlinie der _________________________ – Organisationsanweisung Datenschutz Änderungshistoriemehr

Rz. 80 Nach Art. 4 Nr. 12 DSGVO umfasst der Begriff Verletzung des Schutzes personenbezogener Daten die unbefugte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten. Zudem ist auch die unbefugte Vernichtung, der Verlust oder die unbefugte Veränderung personenbezogener Daten als eine Verletzung des Schutzes personenbezogener Daten anzusehen. Regelmäßig wird...mehr

Rz. 87 Die Frist für die Meldung bei der Aufsichtsbehörde beträgt 72 Stunden nach Bekanntwerden der Verletzung. Nach Ansicht der Aufsichtsbehörden ist dem Verantwortlichen ein Vorfall bekannt, sofern eine hinreichende Gewissheit darüber besteht, dass ein Sicherheitsvorfall aufgetreten ist.[58] Letztlich hängt diese Frage auch von den konkreten Umständen der Datenschutzverlet...mehr

Rz. 93 Der Verantwortliche sollte alle Maßnahmen treffen, um den eingetretenen Datenverlust umgehend zu beseitigen bzw. die Auswirkungen auf den Betroffenen zu reduzieren. Aufsichtsbehörden für den Datenschutz fragen in den online vorgehaltenen Meldebögen regelmäßig, ob das Unternehmen entsprechende Maßnahmen zur Reduzierung der Auswirkungen des Datenverlustes auf den Betrof...mehr

Rz. 82 Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern die Datenschutzverletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten des Betroffenen führt. Das Risiko, das Besteh...mehr

Rz. 145 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.7: Datenschutzhinweise für eine Webseite Datenschutzhinweise In diesen Datenschutzhinweisen wird die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung der Webseite von _________________________ beschrieben. Zudem enthalten diese Informationen zu den Rechten, die Ihnen zustehen, und wie Sie uns ko...mehr

Das Active Sourcing ist datenschutzrechtlich grundsätzlich zulässig, jedoch nicht frei von jedwedem Risiko. Arbeitgeber bzw. Unternehmen sollten daher folgendermaßen vorgehen: Prüfung der Rechtmäßigkeit der Datenerhebung (entweder durch Einwilligung oder Rechtfertigung bei öffentlichen Daten[1]) Blick in die AGB der Plattformen, auf denen Daten erhoben werden sollen Schaffen vo...mehr

Rz. 10d Der GKV-Spitzenverband legt bis zum 31.1.2018 in einer Richtlinie Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme fest (Satz 1). Diese Richtlinie ist für die Krankenkassen verbindlich und bei Kontakten mit ihren Versicherten anzuwenden. Bestehende Regelungen gewährleisten bereits den Schutz von Sozialdaten vor unbefugtem Zugriff (z....mehr

Der Einsatz generativer KI, etwa Sprachmodelle wie ChatGPT, eröffnet in Change-Prozessen erhebliche Potenziale für Effizienz und Personalisierung. Standardformate wie E-Mails oder Change-FAQs können schneller erstellt, zielgruppenspezifisch angepasst und zeitnah verbreitet werden – ein Vorteil besonders in frühen Phasen des Wandels, wenn Unsicherheit herrscht und Information...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Alternativ zu einer Betriebsvereinbarung, die die Überwachungs- und Protokollmöglichkeiten mit dem Betriebsrat abstimmt, kann jedes Unternehmen eine Dienstanweisung "Elektronische Kommunikationssysteme und informationstechnische Infrastruktur" an seine Mitarbeiter herausgeben, die die Nutzung des Unternehmensnetzwerks, von Internet und E-Mail-Diensten transparent macht und r...mehr

Eine Mitarbeiterbefragung ist eine anonyme und überwiegend strukturierte Befragung aller Mitarbeiter mit Blick auf ihre Verbundenheit zum Unternehmen, sowie zur Wichtigkeit und Zufriedenheit mit relevanten Themen rund um Kultur, Führung und Atmosphäre im Unternehmen, das Arbeitsverhältnis und die Arbeitsbedingungen. Es geht also um eine Gesamtsicht und nicht um den einzelnen...mehr

Rz. 154 Der Zahlungsbericht ist jährlich (§ 341s Abs. 1 HGB) und dabei in Übereinstimmung mit dem jeweiligen Gj aufzustellen (§ 341r Nr. 8 HGB). Damit sind auch verkürzte Berichtszeiträume denkbar, wenn ein Rumpfgeschäftsjahr eingefügt wird. Diese Regelung ist ausweislich des Gesetzesentwurfs erforderlich, damit die Rechnungslegung eines Unt einheitlich erstellt wird und nac...mehr

Rz. 49 Die Buchführung auf Datenträgern ist nach § 239 Abs. 4 HGB zulässig; als Datenträger kommen infrage: Mikrofilm oder andere Bildträger und EDV-Datenträger. Rz. 50 Bei der Mikrofilm-Buchführung erfolgt die Dokumentation der Buchführung nicht in Papierform, sondern auf Mikrofilm; diese Form der Buchführung spielt in der heutigen Praxis keine wesentliche Rolle mehr. E-Rechnun...mehr

Rn 155 Originale (§ 556 IV 2). Der Mieter hat grds das Recht, die Originale einzusehen (BGH ZMR 22, 280 Rz 13 ff; s.a. BTDrs 20/11306, 100). Der Vermieter ist nach § 556 IV 2 aber nicht daran gehindert, Originalbelege zB einzuscannen oder anders zu digitalisieren (Scan- und Datensicherheit soll zB die TR-RESISCAN abbilden [www.bsi.bund.de/resiscan], dann zu vernichten und dem...mehr

Gesetzestext (1) 1Die Landesregierungen können durch Rechtsverordnung bestimmen, dass und in welchem Umfang das Vereinsregister in maschineller Form als automatisierte Datei geführt wird. 2Hierbei muss gewährleistet sein, dassmehr

Das Unternehmen muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden.[1] Das gilt auch, wenn der Mitarbeiter Daten in seinem Homeoffice oder an seinem Arbeitslatz bearbeitet. Insofern muss ähnlich wie beim Arbeitsschutz auch hier das Unternehmen die erforderlichen Maßnahmen treffen, die entsprechenden Daten zu schützen.[2] Dies kann praktisch ...mehr

Rz. 3 Die Vorschrift ergänzt Regelungen im BBiG. Die Ausbildungsvermittlungsstatistik soll im Ergebnis aus den nach dem BBiG zu erstellenden Unterlagen generiert werden. Die Vorschrift unterstützt damit ein generelles Anliegen des Gesetzgebers auch in § 282a, nach Möglichkeit erforderliche Erkenntnisse aus bereits vorhandenen Verwaltungsdaten zu gewinnen und auf stattdessen ...mehr

Zusammenfassung Die neueste Fassung des chinesischen Gesellschaftsgesetzes hat sowohl den Kreis der verpflichteten Organe als auch den inhaltlichen Haftungsrahmen erweitert. Es haften nun Senior Manager ((stellvertretende) Geschäftsführer, Finanzverantwortliche und anderes Personal, das in der Satzung des Unternehmens als Senior Manager bezeichnet wird (z. B. Abteilungsleite...mehr

Das Verfahren ist relativ einfach: Nach der Registrierung der beteiligten Parteien und der Einrichtung eines Datenraums kann die eine Verfahrenspartei Daten und Informationen in den entsprechenden Datenraum der Steuercloud einstellen. Die andere Partei kann diese anschließend von dort herunterladen. Die Steuerclouds der Finanzverwaltungen ermöglichen einen Datenaustausch zwis...mehr

Meist wird eine Konzeption des Angebots von zusätzlichen Leistungen nicht auf der "grünen Wiese" erfolgen. In Abhängigkeit von einigen Faktoren wie Alter, Größe und Entwicklung in Form von an-/organischem Wachstum etc., gibt es im Unternehmen meist ein Sammelsurium an zusätzlichen Leistungen. Dies gilt insbesondere, wenn das Unternehmen tariflich gebunden und darüber hinaus ...mehr

Ein strukturierter und gut gesteuerter Datenerhebungsprozess ist essenziell für eine präzise CO2-Bilanzierung sowie für die Entwicklung und Umsetzung wirksamer Klimastrategien. Nur wenn Zuständigkeiten, Datenflüsse, Speicherorte und Zugriffsrechte eindeutig geregelt sind, lassen sich Nachhaltigkeitsdaten effizient, regelkonform und vertrauenswürdig verarbeiten. Dabei ist die...mehr

Gesetzestext Das Bundesministerium der Justiz wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die näheren Einzelheiten zum Verbandsklageregister zu regeln, insbesondere Bestimmungen über Inhalt, Aufbau, Führung und Art des Betriebs des Verbandsklageregisters, die Einreichung, Eintragung, Änderung und Vernichtung der im Verbandsklageregister erfassten...mehr

Gesetzestext (1) Das Musterverfahrensregister wird im Bundesanzeiger unter der Rubrik ›Register nach dem Kapitalanleger-Musterverfahrensgesetz‹ geführt. (2) Die Einsicht in das Musterverfahrensregister steht jedem unentgeltlich zu. (3) Das Gericht, das die Bekanntmachung veranlasst, trägt die datenschutzrechtliche Verantwortung für die von ihm im Musterverfahrensregister beka...mehr

Gesetzestext Das Bundesministerium der Justiz und für Verbraucherschutz hat durch Rechtsverordnung mit Zustimmung des Bundesrates die näheren Bestimmungen über die Einrichtung und Führung des Registers, über die Einreichung von Schutzschriften zum Register, über den Abruf von Schutzschriften aus dem Register sowie über die Einzelheiten der Datenübermittlung und -speicherung...mehr

(1) 1Das Schuldnerverzeichnis wird für jedes Land von einem zentralen Vollstreckungsgericht geführt. 2Der Inhalt des Schuldnerverzeichnisses kann über eine zentrale und länderübergreifende Abfrage im Internet eingesehen werden. 3Die Länder können Einzug und Verteilung der Gebühren sowie weitere Abwicklungsaufgaben im Zusammenhang mit der Abfrage nach Satz 2 auf die zuständi...mehr

Rn 2 Der Gesetzgeber hat wichtige normative Voraussetzungen für einen elektronischen Zivilprozess geschaffen. Neben § 128a lassen §§ 130a, 130b, 130c sowie § 130d elektronische Dokumente zu. Gleiches gilt für die elektronische Rechtsmitteleinlegung (§§ 519 IV, 520 V, 525, 549 II, 551 IV). Das Protokoll in elektronischer Form sieht § 160a mit § 130b vor. Für die Beweisaufnahm...mehr

(1) 1Nach § 802f Absatz 8 dieses Gesetzes oder nach § 284 Abs. 7 Satz 4 der Abgabenordnung zu hinterlegende Vermögensverzeichnisse werden landesweit von einem zentralen Vollstreckungsgericht in elektronischer Form verwaltet. 2Die Vermögensverzeichnisse können über eine zentrale und länderübergreifende Abfrage im Internet eingesehen und abgerufen werden. 3Gleiches gilt für V...mehr

Vom 26.7.12 (BGBl I S 1663, geändert durch Art 7 G v. 15.7.24, BGBl I Nr 237) Gesetzestext Diese Verordnung gilt für Vermögensverzeichnisse, die nach § 802f Absatz 8 der Zivilprozessordnung oder nach § 284 Absatz 7 Satz 4 der Abgabenordnung zu hinterlegen sind. Sie gilt ferner für Vermögensverzeichnisse, die aufgrund einer bundes- oder landesgesetzlichen Regelung errichtet wo...mehr