Fachbeiträge & Kommentare zu IT

1 Allgemeines Rz. 1 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien entlang der medizinischen Versorgungsprozesse im Gesundheitswesen (BT-Drs. 20/9048 S. 149). Gleichzeitig wächst das Bedrohungspotenzial durch zielgerichtete, technologisch ausgereifte und komplexe Angriffe. Solche Cyberangriffe richten sich nicht nur gegen die unmittelbaren Leistung...mehr

Rz. 3 Vorkehrungen nach Abs. 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden. Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme (BSI, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/awareness_nod...mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenkassen (§ 4) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse un...mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenhäuser (§§ 197 ff.) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenh...mehr

Rz. 5 Die Krankenhäuser können die Verpflichtungen nach den Abs. 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden. Dessen Eignung muss vom BSI nach § 30 Abs. 8 BSI-Gesetz festgestellt werden. Einen entsprechenden I...mehr

Rz. 10 Krankenkassen (§ 4) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 7 Abs. 6, 7 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenkassen, die den Schwellenwert von 500.000 Versicherten nicht erreichen). Sie sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenkassen oder ausgelagerte Betriebe oder Betriebsteile...mehr

Rz. 1 Die Norm stellt alle Krankenhäuser unter ein IT-Sicherheitsregime, um die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dauerhaft zu gewährleisten. Sie dient letztlich der Patientensicherheit. Die Deutsche Krankenhausgesellschaft (DKG) unterstützt diesen Prozess durch einen branchenspezifischen Sicherheitsstandard (B3S) i. S. d. §§ 30, 31 und 39 ...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnahmen hängt maßgeblich...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnah...mehr

Rz. 6 Krankenhäuser (§ 108) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 6 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenhäuser, die den Schwellenwert von 30.000 stationären Fallzahlen jährlich nicht erreichen). Ihre Betreiber sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenhäuser oder ausgelagerte Betrieb...mehr

Rz. 6 Die Krankenkassen wirken verpflichtend in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen (Abs. 3) mit (Satz 1). Sie werden im Arbeitskreis durch ihre Verbände und den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverba...mehr

Rz. 12 Dittrich/Dochow/Ippach, Cybersicherheitsvorgaben im Gesundheitssektor durch das Digitalgesetz – ein kritischer Überblick, GuP 2024, 189. Effertz, Abrechnungsmanagement durch private Dritte?, KrV 2025, 7. Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406.mehr

Rz. 7 Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406. Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. DKG, Informationssicherheit im Krankenhaus – Branchenspezifischer Sicherheitsstandard (B3S).mehr

Rz. 5 Die Krankenkassen sind verpflichtet, den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden (Rz. 6). Er liegt aktuell mit dem Stand v. 15.5.2025 vor. Die Vorschrift lässt auch andere Lösungen zu. Die Eignung des Sicherheitsstandards wird vom BSI festgestellt (§ 30 Abs. 8 BSI-Gese...mehr

Rz. 100 Satz 2 nennt die regelhaften förderfähigen Anschaffungen: Digitale oder technische Ausrüstung sowie damit verbundene Schulungen, die z. B. Investitionen in die IT- und Cybersicherheit, das interne Qualitätsmanagement, die Erhebung von Qualitätsindikatoren, verbesserte Arbeitsabläufe und Organisation bei der Pflege und die Zusammenarbeit zwischen Ärzten und stationären Pfleg...mehr

Arbeitgeber, die KI im Unternehmen einsetzen, gelten als Betreiber.[1] Nach Art. 3 Nr. 4 KI-VO ist "Betreiber" einer KI "eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet". Damit ist der ...mehr

Die zunehmende Menge an Verpackungsmüll, der steigende Kunststoffverbrauch und -abfall, der regulatorische Druck und die wachsende Nachfrage der Verbraucher nach umweltfreundlichen Lösungen sind zentrale Treiber, warum Unternehmen nachhaltigere Verpackungen einsetzen sollten. Unternehmen, die sich proaktiv mit diesen Themen auseinander setzen, können nicht nur ihre Umweltaus...mehr

Der im BEPS-Projekt verabschiedete Maßnahmenkatalog umfasst folgende Bereiche: ACTION 1 – Address the Tax Challenges of the Digital Economy – benötigt die digitale Wirtschaft neue Grundsätze? ACTION 2 – Neutralize the Effects of Hybrid Mismatch Arrangements – Beseitigung der Folgen von hybriden Finanzierungen und Rechtsformen. ACTION 3 – Strengthen CFC Rules – Verschärfung der...mehr

Die Arbeitslosmeldung kann elektronisch im Fachportal der Agentur für Arbeit oder durch persönliche Vorsprache bei der für den Wohnsitz zuständigen Agentur für Arbeit erfolgen.[1] Ist die Agentur für Arbeit am ersten Tag der Beschäftigungslosigkeit des Arbeitslosen nicht dienstbereit, so wirkt die persönliche Meldung an dem nächsten Tag der Dienstbereitschaft auf den Tag zur...mehr

Arbeitslosengeld und Teilarbeitslosengeld werden nur auf Antrag gezahlt. Das Arbeitslosengeld gilt grundsätzlich mit der persönlichen Arbeitslosmeldung als beantragt, wenn der Arbeitslose keine andere Erklärung abgibt.[1] Hinweis Digitalisierung des Leistungsprozesses Der Antrag auf Arbeitslosengeld kann nach entsprechender Registrierung auch online im IT-Portal der Bundesage...mehr

Leistungen werden nur gezahlt, wenn sie jeweils vor Eintritt des leistungsbegründenden Ereignisses beantragt worden sind.[1] Dies ist im Regelfall das tatsächliche Entstehen der Kosten, spätestens der Tag der Aufnahme der Beschäftigung. Der Antrag kann über das IT-Portal der Bundesagentur für Arbeit gestellt werden, wenn dies mit der Vermittlungsfachkraft vereinbart ist, die ...mehr

Nach der Regelung zur frühzeitigen Arbeitsuche[1] sind Arbeitnehmer und Auszubildende in nicht betrieblicher Ausbildung, deren Arbeits- oder Ausbildungsverhältnis endet, verpflichtet, sich grundsätzlich spätestens 3 Monate vor dessen Beendigung bei der Agentur für Arbeit arbeitsuchend zu melden. Die Meldung ist (seit 1.1.2022) nicht mehr an eine bestimmte Form gebunden und k...mehr

Kern der Nahtlosigkeitsregelung ist die Fiktion der für einen Anspruch auf Arbeitslosengeld erforderlichen Verfügbarkeit, weil diese infolge des auf weniger als 15 Stunden wöchentlich geminderten Leistungsvermögens nicht vorliegt. Alle anderen Leistungsvoraussetzungen müssen im Grundsatz uneingeschränkt vorliegen. Insbesondere muss die Anwartschaftszeit (mindestens 12 Monate...mehr

Der Insolvenzverwalter hat auf Verlangen der Agentur für Arbeit eine Insolvenzgeldbescheinigung auszustellen. Falls ein Insolvenzverfahren mangels Masse nicht eröffnet oder der Betrieb vollständig eingestellt worden ist, trifft diese Verpflichtung den Arbeitgeber. In der Insolvenzgeldbescheinigung ist die Höhe des Arbeitsentgelts im maßgeblichen Insolvenzgeldzeitraum sowie die ...mehr

Die Vorteile aus der privaten Nutzung betrieblicher Datenverarbeitungs- und Telekommunikationsgeräte sowie deren Zubehör sind steuerfrei, und zwar unabhängig vom Verhältnis der beruflichen zur privaten Nutzung.[1] Das gilt auch für die Vorteile aus zur privaten Nutzung überlassenen System- und Anwendungsprogrammen, wenn der Arbeitgeber diese Programme in seinem Betrieb einse...mehr

Mitarbeiter, die im Rahmen eines Outsourcings arbeitsrechtlich den Arbeitgeber wechseln, in der Praxis aber am gleichen Ort die gleiche Arbeit wie bisher verrichten, behalten ihre erste Tätigkeitsstätte, sofern es sich hierbei um eine dauerhafte Tätigkeit an der "outgesourcten" (nichtarbeitgebereigenen) Einrichtung handelt. Eine dauerhafte Zuordnung ist in solchen Outsourcin...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine nach §§ 99 Abs. 1, 95 Abs. 3 BetrVG mitbestimmungspflichtige Versetzung dar. Soll nicht nur einzelnen Mitarbeitern, sondern einem größe...mehr

Begriff Hinter dem Arbeitsmodell "Crowdworking" steht das Konzept, dass Unternehmen einzelne Aufträge oder Projekte, wie beispielsweise Texterstellung, Datenrecherche, IT-Dienstleistungen, Design- oder andere Arbeitsleistungen, über Internet-Plattformen vergeben. Dabei wird mithilfe von Algorithmen die Arbeitsleistung, die Vergütung und auch die Beziehung zwischen Kunden und...mehr

In der am 1.1.2017 in Kraft getretenen Entgeltordnung TVöD-VKA sind im Teil B, Abschn. XXIII Entgeltordnung (VKA) – Schulhausmeisterinnen und Schulhausmeister – wiederum spezielle Tätigkeitsmerkmale für Schulhausmeister vereinbart. Die Tätigkeitsmerkmale ersetzen die bisher in der Anlage 1a zum BAT geregelten Tätigkeitsmerkmale für Schulhausmeister. Unter Abkehr von den bish...mehr

Ein „People Lead“ konzentriert sich in seiner Rolle auf die Entwicklung und Führung von Mitarbeitenden, entsprechend sind soziale und kommunikative Fähigkeiten für einen People Lead ebenso wichtig, wie Kenntnisse von Entwicklung von Einzelnen und Teams. Gerade im Fall der Entwicklung von Mitarbeitern aus dem Fachbereich (zumeist IT/Tech), ist einschlägiges Fachwissen von zen...mehr

Vier Faktoren entscheiden über den Erfolg lernender Governance: Top-Management-Sponsorship – Nur wenn Vorstand und CHRO das Thema sichtbar führen, entsteht Legitimität. Klare Rollen und Zuständigkeiten – Unklare Verantwortung ist der Hauptgrund für Compliance-Lücken. Systemintegration – Daten-, IT- und HR-Systeme müssen semantisch verbunden sein; Fragmentierung erzeugt Blindste...mehr

Die Nutzung digitaler Medien wie Computerspiele, soziale Netzwerke, Online-Shopping oder Internetpornografie ist grundsätzlich zunächst unproblematisch und gehört für viele Menschen zum Alltag. Digitale Medien sind darüber hinaus für viele Arbeitnehmende ein teils essenzielles Arbeitsmittel. Problematisch für die Arbeitssicherheit wird es jedoch, wenn diese Nutzung exzessiv ...mehr

Teaminterne Lernprozesse müssen im Wesentlichen zwei Fragen beantworten: was ist zu lernen? wie wollen wir lernen? Das „Was?“ kann sehr unterschiedlichen Gegenstands sein. Es kann dabei sich beispielsweise um Produkte handeln oder (neue) Abläufe, Skills oder Kompetenzen, es kann sich auf (methodische) Arbeitsweisen beziehen oder (neue) Technologien, fachliche Themen adressieren oder a...mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

Durch die §§ 45b u. 45c EStG a.F. wurde ein umfassendes Meldeverfahren für deutsche Dividenden und gleichgestellte Zinserträge aus hybriden Anleihen deutscher Emittenten eingeführt. Mit dem Jahressteuergesetz 2024 wurde dieses Meldeverfahren noch vor der ursprünglich für 2025 geplanten Erstanwendung an die Meldepflichten unter der mittlerweile in Kraft getretenen EU FASTER-R...mehr

Rz. 28 VSME.58 stellt eine freiwillige Ergänzung dar, die Unternehmen nutzen können, um über die potenziellen negativen Auswirkungen von Klimarisiken zu berichten, die sich kurz-, mittel- oder langfristig auf ihre Ertragslage oder Geschäftstätigkeit auswirken können. Zusätzlich können Unternehmen eine Risikobewertung mit den Kategorien hoch, mittel oder niedrig vornehmen, wa...mehr

Rz. 157 Die THG-Intensität transformiert absolute Emissionsdaten in eine strategische Performance-Kennzahl, die sowohl interne Fortschrittsmessung als auch externe Vergleichbarkeit ermöglicht und komplexe Interpretationsherausforderungen bzgl. Geschäftsmodell, Produktmix und Wertschöpfungstiefe aufwirft. Als normalisierte Kennzahl nach VSME.31 schafft sie Transparenz über di...mehr

Auch bei Nachhaltigkeit gilt: "You can’t manage what you don’t measure": Zur Messung, Bewertung und Kommunikation der Zielerreichung bzw. des Umsetzungsgrads der Maßnahmen müssen geeignete Kennzahlen definiert werden. Damit verbunden sind allerdings zahlreiche Herausforderungen: Vielzahl an möglichen Kennzahlen komplexe Berechnungsmethoden mangelnde Datenqualität Geeignete Kennz...mehr

Rz. 75 Die sozialen Offenlegungspflichten nach dem VSME-Standard stellen insbes. kleine und mittlere multinationale Unternehmen vor spezifische Herausforderungen, die sowohl die Erhebung IT-gestützter Daten mit Historie als auch die Interpretation auditierbarer Nachweise relevanter Sozialindikatoren betreffen. Diese Anforderungen sind nicht nur technischer Natur, sondern bet...mehr

Rz. 11 Die THG-Berichterstattung nach B3 und C3 steht nicht isoliert, sondern ist systematisch mit anderen VSME-Modulen verzahnt. Die Umsatzerlöse aus B1 (VSME.24(e)iv.) dienen als Normalisierungsgrundlage für die THG-Intensität nach B3 (VSME.31), die NACE-Klassifikation aus B1 (VSME.24(e)ii.) determiniert die Zuordnung zu klimaintensiven Sektoren für C3 (VSME.53) und die An...mehr

Rz. 27 Die Offenlegung aus B9 umfasst die wesentlichen Aspekte in Bezug auf Gesundheitsschutz und Sicherheit: meldepflichtige Arbeitsunfälle sow...mehr

mehr

Rz. 6 VSME.57 richtet sich gezielt an Unternehmen, die klimabedingte Gefahren und klimabedingte Übergangsereignisse ermittelt haben, aus denen sich bei Bruttobetrachtung klimabedingte Risiken für das Unternehmen ergeben. Diese präzise Definition des Anwendungsbereichs folgt dem Grundsatz der Wesentlichkeit und stellt sicher, dass nur tatsächlich identifizierte und als releva...mehr

Rz. 9 Die Angabe zu den Grundsätzen der Kreislaufwirtschaft ist von allen Unternehmen zu tätigen und beinhaltet ein qualitatives Format. Das Unternehmen muss angeben, "ob und, wenn ja, wie es die Grundsätze der Kreislaufwirtschaft anwendet" (VSME.37). Dies erfordert sowohl eine binäre Aussage (ja/nein) als auch eine qualitative Beschreibung der konkreten Umsetzungsmaßnahmen....mehr

Rz. 129 Scope-2-Emissionen entstehen durch den Verbrauch eingekaufter Energie (VSME, Anhang II.26)[1] und stellen Unternehmen vor die fundamentale methodische Herausforderung, zwischen der physikalischen Realität des Energiesystems und den vertraglichen Vereinbarungen ihrer strategischen Energiebeschaffung zu unterscheiden. Nach VSME.30(b) fordert der Standard die location-b...mehr

Rz. 39 Ein detailliertes Beispiel illustriert die systematische Quantifizierung klimabedingter Risiken für ein mittelständisches Produktionsunternehmen im Bereich Maschinenbau. Integriertes Praxis-Beispiel: mittelständischer Maschinenbauer Das Unternehmen mit 250 Beschäftigten, einem Jahresumsatz von 45 Mio. EUR und Hauptproduktion in Süddeutschland weist spezifische Charakte...mehr

mehr

Rz. 144 Scope-3-Emissionen umfassen alle indirekten Emissionen außerhalb von Scope 2 und transformieren die THG-Bilanzierung von einer rein operativen zu einer strategischen Managementdisziplin, die das gesamte Wertschöpfungsnetzwerk systematisch durchleuchtet und komplexe Lieferantenbeziehungen und Produktlebenszyklen berücksichtigt. Der VSME-Standard macht Scope 3 explizit...mehr

Sofern eine Rechtspflicht zur Datenverarbeitung im Rahmen der Überwachungsmaßnahme besteht, ist auch diese Rechtsgrundlage denkbar. Arbeitgeber werden immer konkreter dazu verpflichtet, IT-Sicherheitsmaßnahmen zu treffen, z. B. unter der NIS2-Richtlinie. Da die Rechtspflicht konkret auf die Datenverarbeitung bezogen sein muss (z. B. im Steuerrecht, wo gewissen Daten aufbewah...mehr

Beschäftigte haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und den Zweck der Datenverarbeitung zu verlangen. Dieses Mittel wird bekanntlich gerne und häufig verwendet als "Gegenschlag" zu Überwachungsmaßnahmen, z. B. im Rahmen von internen Ermittlungen. Arbeitgeber sollten diesen Aspekt stets bei der Implementierung von Überwachungsmaßnahmen auf dem R...mehr