Fachbeiträge & Kommentare zu Datensicherheit

Rz. 58 Dass eine Videoaufzeichnung im Straßenverkehr das allgemeine Persönlichkeitsrecht anderer Personen betrifft und sogar personenbezogene Daten mit der Videoaufzeichnung erhoben und gespeichert werden, entspricht der herrschenden Meinung.[43] Dies deshalb, da im Regelfall bereits auf dem Video auch Personen erkennbar sein können, die über ihre Gesichter identifizierbar s...mehr

Rz. 213 Stand: 2. A. – ET: 07/2024 § 335 Festsetzung von Ordnungsgeld; Verordnungsermächtigungen (1) 1Gegen die Mitglieder des vertretungsberechtigten Organs einer Kapitalgesellschaft, die § 325 über die Pflicht zur Offenlegung des Jahresabschlusses, des Lageberichts, des Konzernabschlusses, des Konzernlageberichts und anderer Unterlagen der Rechnungslegung oder § 325a über die...mehr

Die technologische Infrastruktur bildet das Rückgrat für jede KI-Implementierung. Unternehmen müssen sicherstellen, dass ihre IT-Infrastruktur in der Lage ist, die Anforderungen von KI-Systemen zu erfüllen. Dies betrifft sowohl die Rechenleistung als auch die Speicherung und Verwaltung großer Datenmengen, die für die KI-Anwendungen benötigt werden. Im Controlling- und Finance...mehr

Rz. 49 Nach § 239 Abs. 4 Satz 1 HGB sowie § 146 Abs. 5 AO ist explizit die EDV-Buchführung als Buchführungsform erwähnt und zulässig. In den letzten Jahrzehnten hat diese Buchführungsformältere manuelle Buchführungsverfahren gänzlich verdrängt. Grundsätzlich gelten für die DV-gestützte Buchführung dieselben Grundsätze wie für die manuelle Buchführung. Mit BMF-Schreiben vom 2...mehr

Rz. 2 Die Pflicht zur Einhaltung datenschutzrechtlicher Vorschriften[1] beinhaltet Folgendes: Innerhalb seines Zuständigkeitsbereichs muss der Betriebsrat eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit i. S. v. Art. 24, 32 DSGVO sicherstellen; Bei der Verarbeitung von sensiblen Beschäftigtendaten i. S. v. Ar...mehr

Kommentar Zum 1.1.2025 tritt die gesetzliche Verpflichtung in Kraft, bei bestimmten Umsätzen mit einer strukturierten elektronischen Rechnung abzurechnen (E-Rechnung). Dies ist allerdings (derzeit) auf Umsätze beschränkt, die zwischen inländischen Unternehmern ausgeführt werden und wird durch verschiedene Übergangsregelungen flankiert. Wegen der weitreichenden Bedeutung hatt...mehr

Praxis-Tipp Spalten ergänzen Ergänzen Sie die 2 zusätzlichen Spalten "Erledigt bis" und "Kontrolle der Wirksamkeit" bei Durchführung der Gefährdungsermittlung und -beurteilung.mehr

Rz. 3 Krankenkassen können ihren Versicherten neben der von der gematik zugelassenen Patientenakte (§ 325) weitere Anwendungen anbieten (z. B. Patiententagebuch). Die Patientenakte darf durch die freiwilligen Anwendungen nicht beeinträchtigt werden. Versicherte können dazu freiwillig ihre Daten aus der Patientenakte zur Verfügung stellen (Satz 1). Die Vorschrift erfasst z. B...mehr

Rz. 8 Die Vertrauensstelle legt ein schlüsselabhängiges Verfahren zur Pseudonymisierung fest (Satz 1). Dazu hat sie Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik herzustellen. Das Verfahren hat dem jeweiligen Stand der Technik und Wissenschaft zu entsprechen. Damit wird ein Höchstmaß an Datensicherheit gewährleistet. Erforderlich sind sowohl eine f...mehr

Zwei Drittel der Mieter würden für fortschrittliche Technologien mehr Miete zahlen oder überhaupt erst einen Mietvertrag unterschreiben – laut einer Umfrage von Capterra. Deutsche Vermieter halten beim digitalen Wandel aber nicht Schritt, schon gar nicht im internationalen Vergleich. Deutschland ist ein Mieterland. Bei einer Umfrage der Software-Vermittlungsplattform Capterra...mehr

Rz. 78 Eine Videosprechstunde in der vertragsärztlichen Versorgung kann z. B. hilfreich sein bei langen Anfahrtwegen oder nach einer Operation des Patienten, wenn das Aufsuchen der Praxis unmöglich ist. Die organisatorischen Voraussetzungen der Videosprechstunde regelt die Anlage 31b zum BMV-Ä i.F.v. 13.11.2023. Eine Videosprechstunde stellt eine Online-Sprechstunde zwischen...mehr

Rz. 16 Vor dem Hintergrund des großen Interesses der epidemiologischen Forschung an den Ergebnissen und Daten von organisierten Krebsfrüherkennungsprogrammen verpflichtet Abs. 5 den Gemeinsamen Bundesausschuss oder eine von ihm beauftragte Stelle, alle 2 Jahre einen Bericht über den Stand der Maßnahmen nach Abs. 1 Satz 2 Nr. 4 zu veröffentlichen. Dadurch soll Forschung und W...mehr

Rz. 27 Abs. 4 wurde im Zusammenhang mit dem Inkrafttreten der VO (EU) Nr. 910/2014 durch das Gesetz zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Durchführung...mehr

Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in Dateien verarbeitet werden. Die Arbeiten am Telearbeitsplatz stellen innerbetriebliche Prozesse dar, die außerhalb des direkten Einflussbereiches der IT-Sicherheitsabteilung liegen. Verantwortlich sowohl für den Datenschutz als auch für die Datensicherheit ist aber weiterhin der Arbeit- bzw. ...mehr

§ 127 Bewegliche Sachen (§§ 883, 884, 897 ZPO) (1) Hat der Schuldner nach dem Schuldtitel eine bestimmte bewegliche Sache oder eine gewisse Menge von bestimmten beweglichen Sachen herauszugeben, so wird die Zwangsvollstreckung dadurch bewirkt, dass der Gerichtsvollzieher die Sache dem Schuldner wegnimmt und sie dem Gläubiger übergibt. Hat der Schuldner eine Menge von vertretb...mehr

(Die Gesetze sind im Text in der jeweils gültigen Fassung zitiert.)mehr

Die folgenden Checklisten fassen in kurzen Fragen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen, die wichtigsten Sicherheitsanforderungen und -maßnahmen zusammen. Anhand Ihrer Antworten erhalten Sie ein genaues Bild über den aktuellen Zustand sowie über die Schwachstellen der IT-Sicherheit und der IT-Compliance in Ihrem Unternehmen. Hinweis Die Checklisten ent...mehr

Rz. 39 Zum 25.5.2018 erhielt § 75 durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 mit Abs. 4a eine weitere ergänzende Möglichkeit – neben der nach Abs. 2 neu geschaffenen Möglichkeit der Beantragung von Folgeforschungsfragen (Rz. 26 bis 28) –, die Verwendung der für dieses Vorhaben übermittelten Sozialdaten auch für...mehr

Steuerlich ist der Rechnungsversand mit E-Mail möglich, sofern der Empfänger zustimmt. Rechnung und E-Mail (unter den o. g. Voraussetzungen)[1] sind zu archivieren. Datensicherheit i. S. d. Datenschutzgesetzes ist mit der einfachen E-Mail nicht gegeben, kann aber mit der DE-Mail sichergestellt werden.mehr

Rn. 33 Stand: EL 36 – ET: 06/2022 Die Vorschrift, dass die Handelsbücher und die sonst erforderlichen Aufzeichnungen auch in der geordneten Ablage von Belegen bestehen oder auf Datenträgern geführt werden können, soweit diese Formen der Buchführung einschließlich des dabei angewandten Verfahrens den GoB entsprechen, führt zur Überlegung, welche Buchführungsformen generell zul...mehr

Rz. 211 Die Festlegung von Maßnahmen zur Sicherstellung der "Datensicherheit" hat sich in jedem Fall am Schutzbedarf der verarbeiteten Daten zu orientieren. Das ergibt sich bereits aus der Definition, weil die "Datensicherheit" bzw. "Informationssicherheit" den Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeic...mehr

Rz. 203 5 Die Anforderungen aus AT 7.2 sind auch beim Einsatz von durch Mitarbeiter des Fachbereiches entwickelten oder betriebenen Anwendungen (Individuelle Datenverarbeitung – "IDV") entsprechend der Kritikalität der unterstützten Geschäftsprozesse und der Bedeutung der Anwendungen für diese Prozesse zu beachten. Die Festlegung von Maßnahmen zur Sicherstellung der Datensic...mehr

Rz. 212 In Abgrenzung zur "Datensicherheit" geht es beim "Datenschutz" um den Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte. Damit soll der Einzelne davor geschützt werden, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Die englische Bezeichnung für "Datenschutz" ist "Data Protection" als ...mehr

Rz. 208 Vor diesem Hintergrund wurden die Anforderungen an IDV-Anwendungen konkretisiert. So sind laut Tz. 1.2 lit. f BAIT bereits in der IT-Strategie Aussagen zu IDV-Anwendungen zu treffen. Als Teil der Anwendungsentwicklung sind gemäß Tz. 7.6 BAIT auch für IDV-Anwendungen angemessene und risikoorientiert ausgestaltete Prozesse festzulegen, die Vorgaben zur Anforderungsermi...mehr

Rz. 45 Neben den internen Vorgaben für häusliche Arbeitsplätze werden auch Anforderungen an die Auswahl und die Nutzung der möglichen Standorte gestellt. So müssen sich die häuslichen Arbeitsplätze an festgelegten und mit dem Institut vereinbarten Standorten befinden (→ BTO 2.2.1 Tz. 3, Erläuterung). Dem Institut sollte, nicht zuletzt wegen der praktischen Möglichkeit zur Du...mehr

Rz. 210 Eigenentwicklungen von Software sind schon vor einigen Jahren stärker in den Fokus aufsichtlicher Prüfungshandlungen geraten. Vor diesem Hintergrund hat die BaFin im "Gesprächskreis kleiner Institute" mithilfe von Beispielen aufgezeigt, ab wann sie von einer Softwareentwicklung ausgeht und insofern die Anwendung des vorgeschriebenen Regelprozesses inkl. einer Trennun...mehr

Rz. 74 Da die Sicherheiten im Regelfall nicht an das Institut übergeben werden, handelt es sich in erster Linie um die Verwaltung der entsprechenden Urkunden und Verträge. Die ehemals in den Mindestanforderungen an das Kreditgeschäft (MaK) enthaltene Vorschrift, Sicherheiten, Sicherheitennachweise und Urkunden so zu verwahren, dass sie gegen Missbrauch oder Zerstörung geschü...mehr

Rz. 3 Natürlich spielt die Auslagerung von Aktivitäten und Prozessen auf Dritte auch bei Banken und Finanzdienstleistern eine wichtige Rolle.[1] Auslagerungen fallen im Bankensektor sogar auf besonders fruchtbaren Boden, da die Institute im Vergleich zu Industrieunternehmen immer noch einen recht hohen Anteil der Leistungen in Eigenregie erstellen.[2] Dennoch geht der Trend ...mehr

Rz. 159 Gemäß Tz. 9.1 BAIT müssen auch Cloud-Dienstleistungen die Anforderungen nach AT 9 erfüllen. "Cloud-Dienstleistungen" sind demnach Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dyn...mehr

Rz. 7 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung. Dazu zählen z. B. Grundstücke, Gebäude und das Büroinventar. Mit dem Ausbruch der COVID-19-Pandemie hat sich der Arbeitsmittelpunkt für verschiedene Tätigkeiten zunächst vorübergehend in das Homeoffice verschoben. Dass dieser Trend wieder vollständig...mehr

Rz. 1 Auf Basis der Ausweitung der Reportingpflicht für die Nachhaltigkeitsberichterstattung durch die Corporate Sustainability Reporting Directive (CSRD) stehen Unternehmen vor einer Herausforderung: große Datenmengen zu Nachhaltigkeitsthemen aus verschiedenen Datenquellen müssen konsolidiert, analysiert und zu Nachhaltigkeitsberichten verarbeitet werden. Diese Aufgabe läss...mehr

Rz. 115 Traditionell werden in den Instituten selbst entwickelte Anwendungen ("Individuelle Datenverarbeitung", IDV) auf Basis von MS Excel und MS Access als zentrale Aggregations- und Weiterverarbeitungstools verwendet. Diese Anwendungen werden oft zur Lösung von Ad-hoc-Anfragen verwendet, aber auch für regelmäßige Informationsbedürfnisse eingesetzt. Sie ermöglichen flexibl...mehr

Rz. 3 Ein Sustainability-Linked Loan, bisweilen auch als ESG-Linked Loan oder Positive Incentive Loan bezeichnet, ist ein Darlehenskonstrukt, das durch die Kopplung der Zinsmarge an Nachhaltigkeitskriterien finanzielle Anreize für nachhaltiges unternehmerisches Wirtschaften schafft. Dies ermöglicht es den Kreditgebern, die Nachhaltigkeitsperformance des Kreditnehmers zu ince...mehr

Rz. 152 Auch die EBA gestattet eine verhältnismäßige Anwendung ihrer detaillierten Vorgaben aus Abschnitt 5 der Leitlinien für die Kreditvergabe und Überwachung, indem die Institute bei der Umsetzung den Umfang, die Art und die Komplexität der jeweiligen Kreditfazilität – unbeschadet der Art. 18 und 20 der Wohnimmobilienkreditrichtlinie ("Mortgage Credit Directive", MCD)[1] ...mehr

Rz. 12 In der nichtfinanziellen Erklärung[1] galt es zunächst, das Geschäftsmodell des Unternehmens gem. § 289c Abs. 1 HGB kurz darzustellen. Das CSR-RUG traf zur konkreten inhaltlichen Ausgestaltung der Beschreibung keine näheren Aussagen. Es konnte davon ausgegangen werden, dass die inhaltlichen Anforderungen zur Beschreibung des Geschäftsmodells für die nichtfinanzielle E...mehr

Rz. 204 Den Vorgaben der EBA zufolge sollen die ermittelten Geschäftsfunktionen, Unterstützungsprozesse und IT-Assets unter Berücksichtigung der Schutzziele im Hinblick auf ihre "Kritikalität" ("criticality") eingestuft werden.[1] Eng damit verbunden ist die Umsetzung verschiedener Anforderungen. Folglich wird von der deutschen Aufsicht gefordert, dass die Anforderungen aus ...mehr

Rz. 159 Das "Informations- und Kommunikationstechnologie-Risiko" (IKT-Risiko) wurde zunächst als Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen verstanden, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder der Daten beeinträchtigen können.[1] Neueren Defini...mehr

Bisherige Entwicklung der MaRisk Die Mindestanforderungen an das Risikomanagement (MaRisk) sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 15. April 2004 angekündigt[1] und in Abstimmung mit der Deutschen Bundesbank erstmalig am 20. Dezember 2005 als vorzeitiges Weihnachtsgeschenk für die Kreditwirtschaft veröffentlicht worden.[2] Mit Fertigstellung de...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 52 Mit der Erstellung des Konzernabschlusses geht eine Vielzahl abschlusspolitischer Gestaltungsmöglichkeiten einher. Da es das Ziel eines Abschlusserstellers ist, die Analysemuster des Analysten möglichst zu antizipieren, und der Analyst wiederum versucht, durch geeignete Maßnahmen die abschlusspolitischen Aktivitäten des Abschlusserstellers aufzudecken, stehen Abschlus...mehr

Rz. 4 § 146a Abs. 1 S. 1 AO stellt zunächst allgemein fest, dass bei Verwendung eines elektronischen Aufzeichnungssystems dieses so ausgestaltet sein muss, dass jeder aufzeichnungspflichtige Geschäftsvorfall und andere Vorgänge einzeln, vollständig, richtig, zeitgerecht und geordnet aufgezeichnet werden. Unter den Begriff des elektronischen Aufzeichnungssystems fallen hierbe...mehr

Rz. 6 Für die Datensicherheit ist die gematik zuständig. Sie hat organisatorisch und technisch dafür zu sorgen, dass die Verfügbarkeit (Erreichbarkeit), Integrität (Sicherheit), Authentizität (Echtheit) und Vertraulichkeit (Zugriffsberechtigung) sowie ein einheitlicher Qualitätsstandard der Daten gewährleistet sind (Satz 1). Die gematik legt die Vorgaben für die Datenübermit...mehr

Rz. 14 Die personenbezogenen Daten in der Telematikinfrastruktur erfordern ein besonders hohes Schutzniveau. Die Sicherung des Datenverarbeitungsvorgangs wird durch technische und organisatorische Maßnahmen nach Art. 32 DSGVO gewährleistet (BT-Drs. 19/18793 S. 99 f.). Technische und organisatorische Maßnahmen werden gemäß des Gebots der technikneutralen Gesetzgebung nicht im...mehr

Rz. 2 "Geborene" Mitglieder des Digitalbeirats sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Weitere Mitglieder können berufen werden. Der Digitalbeirat berät dauerhaft die Gesellschaft für Telematik (gematik) zu Belangen des Datenschutzes und der Datensicherheit. Datensch...mehr

Rz. 5 Der Digitalbeirat berät die gematik laufend zu Belangen des Datenschutzes und der Datensicherheit sowie zur Nutzerfreundlichkeit der Telematikinfrastruktur und ihrer Anwendungen (Satz 1). Er ist außerdem vor der Beschlussfassung der Gesellschafterversammlung der gematik zu Angelegenheiten des Datenschutzes und der Datensicherheit sowie zur Nutzerfreundlichkeit der Tele...mehr

Rz. 3 Die Telematikinfrastruktur muss für die Nutzung weiterer Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 327 geeignet sein (§ 306 Abs. 1 Satz 2 Nr. 2 Buchst. a). Diese Anwendungen können die Telematikinfrastruktur für das Gesundheitswesen sowie für die Gesundheitsforschung nutzen, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz ...mehr

Rz. 12 Die gematik ist beauftragt, das Auslesen von Protokolldaten (§ 309 Abs. 1), der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und Hinweisen auf Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen (§ 334 Abs. 1 Satz 2 Nr. 2, 3 und 6) über geeignete Endgeräte zu ermöglichen (Satz 1). Für die Authentifizie...mehr

Rz. 1 Art. 1 Nr. 31 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 eingefügt. Es wird evaluiert, ob die gematik die Belange des Datenschutzes und der Datensicherheit ausreichend berücksichtigt.mehr

Rz. 3 Die gematik setzt sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit der Anwendungen mit dem BSI und mit dem BfDI ins Benehmen und wird dazu durch den Digitalbeirat (§ 318a) beraten. Die Effektivität der Unterstützung wird durch das BMG bis zum 30.6.2025 evaluiert.mehr

Rz. 2 Die Telematikinfrastruktur kann für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden, im Fall der Verarbeitung personenbezogen...mehr