Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Das Recht zur Einsichtnahme ist umfassend und bezieht sich auf sämtliche Personalakten im materiellen und formellen Sinne. Wichtig Der Anspruch auf Einsichtnahme nach § 3 Abs. 5 TVöD bzw. § 3 Abs. 6 TV-L ist umfassend und bezieht sich auf die materielle Personalakte, also auf alle Unterlagen und Vorgänge, die die persönlichen und dienstlichen Verhältnisse eines Mitarbeiters b...mehr

Personalakten beinhalten sensible personenbezogene Daten. Der Arbeitgeber hat bei der Personalaktenführung auf die Belange des Datenschutzes und des Persönlichkeitsrechts des Beschäftigten Rücksicht zu nehmen und den Grundsatz der Vertraulichkeit zu wahren (siehe dazu auch Abschnitt 4.1.5). Die Vorschriften der DSGVO sowie des BDSG – insbesondere § 26 BDSG – sind zu beachten...mehr

Den Inhalt der Personalakte bestimmt grundsätzlich der Arbeitgeber. Die Gestaltungsfreiheit des Arbeitgebers ist aufgrund des Bundesdatenschutzgesetzes sowie grundrechtlicher Wertentscheidungen beschränkt. Für die Frage, welche konkreten Vorgänge und Informationen aufbewahrt und damit zur materiellen Personalakte genommen werden dürfen, ist § 26 Abs. 1 Satz 1 BDSG maßgeblich....mehr

Der Anspruch auf Entfernung nach §§ 242, 1004 Abs. 1 BGB (analog) hat nicht nur für die Entfernung von Abmahnungen aus der Personalakte Bedeutung. Ein Entfernungsanspruch des Beschäftigten besteht auch bezüglich solcher Angaben aus der Personalakte, die nicht als rechtmäßige Bestandteile von Personalakten gelten und dennoch in die Personalakte des Beschäftigten gelangt sind (...mehr

Beim Führen von Personalakten stellt sich für Arbeitgeber regelmäßig die Frage, wie lange die Informationen und Unterlagen aufbewahrt werden dürfen bzw. müssen. Es besteht keine pauschale gesetzliche Aufbewahrungsfrist für allgemeine personenbezogene Daten und Unterlagen im Arbeitsverhältnis. Ob und wann ein Arbeitgeber eine Information oder eine Unterlage aus der Personalak...mehr

Hat der Arbeitgeber rechtmäßig eine Abmahnung ausgesprochen, kann der Arbeitnehmer nach §§ 242, 1004 Abs. 1 Satz 1 BGB (analog) die Entfernung der Abmahnung verlangen, wenn seitens des Arbeitgebers kein schutzwürdiges Interesse am Verbleib der Abmahnung in der Personalakte besteht. Nach Auffassung des Bundesarbeitsgerichts lässt sich für das Recht auf Entfernung der an sich ...mehr

Rz. 2 Art. 14 Abs. 5 DSGVO sieht selbst bereits Ausnahmen von den Informationspflichten gemäß Art. 14 Abs. 1 bis 4 DSGVO vor, wenn und soweit die betroffene Person über die Informationen bereits verfügt[1]; Nach Rz. 60 des BMF-Schreibens v. 12.1.2018 [2] ist hiervon auszugehen, soweit ein allgemeines Informationsschreiben gem. § 32d Abs. 2 AO mit Hinweis auf ein – z. B. im Int...mehr

Rz. 1 § 32b Abs. 1 S. 1 AO betrifft die Informationspflicht nach Art. 14 DSGVO und enthält auf Grundlage von Art. 23 Abs. 1 DSGVO bereichsspezifische Ausnahmen von diesen Informationspflichten. Art. 14 DSGVO betrifft den Fall, dass personenbezogene Daten nicht bei der betroffenen Person, sondern bei Dritten erhoben werden (Dritterhebung). Nach Art. 14 Abs. 1 und 2 DSGVO muss ...mehr

Rz. 5 § 32b Abs. 1 Nr. 2 AO schränkt die Informationspflicht für den Fall ein, dass die Daten, ihre Herkunft, ihre Empfänger oder die Tatsache ihrer Verarbeitung nach § 30 AO oder einer anderen Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten oder der Finanzbehörden, geheim gehalten werden müssen[1] und desweg...mehr

Rz. 3 § 32b Abs. 1 AO befreit die verantwortliche Finanzbehörde in bestimmten Fällen zusätzlich zu den in Art. 14 Abs. 5 DSGVO vorgesehenen Ausnahmetatbeständen von ihrer Informationspflicht im Rahmen der Datenverarbeitung von nicht bei der betroffenen Person erhobenen Daten gem. Art. 14 Abs. 1, 2 und 4 DSGVO. In Abs. 1 sind die einzelnen Ausnahmetatbestände aufgeführt. Unte...mehr

Rz. 4 Nach § 32b Abs. 1 Nr. 1 AO besteht keine Informationspflicht, soweit die Erteilung der Information die ordnungsgemäße Erfüllung der in der Zuständigkeit der Finanzbehörden[1] oder anderer öffentlicher Stellen liegenden Aufgaben i. S. v. Art. 23 Abs. 1 Buchst. d bis h DSGVO gefährden würde (Buchst. a) oder die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem W...mehr

Rz. 36a Im Regelfall ist Verantwortlicher i. S. v. Art. 4 Nr. 7 DSGVO die im Einzelfall sachlich und örtlich zuständige Finanzbehörde. In den Fällen des § 29a AO ist und bleibt das unterstützte FA örtlich zuständig; es wird nicht das unterstützende FA die für die Einhaltung der datenschutzrechtlichen Maßnahmen verantwortliche Behörde.[1] Rz. 36b Soweit die Aufgabenverantwortl...mehr

Rz. 1 § 145 AO regelt die allgemeinen Anforderungen, die an die Führung von Büchern und Aufzeichnungen[1] zu stellen sind. Diese allgemeinen Grundregeln werden ergänzt durch §§ 146, 147 AO mit detaillierten Einzelregelungen. Zusammen ergeben sich aus §§ 145–147 AO die steuerlichen Ordnungskriterien für die formelle Durchführung der Buchführung, die erforderlichen Aufzeichnun...mehr

Hinweis Verweigerung nur in Ausnahmefällen Verweigern Sie die Auskunft nur in absoluten Ausnahmefällen und halten Sie stets Rücksprache mit dem Datenschutzbeauftragen oder der Rechtsabteilung. In wenigen Ausnahmefällen kann die Auskunft gegenüber der betroffenen Person verweigert werden. Dies ist etwa der Fall, wenn der Auskunftsanspruch offenkundig unbegründet ist oder bei be...mehr

Das Thema Datenschutz ist heutzutage, in einer Welt der digitalen Vernetzung und vielfältiger Informationskanäle, brisanter denn je. Auch in Deutschland prägen Datenschutzskandale in den letzten Jahren immer häufiger die Nachrichten. Fast wöchentlich tauchen neue Schlagzeilen über vermeintliche Datenmissbräuche auf – nicht zuletzt standen bereits renommierte Unternehmen wie ...mehr

Deutschland gehörte bis zur Einführung der DSGVO mit seinen zahlreichen Datenschutzgesetzen zu den Ländern mit den strengsten Datenschutzregeln weltweit. Um das Recht auf informationelle Selbstbestimmung eines jeden Bürgers zu schützen und schließlich umzusetzen, wurde in Deutschland eine Vielzahl von Gesetzen erlassen, die für die verschiedensten Bereiche gelten und paralle...mehr

Grundsätzlich haben Unternehmen, sofern sie personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu ernennen, der die Einhaltung der Datenschutzbestimmungen im Unternehmen überwacht. Der sog. Beauftragte für den Datenschutz ist einer der wichtigsten Akteure beim Thema Datenschutz im Betrieb. Häufig ist den Unternehmen allerdings gar nicht bewusst, was es damit a...mehr

Im vorangegangenen Kapitel wurde bereits dargestellt, dass die Erhebung und Erfassung gesundheitsbezogener Mitarbeiterdaten zu den Grundlagen eines BGM gehören. Nur mithilfe dieser Informationen kann ein Unternehmen seiner Pflicht zur Erhaltung und Förderung der Gesundheit und Sicherheit der Mitarbeiter am Arbeitsplatz gerecht werden. Bei der Erfassung, Verarbeitung und Spei...mehr

Die fortschreitende Digitalisierung in unserem Privatleben, z. B. Fitness-Tracker (früher als Schrittzähler bekannt) und Health-Monitore, die über das Smartphone unseren Zustand messen und Gesundheitstipps geben, macht auch vor der Arbeitswelt nicht halt. Immer stärker werden die digitalen Begleiter wie Smartphones und Tablets auch für eine effizientere Arbeit verwendet: Dat...mehr

Es ist einleuchtend, dass ein Beschäftigungsverhältnis ohne die Angabe personenbezogener Daten der Mitarbeiter nicht möglich ist. Ohne eine Reihe personenbezogener Angaben wie Name, Anschrift, Bankverbindung etc., kann bereits eine Lohnabrechnung oder eine Meldung an die Sozialversicherungen nicht erfolgen. Der Arbeitgeber ist schlichtweg gezwungen, personenbezogene Daten vo...mehr

Im Zusammenhang mit dem Thema Datenschutz im Betrieb stellt sich gleichzeitig die Frage nach den Möglichkeiten und Mitbestimmungsrechten des Betriebsrats. Dieser sieht sich zunehmend als Garant des Datenschutzes, der seine Position nutzen und in Sachen Datenschutz immer mehr mitwirken möchte. Doch welche Möglichkeiten hat der Betriebsrat in Sachen Datenschutz wirklich und wo...mehr

Auf Unternehmen, die Hochrisiko-KI-Systeme einsetzen, kommen vor allem folgende Pflichten zu: Menschliche Aufsicht durch kompetente, ausgebildete und befugte Personen sicherstellen und erforderliche Unterstützung gewähren. Hierfür sollen Schulungen angeboten werden.[1] Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer vor Inbetriebnahme oder Verwendung eines H...mehr

Der korrekte Umgang mit Angaben über die Gesundheit und Krankheit von Beschäftigten ist eines der kritischsten Datenschutzthemen in Unternehmen. Die Verarbeitung solcher gesundheitsbezogener Mitarbeiterdaten gehört allerdings zu den Grundlagen im BGM. Die Angaben sollen dazu dienen, gesunde Arbeitsbedingungen zu gestalten sowie ein zielgerichtetes BGM durchführen zu können. ...mehr

Aktuell wird im Kontext des Umwelt- und Klimaschutzes das Thema Digitalisierung vielfach diskutiert. Immer mehr Unternehmen führen digitale Lösungen ein, um ein effizienteres und vernetzteres Arbeiten zu ermöglichen, bei dem zudem Ressourcen eingespart werden. Wenn z. B. weniger ausgedruckt wird, werden auch weniger Druckerpatronen und Papier benötigt. Bei der Einführung von...mehr

Im Folgenden wird ein grüner Mietvertrag mit verpflichtenden Bestandteilen sowie Bemühungsklauseln für Wohnraummietverträge vorgeschlagen. Diese orientieren sich an den in den Kap. 2 bis 17 präsentierten Vorschlägen zur Umsetzung einer Green-Lease-Strategie. Die hier aufgeführten Formulierungsbeispiele müssen vor Anwendung individuell auf die Vermieter- und Mieterbedürfnisse...mehr

Im Folgenden wird ein grüner Mietvertrag mit verpflichtenden Bestandteilen sowie Bemühungsklauseln für Gewerbemietverträge präsentiert. Diese orientieren sich an den in Kap. 2 bis 17 präsentierten Vorschlägen zur Umsetzung einer Green-Lease-Strategie. Die hier aufgeführten Formulierungsbeispiele müssen vor Anwendung individuell hinsichtlich der Vermieter- und Mieterbedürfnis...mehr

(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates vorzuschreiben, dass der Energieverbrauch der Benutzer von heizungs-, kühl- oder raumlufttechnischen oder der Versorgung mit Warmwasser dienenden gemeinschaftlichen Anlagen oder Einrichtungen erfasst wird, die Betriebskosten dieser Anlagen oder Einrichtungen so auf die Benutzer zu ve...mehr

Formulierungsvorschlag – Nachweisführung Um die Vollständigkeit und Qualitätsprüfung der bei Berichterstattungen einzureichenden Unterlagen[1] zu gewährleisten, verpflichten [bemühen] sich die Parteien, auf Anfrage gleichermaßen einen Austausch der für die Berichterstattung erforderlichen Nachweise sicherzustellen. Die Unterlagen sind in geeigneter Form und innerhalb einer a...mehr

Formulierungsvorschlag – Abfall und Recycling [Reduktionziele] Zur Reduktion und Vermeidung des Abfallverbrauchs sowie zur Erhöhung der Recyclingquote vereinbaren [streben] die Parteien [an], folgende Maßnahmen umzusetzen [zu berücksichtigen]: Var. 1: Keine Abfall- und Recyclingmanagementstrategie vorgesehen Im Gebäude anfallender Abfall wird gemäß geltendem Abfallrecht (unter ...mehr

Formulierungsvorschlag – Wasser [Reduktionziele] Die Parteien verpflichten [bemühen] sich, angemessene Anstrengungen zu unternehmen, um den Wasserverbrauch, insbesondere den Trinkwasserverbrauch, in den Allgemeinflächen, Mietflächen und Außenflächen zu reduzieren und treffen [berücksichtigen] hierfür folgende Maßnahmen: [Wasserverbrauch reduzieren] Var. 1: Keine Wassermanagemen...mehr

Formulierungsvorschlag – Energie [Verbrauchsreduktion] Basierend auf der [den] im Eingangsstatement (§ 1) benannten Zielsetzung[en], verpflichten [bemühen] sich die Parteien gleichermaßen, den Energieverbrauch sowie die CO2-Emissionen im Gebäude im jeweiligen Verantwortungsbereich zu reduzieren. Hierzu vereinbaren [streben] die Parteien folgende Maßnahmen [an]: [Technische Aus...mehr

Um zielgenaue Optimierungsmaßnahmen für die energetische Verbesserung des Gebäudes identifizieren zu können, bedarf es Mieterverbrauchsdaten. Diese sind besonders für die energetische Zustandsermittlung des Gebäudes (beispielsweise CRREM), weiterführende energetische Gutachten, aber auch für die Einschätzung der CO2- Steuer sowie die Sicherstellung von Bewertungspunkten bei ...mehr

Im Gegensatz zu anderen Ländern gibt es in Deutschland aktuell keine gesetzlich verpflichtenden Regelungen, Green Leases in Gewerbe- oder Wohnmietverträge zu implementieren. Im Jahr 2012 gab es in Deutschland eine erste Arbeitsgruppe, bestehend aus 10 Teilnehmern aus Wirtschaft und Wissenschaft, die einen Leitfaden mit 50 Green-Lease-Empfehlungen veröffentlicht haben.[1] Die...mehr

Zur Analyse des energetischen Zustands eines Gebäudes, zur Identifizierung präziser Investitionsentscheidungen für nachhaltige Optimierungsmaßnahmen sowie für diverse Berichtszwecke werden Verbrauchsdaten benötigt (Kap. 3.4 Green Leases: Anwendungsbereiche und Beispiele). Da Immobilieneigentümer einen Großteil der im Gebäude verwendeten Energie bereitstellen, verfügen sie in...mehr

(1) Die zuständige Behörde (Kontrollstelle) unterzieht Inspektionsberichte über Klimaanlagen oder über kombinierte Klima- und Lüftungsanlagen nach § 78 und Energieausweise nach § 79 nach Maßgabe der folgenden Absätze einer Stichprobenkontrolle. (2) 1Die Stichproben müssen jeweils einen statistisch signifikanten Prozentanteil aller in einem Kalenderjahr neu ausgestellten Energ...mehr

Die umfangreiche Regulatorik der KI-VO soll nicht KI-Innovationen in der EU behindern. Aus diesem Grund wurden in Kapitel 6 "Maßnahmen zur Innovationsförderung" eingeführt (Art. 57 ff. KI-VO). Die EU-Kommission verwendet hierzu das Instrument der sog. regulatorischen Sandkästen (bzw. auch als Sandbox-Regime bezeichnet). Art. 57 Abs. 1 KI-VO bezeichnet diese als KI-Reallabore...mehr

Die Einführung von ChatGPT hat eindrucksvoll vor Augen geführt, wie KI-Modelle und KI-Systeme außerhalb von rein zahlenbasierten Prozessen auch die Fähigkeit zur Textgenerierung erreichen können. Diese sog. großen Sprachmodelle bzw. Large Language Model (LLM) bestimmen durch ein Wahrscheinlichkeitsmodell die Anordnung von Worten und Sätzen und fügen diese in einen weitgehend...mehr

Die Umsetzung einer rechtmäßigen KI-Compliance ist wesentlich von der Risikokategorisierung des KI-Systems und der Rolle im KI-Lifecycle (insb. Anbieter oder Betreiber) abhängig. So treffen härtere Compliance-Folgen Hochrisiko-KI-Systeme gegenüber KI-Systemen mit einem eingeschränkten oder niedrigen Risiko. Der Anwendungsbereich nach Art. 2 KI-VO ist weitreichend, sowohl was ...mehr

Video: Datenschutz bei Homeoffice und Mobile Work Der Datenschutz im Homeoffice unterliegt denselben Anforderungen wie am innerbetrieblichen Arbeitsplatz und bei den innerbetrieblichen Abläufen. Im Rahmen des Homeoffice sind die öffentlich-rechtlichen Datenschutzvorschriften[1] zu beachten. Die Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in...mehr

Rz. 3 Eine fristlose Kündigung nach § 543 Abs. 1 setzt voraus, dass der andere Vertragsteil in solchem Maße seine Verpflichtungen verletzt, dass dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere eines Verschuldens der Vertragsparteien, und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Mietverhältnisses bis zum Ablauf...mehr

Überblick Datenschutzverstöße im Unternehmen können nicht nur zu Reputationsschäden, sondern auch zu Sanktionen und erheblichen Bußgeldern sowie Schadensersatzansprüchen der ggf. in großer Anzahl betroffenen Personen führen und erhebliche wirtschaftliche Nachteile mit sich bringen. Der Beitrag gibt einen Überblick über die möglichen Sanktionen und Haftungspflichten bei Datens...mehr

Fast 10 Jahre nach Inkrafttreten und ca. 7 Jahre nach Geltung der Datenschutz-Grundverordnung ("DSGVO") in Deutschland werden Datenschutzverstöße durch die Aufsichtsbehörden heute streng verfolgt und geahndet. Aufgrund der Möglichkeit der Aufsichtsbehörden, bei Datenschutzverstößen erhebliche Bußgelder zu verhängen, bergen Datenschutzverstöße für Unternehmen zunächst hohe wir...mehr

Sollte es – trotz aller Vorsichtsmaßnahmen – dennoch zu einem Datenschutzverstoß im Unternehmen gekommen sein, drohen Unternehmen neben behördlichen Maßnahmen, wie insbesondere der Verhängung von Sanktionen und Bußgeldern, auch erhebliche Schadensersatzansprüche durch betroffene Personen. 3.1 Verhängung von Sanktionen und Geldbußen durch Aufsichtsbehörden Sofern die Datenschut...mehr

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der EuGH hat in einigen wegweisenden Entscheidungen der jüngeren Vergangenheit die Voraussetzungen für einen Schadensersatzanspruch nach Art. ...mehr

Äußerst umstritten war zunächst die grundlegende Frage, ob Unternehmen allein aufgrund eines Datenschutzverstoßes eines ihrer Mitarbeitenden unmittelbar für diesen haften müssen (unmittelbare Verbandshaftung) – oder ob für eine Haftung weitere Voraussetzungen erfüllt worden sein müssen. Wie zugleich gezeigt wird, hat der EuGH nunmehr über diese Frage entschieden, in Bezug au...mehr

Die Höhe eines etwaigen Bußgeldes wegen Datenschutzverstößen richtet sich nach Art. 83 DSGVO. Je nach Verstoß kann ein Bußgeld bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher der Beträge höher ist) oder sogar bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens (je nachdem,...mehr

Sofern die Datenschutzaufsichtsbehörden aufgrund von Beschwerden Betroffener, Hinweisgebermeldungen, anderweitiger Hinweise oder durch etwaige Stichproben Kenntnis von einem Datenschutzverstoß erlangt haben, können sie weitere Ermittlungen und Untersuchungen, wie Datenschutzüberprüfungen, anstrengen. Beispielsweise können sie das betroffene Unternehmen anweisen, Informatione...mehr

Zur Bemessung des Schadens Auch zur Schadensbemessung hat die Rechtsprechung, insbesondere der EuGH, wichtige Grundsätze aufgestellt: Die Festlegung der Schadenshöhe richtet sich gemäß dem Grundsatz der Verfahrensautonomie nach dem Prozessrecht der Mitgliedstaaten.[1] Dem Schadensersatzanspruch wohnt allein eine Ausgleichsfunktion, aber keine Abschreckungs- oder gar Sanktionsfu...mehr

Sollte – trotz aller Vorkehrungen – dennoch ein Datenschutzverstoß im Unternehmen vorgefallen sein, empfiehlt sich eine lückenlose Aufarbeitung des Datenschutzverstoßes. Fehlerquellen sollten ermittelt und eliminiert werden. Sollte sich ein Bußgeldverfahren anschließen und/oder Ansprüche seitens der Betroffenen geltend gemacht werden, sollte außerdem eine klare und strukturi...mehr

Wie bereits eingangs erläutert, gibt es eine Vielzahl gesetzlicher und behördlicher Vorgaben zum Datenschutz. Unternehmen müssen sich mit diesen Vorgaben auseinandersetzen, um datenschutzkonform handeln zu können und Datenschutzverstöße zu vermeiden. Vorbehaltlich der im Einzelfall relevanten Details und Einzelfragen gibt es eine gewisse Schnittmenge an Strukturen und Grunds...mehr