Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Beitrag aus Haufe Steuer Office Excellence
Datenschutz: Diese Regeln s... / 4.2 Daten über die Internet- und E-Mail-Nutzung eigener Mitarbeitenden

Die Internet-Nutzung und E-Mail-Nutzung Mitarbeitender kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können z. B. Benutzeridentifikation, IP-Adressen, Datum und Uhrzeit des Zugriffs, Datenmenge sowie Zieladresse des Zugriffs erfasst werden. Anhand dieser Daten wäre es für Arbeitgebende möglich nachzuvollziehen, wann Mitarbeitende was gelesen haben. Dies ka...mehr

Beitrag aus Haufe Steuer Office Excellence
Datenschutz: Diese Regeln s... / 3.3 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Beitrag aus Haufe Steuer Office Excellence
Datenschutz: Diese Regeln s... / 5 Besonderheiten bei Daten der Kundschaft

Kunden sind für die meisten Unternehmen das wichtigste Gut, denn ohne Nachfrage kann kein Unternehmen Waren oder Dienstleistungen absetzen. Der Schutz von Kundendaten bedeutet den Schutz von Unternehmen UND Personen. Im Einzelnen sind dies insbesondere Schutz von Daten, die im Rahmen von Geschäftsprozessen genutzt werden. So z. B. Arbeitsergebnisse, Vorlagen, übergebene Unter...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 339 Vorauss... / 1 Allgemeines

Rz. 2 Die Norm gibt vor, unter welchen Voraussetzungen berechtigte Dritte (z. B. Leistungserbringer) auf Daten in Anwendungen der Telematikinfrastruktur zugreifen dürfen. Die Zugriffe sind zu protokollieren. Damit kann der Versicherte seine Rechte im Rahmen der Patientensouveränität wahrnehmen und kontrollieren (BT-Drs. 19/18793 S. 110). Den Protokolldaten ist zu entnehmen, ...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 334 Anwendu... / 1 Allgemeines

Rz. 2 Die Vorschrift stellt die Ziele, die innerhalb der Telematikinfrastruktur zur Verfügung stehenden Anwendungen, deren Verknüpfung mit anderen Komponenten der Telematikinfrastruktur und ihre Entwicklungsoffenheit fest. Es handelt sich um die zentrale Vorschrift für die Schaffung der Anwendungsinfrastruktur (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 334...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 344 Einwill... / 2.8 Tod des Versicherten (Abs. 6)

Rz. 8 Erfährt die Krankenasse vom Tod eines Versicherten, hat sie dessen elektronische Patientenakte zu löschen. Davon ist abzusehen, wenn Dritte entgegenstehende berechtigte Interessen geltend machen und nachweisen. Eine Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 2 der Verordnung (EU) 2016/679 (DSGVO) nur ausnahmsweise zulässig. Eine Verarbeitung der in der elek...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 306 Telemat... / 2.2 Gesamtarchitektur (Abs. 2)

Rz. 9 Die Telematikinfrastruktur umfasst eine dezentrale Infrastruktur, zentrale Infrastruktur und Anwendungsinfrastruktur. Die dezentrale Infrastruktur besteht aus Komponenten zur Authentifizierung, zur elektronischen Signatur, zur Verschlüsselung sowie Entschlüsselung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur (Nr. 1). Die zentrale Infrastruktur best...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 311 Aufgabe... / 2.3 Einvernehmen, Authentisierungsverfahren (Abs. 2)

Rz. 21 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Kommentar aus Haufe Personal Office Platin
Sommer, SGB V § 302 Abrechn... / 0 Rechtsentwicklung

Rz. 1 § 302 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat mit Wirkung vom 1.1.1993 die Überschrift geändert sowie Abs. 1 inhalt...mehr

Kommentar aus Haufe Personal Office Platin
Sommer, SGB V § 305 Auskünf... / 0 Rechtsentwicklung

Rz. 1 § 305 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Neu gefasst wurde die Vorschrift durch das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) mit Wirkung zum 1.1.1996. Das Zwei...mehr

Kommentar aus Haufe Personal Office Platin
Sommer, SGB V § 295 Übermit... / 0 Rechtsentwicklung

Rz. 1 § 295 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat zum 1.1.1993 mit dem neuen Abs. 1 Nr. 1 die gesetzlich normierte Verp...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 312 Aufträg... / 2.6 Auslesen von Daten (Abs. 6)

Rz. 12 Die gematik ist beauftragt, das Auslesen von Protokolldaten (§ 309 Abs. 1), der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und Hinweisen auf Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen (§ 334 Abs. 1 Satz 2 Nr. 2, 3 und 6) über geeignete Endgeräte zu ermöglichen (Satz 1). Für die Authentifizie...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 337 Recht d... / 2.1 Datenverarbeitung (Abs. 1)

Rz. 3 Versicherte sind berechtigt, eigene Daten aus der elektronischen Patientenakte, dem Medikationsplan und den Notfalldaten (§ 334 Abs. 1 Satz 2 Nr. 1, 4 und 5) auszulesen und an Dritte zu übermitteln (Satz 1). Versicherte können auch eigene Gesundheitsdaten in die Patientenakte einstellen und diese verarbeiten. Der Begriff "verarbeiten" umfasst u. a. das Erfassen, die Or...mehr

Kommentar aus SGB Office Professional
Jung, AsylbLG § 12 Asylbewe... / 0 Rechtsentwicklung

Rz. 1 Die Vorschrift ist mit dem Erlass des Asylbewerberleistungsgesetzes bereits 1993 in Kraft getreten (dazu BT-Drs. 12/5008 S. 17). Durch das Erste Gesetz zur Änderung des Asylbewerberleistungsgesetz v. 26.5.1997 (BGBl. I S. 1130) wurde Abs. 1 Nr. 1 um den Buchst. d erweitert, der vorübergehend die Erhebung von Zuschüssen in die Statistik einbezog. Durch das Gesetz zur Ei...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 335 Diskrim... / 2.2 Benachteiligungsverbot (Abs. 3)

Rz. 5 Abs. 3 enthält ein Benachteiligungsverbot. Danach darf niemand deshalb bevorzugt oder benachteiligt werden, weil er der Einrichtung einer elektronischen Patientenakte (§ 342 Abs. 1 Satz 2, § 344 Abs. 3) widersprochen, einen Zugriff auf Daten in einer Anwendung nach § 334 Abs. 1 Satz 2 im Wege der Einwilligung nach § 339 Abs. 1a und § 353 Abs. 3 bis 6 erlaubt oder im Wege...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 307 Datensc... / 1 Allgemeines

Rz. 2 Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die geset...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 360 Elektro... / 2.10 Aufgaben der gematik (Abs. 10)

Rz. 11 Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 331 Maßnahm... / 1 Allgemeines

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 306 Telemat... / 2.3 Datensicherheit (Abs. 3)

Rz. 14 Die personenbezogenen Daten in der Telematikinfrastruktur erfordern ein besonders hohes Schutzniveau. Die Sicherung des Datenverarbeitungsvorgangs wird durch technische und organisatorische Maßnahmen nach Art. 32 DSGVO gewährleistet (BT-Drs. 19/18793 S. 99 f.). Technische und organisatorische Maßnahmen werden gemäß des Gebots der technikneutralen Gesetzgebung nicht im...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 361a Einwil... / 2.6 Rechtsverordnung (Abs. 6)

Rz. 11 Das Bundesministerium für Gesundheit (BMG) wird ermächtigt, Einzelheiten durch eine Rechtsverordnung zu regeln. Dazu hat sich das BMG mit dem BfDI ins Benehmen zu setzen und mit dem BSI Einvernehmen herzustellen. Die Verpflichtung zur Benehmensherstellung sorgt für die notwendige Transparenz bei den Beteiligten. Sie ermöglicht die Unterrichtung des BfDI über die gepla...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 327 Nutzung... / 2.2 Bestätigung (Abs. 2)

Rz. 6 Die Anwendungen bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die gematik (Satz 1). Die erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur werden durch die gematik im Benehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und durch die gematik auf ihrer Internetse...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 340 Ausgabe... / 2.8 Sicherheit (Abs. 8)

Rz. 15 Die gematik legt die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten nach den Abs. 6 und 7 fest (Satz 1). Dazu setzt sich die gematik mit dem BSI und dem BfDI auf Basis der jeweils gültigen Technischen Richtlinien des BSI ins Benehmen (Satz 2). Rz. 16 Das ursprünglich herzustellende Einvernehmen wird zugunsten der Herstellung des Benehme...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 359 Zugriff... / 1 Allgemeines

Rz. 2 Die Norm regelt den Zugriff auf den elektronischen Medikationsplan, die elektronischen Notfalldaten und die elektronische Patientenkurzakte (§ 334 Abs. 1 Satz 2 Nr. 4 und 5). Die Legitimation der Datenverarbeitung ergibt sich aus einem Zusammenspiel der informierten Einwilligung des Versicherten und der gesetzlichen Befugnisnorm zum konkreten Umfang der Datenverarbeitu...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 325 Zulassu... / 1 Allgemeines

Rz. 2 Komponenten und Dienste der Telematikinfrastruktur (Hardware, Software, Dienstleistungen bzw. Kombinationen davon) werden von der gematik zugelassen. Die Zulassung ist durch den Anbieter zu beantragen. Die Vorgaben stellen sicher, dass Komponenten und Dienste, die von Herstellern angeboten werden, funktionsfähig, interoperabel und sicher sind (BT-Drs. 16/3100 S. 174 zu...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 309 Protoko... / 2.3 Löschung der Daten (Abs. 3)

Rz. 6 Die Protokolldaten sind nach der regelmäßigen Verjährungsfrist des BGB nach 3 Jahren durch die Verantwortlichen unverzüglich zu löschen. Dies schließt nicht aus, dass die Versicherten diese Daten weiterhin auf eigenen Speichermedien vorhalten. Der Fristbeginn ist nicht ausdrücklich geregelt. Zweckmäßig ist, auf den Zeitpunkt der Verarbeitung der Daten i. S. v. Art. 4 N...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 358 Elektro... / 2.6 Datenverantwortung (Abs. 5)

Rz. 9 Die ausgebende Krankenkasse ist datenschutzrechtlich für den Inhalt der Notfalldaten und des Medikationsplans verantwortlich. Die Regelung bestimmt die Krankenkassen als die für die Verarbeitung von Daten in den Anwendungen elektronische Notfalldaten und elektronischer Medikationsplan datenschutzrechtlich Verantwortliche nach Art. 4 Nr. 7 DSGVO (BT-Drs. 19/27652 S. 128).mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 340 Ausgabe... / 1 Allgemeines

Rz. 2 Die Vorschrift regelt die Ausgabe von elektronischen Heilberufs- und Berufsausweisen, von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen sowie der digitalen Identität für das Gesundheitswesen, die grundsätzlich Voraussetzung für den Zugriff von Leistungserbringern und anderen zugriffsberechtigten Personen auf Versichertendaten in der Telematikinf...mehr

Kommentar aus Haufe Personal Office Platin
Sommer, SGB V § 305 Auskünf... / 3 Literatur und Materialien

Rz. 16 Krönke, Opt-out-Modelle für die Elektronische Patientenakte aus datenschutzrechtlicher Perspektive, Bertelsmann Stiftung, www.bertelsmann-stiftung.de/en/publications/publication/did/opt-out-modelle-fuer-die-elektronische-patientenakte-aus-datenschutzrechtlicher-perspektive#:~:text=E-Mail-,Description,Datengrundlage%20für%20eine%20effiziente%20Gesundheitsversorgung; ab...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 342 Angebot... / 2.9 Private Krankenversicherung (Abs. 6)

Rz. 28 Die Krankenkassen dürfen Komponenten und Dienste der elektronischen Patientenakte den Unternehmen der privaten Krankenversicherung (PKV) zur Verfügung stellen und in deren Auftrag betreiben (Satz 1). Die Regelung gilt auch für die sonstigen in § 362 Abs. 1 genannten Einrichtungen (z. B. Postbeamtenkrankenkasse). Ob die PKV oder die sonstigen Einrichtungen diese Möglic...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 344 Einwill... / 2.1 Datenverarbeitung durch Krankenkassen oder Anbieter (Abs. 1)

Rz. 3 Die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie der Anbieter einzelner Dienste und Komponenten der elektronischen Patientenakte sind zur Verarbeitung personenbezogener Daten des Versicherten befugt, wenn der Versicherte ausreichend informiert wurde (§ 343) und in die Einrichtung der Patientenakte eingewilligt hat (Satz 1). Formelle Anforderungen an d...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 307 Datensc... / 2.1 Dezentrale Infrastruktur (Abs. 1)

Rz. 3 Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesund...mehr

Kommentar aus Haufe Personal Office Platin
Sommer, SGB V § 305 Auskünf... / 2.1 Auskunftspflicht der Krankenkasse (Abs. 1)

Rz. 6 Satz 1 begründet einen Auskunftsanspruch der Versicherten gegenüber Krankenkassen auf Antrag (schriftlich, mündlich oder auf sonstige Weise). Inhalt des Auskunftsanspruchs sind die im letzten Geschäftsjahr in Anspruch genommenen Leistungen aller Leistungserbringer (Ärzte, Zahnärzte, Krankenhäuser, Apotheken, Rehabilitationseinrichtungen, Heil- und Hilfsmittelerbringer ...mehr

Kommentar aus Haufe Steuer Office Excellence
Sommer, SGB V § 336 Zugriff... / 2.2 Zugriff ohne Gesundheitskarte (Abs. 2)

Rz. 4 Der Zugriff auf die Patientenakte (§ 334 Abs. 1 Satz 2 Nr. 1) und die elektronischen Verordnungen (§ 334 Abs. 1 Satz 2 Nr. 6) muss dem Versicherten auch ohne elektronische Gesundheitskarte mittels eines geeigneten sicheren technischen Verfahrens möglich sein (Satz 1). Der Versicherte ist von seiner Krankenkasse umfassend über die Besonderheiten eines Zugriffs ohne den ...mehr

Beitrag aus Haufe Finance Office Premium
Compliance bei der Nutzung ... / Zusammenfassung

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Beitrag aus Haufe Finance Office Premium
Compliance bei der Nutzung ... / 1 Datenschutzpflichten

Nach Art. 6 Abs. 1 lit. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Betroffene Personen haben ein Recht auf Berichtigung von Daten, die der Aufbewahrungspflicht unterliegen (Art. 16 DSGVO). Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht hingegen nich...mehr

Beitrag aus Haufe Finance Office Premium
Compliance bei der Nutzung ... / 7 Rechte der Angestellten

Angestellte haben nach DSGVO dieselben Rechte in Bezug auf Datenschutz wie alle anderen Personen auch. Notwendig sind nach Art. 88 Abs. 2 DSGVO angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. Zu berücksichtigen sind dabei die Transparenz der Verarbeitung, die Übermittlung personenbezogener Date...mehr

Beitrag aus Haufe Finance Office Premium
Compliance bei der Nutzung ... / 6 Aufbewahrungspflicht und Nutzung von digitalen Diensten

Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen. Eine 10-jährige Aufbewahrungsfrist gilt z. B. für Buchungsbelege. Unabhängig davon gilt für Rechnungen eine 10-jährige Aufbewahrungsfrist. Für Handels- oder Geschäftsbriefe, bzw. E-Mails, gilt die Frist von 6 Jahr...mehr

Beitrag aus Haufe Finance Office Premium
Compliance bei der Nutzung ... / 8 Weitere Quellen:

https://ao.bundesfinanzministerium.de/ao/2023/Anhaenge/BMF-Schreiben-und-gleichlautende-Laendererlasse/Anhang-64/inhalt.html https://www.bitkom.org/Bitkom/Publikationen/Bitkom-Leitfaden-Backup-Restore.html Bei Bitkom kann ein Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung heruntergeladen werden, der zu den Vorgaben in Art. 32 und 35 DSGVO erarbeitet wurde.mehr

Beitrag aus Haufe Personal Office Platin
Ausländische Arbeitnehmer b... / Zusammenfassung

Überblick Da die Staatsangehörigkeit allein nicht zum Eingreifen der Regelungen des internationalen Arbeitsrechts führt, findet regelmäßig für das Arbeitsverhältnis eines ausländischen Arbeitnehmers in der Bundesrepublik Deutschland allein deutsches Arbeitsrecht Anwendung. Unter Umständen sind jedoch Besonderheiten zu berücksichtigen, die aus der Staatsangehörigkeit oder Spr...mehr

Beitrag aus Arbeitsschutz Office Professional
Künstliche Intelligenz für ... / 4.1.2 Funktionsweise des KI-Systems

Bei der Einführung von KI-Systemen ist es wichtig, Informationen zur Funktionsweise des Systems bereitzustellen, insbesondere in Bezug auf das Autonomielevel, die Kritikalität und den Umgang mit personenbezogenen Daten.[1] Das Autonomielevel eines KI-Systems beschreibt, inwieweit Entscheidungen von selbstlernender Software übernommen und/oder unterstützt werden können. Dabei ...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / Zusammenfassung

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 1.4 Wann gilt die DSGVO, wann das BDSG?

Im Fall einer Verletzung des Schutzes personenbezogener Daten gelten sowohl die Bestimmungen der DSGVO als auch die ergänzenden Regelungen des BDSG. Die DSGVO hat zwar Vorrang, das BDSG konkretisiert und ergänzt sie aber in einigen Bereichen für Deutschland. Konkret bedeutet das: Die Meldepflichten bei Datenschutzverletzungen nach Art. 33 DSGVO gelten unmittelbar. Die DSGVO sc...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 7 Besonderheiten bei Auftragsverarbeitung

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 3 Bewertung der Schutzverletzung und des Risikos

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 9 Fazit

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 6 Dokumentation bei jeder Schutzverletzung erforderlich

Als Konkretisierung der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO statuiert Art. 33 Abs. 5 DSGVO die Dokumentation im Falle von Schutzverletzungen. Eine sorgfältige Dokumentation ist wichtig, um die Rechenschaftspflicht zu erfüllen und bei Audits oder Anfragen der Aufsichtsbehörde Nachweise erbringen zu können. Im Gegensatz zur Meldepflicht, wird die Dokumenta...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 1.3 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. nicht besteht

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 5 Meldung an die Aufsichtsbehörde und Nachricht an die Betroffenen

Im Hinblick auf die Vorgaben der Verordnung muss zukünftig genau geprüft werden, wer in welchen Fällen zu benachrichtigen ist. Es sind nicht mehr Aufsichtsbehörde und Betroffene stets gleichermaßen zu benachrichtigen. Die DSGVO enthält eine abgestufte Melde- und Benachrichtigungspflicht. Dieses ist umfangreicher als das im BDSG. Meldepflicht gegenüber Aufsichtsbehörde (Art. 3...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 5.1.1 Inhalt der Meldung

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) Anzahl der Betroffenen, ...mehr

Beitrag aus Haufe Finance Office Premium
Datenpannen bewältigen: So ... / 8 Ablauf- und Kommunikationsplan bei Schutzverletzungen

Sollte es sich bei einem entsprechender Vorfall um eine Schutzverletzung darstellen, so ist – auch gerade aufgrund der engen 72h-Frist – ein innerbetrieblicher Ablauf- und Kommunikationsplan unerlässlich. Ein solcher ist nachfolgend exemplarisch aufgelistet, der je nach Unternehmensorganisation entsprechend anzupassen ist. Hierbei ist wie folgt vorzugehen: Der Mitarbeiter, de...mehr