Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben. Das Gremium definie...mehr

Ist von der Schwere eines Schadens (Schadenshöhe) die Rede, dann stellt sich die Frage, was die DSGVO darunter versteht. Hier hilft Erwägungsgrund 75 DSGVO weiter. Demnach kann eine Verarbeitung personenbezogener Daten zu physischen, materiellen und immateriellen Schäden führen, wie: Diskriminierung Identitätsdiebstahl oder -betrug Finanzieller Verlust Rufschädigung Verlust der V...mehr

Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gemäß Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich ...mehr

5.1.1 Inhalt der Meldung Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) ...mehr

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab. Quelle: GDPC GbR Abb. 1: Risikomatrix So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einst...mehr

Der Verantwortliche muss die Betroffenen in 2 Ausnahmefällen nicht benachrichtigen:[1] Wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehören z. B. eine sichere Verschlüsselung oder Pseudonymisierungsmaßnahmen. Wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherste...mehr

"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zuga...mehr

Die Kenntnis von einer Schutzverletzung steht an erster Stelle. In der betrieblichen oder behördlichen Praxis ist oft nicht klar, wann der Verantwortliche von einer "Feststellung" im Sinne der Verordnung ausgehen muss. Relevant ist nämlich u. a., dass ab der Feststellung (und nicht ab Eintritt der Schutzverletzung) die Zeit hinsichtlich der durch die DSGVO vorgeschriebene 72...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Voraussetzungen Eine öffentliche Bekanntmachung kommt nur als Ersatz für die direkte Benachrichtigung der Betroffenen in Betracht, wenn eine solche Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (Art. 34 Abs. 3 lit. c DSGVO). Sie ist also die Ausnahme und setzt voraus, dass die direkte Benachrichtigung der Betroffenen tatsächlich einen sehr hohen Aufwand be...mehr

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten: Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt. Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet. Verlust (Data Loss...mehr

Die DSGVO bezieht die freien Träger in den Anwendungsbereich ein.[1] Der öffentliche Träger muss sicherstellen, dass der Datenschutz bei ihnen in gleicher Weise wie beim öffentlichen Träger gewährleistet ist ("Datenschutzrechtliche Garantenpflicht").[2] Dies kann durch Vereinbarungen oder Auflagen geschehen. Die Übermittlung von Heimberichten und Verwendungsnachweisen an den ...mehr

In jedem Fall wird die Akteneinsicht durch berechtigte Geheimhaltungsinteressen begrenzt. Dies gilt auch für Akteneinsicht nach den Informationsfreiheitsgesetzen der Länder.[1] Solche ergeben sich aus dem Sozialgeheimnis und dem Weitergabeverbot.[2] Die personenbezogenen Daten Dritter müssen daher bei der Akteneinsicht geschützt werden. Dies kann durch Schwärzen oder Herausn...mehr

Begriff Das Akteneinsichtsrecht ermöglicht den Beteiligten eines Verwaltungsverfahrens die Einsicht in die Akten, die das Verfahren betreffen. Gesetze, Vorschriften und Rechtsprechung Den Rechtsanspruch auf Akteneinsicht regelt § 25 SGB X. Ein spezielles Akteneinsichtsrecht in der Adoption für die Vermittlungsakten bestimmt § 9c AdVermiG. Ein spezielles Informationsrecht in d...mehr

Die Zulässigkeit einer Datenverarbeitung bestimmt sich nach Art. 6 DSGVO.[1] In der Jugendhilfe ist danach eine Datenverarbeitung rechtmäßig, wenn sie zur Aufgabenerfüllung erforderlich ist. Das gilt für alle Verarbeitungsvorgänge, also insbesondere für Erheben, Speichern und Übermitteln von Daten.[2] 1.1 Erheben von Daten Nach der DSGVO gilt eine sog. "Informierte Datenerhebu...mehr

Nach der DSGVO gilt eine sog. "Informierte Datenerhebung".[1] Danach muss die Datenerhebung erstens zur Aufgabenerfüllung erforderlich sein und zweitens den Betroffenen mit einer Datenschutzerklärung über die Kontaktdaten des Verantwortlichen im Jugendamt und die des Datenschutzbeauftragten der Behörde sowie über den Zweck der Datenverarbeitung informieren. Wenn die Datenerhe...mehr

Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Grundlagen in der...mehr

Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Die Einwilligung muss zu ihrer Wirksamkeit[1] freiwillig, informiert, zweckbestimmt und für konkreten Fall bestimmt sein. Die allgemeinen und speziellen jugendhilferechtlichen Datenschutzbestimmungen gelten für alle Stellen des Trägers der öffentlichen Jugendhilfe, soweit sie Aufgaben nach dem SGB VIII wahrnehmen. Als Stelle ist hierbei das jeweilige Sachgebiet innerhalb des ...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Neben einem evidenten Verstoß werden Betroffene häufig mit der Situation eines Verdachtsfalls konfrontiert. In diesen Fällen ist besondere Vorsicht geboten, da es dem internen Arbeitsklima ungemein schaden kann, wenn sich herausstellt, dass ein Mitarbeiter zu Unrecht beschuldigt und verdächtigt wurde. Dennoch muss Verdachtsfällen immer nachgegangen werden, da im Zweifelsfall...mehr

mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

mehr

Sichere Cloud-Lösungen sind eine gute Möglichkeit, um mit Mandanten Informationen und Dokumente auszutauschen. Z. B. lassen sich DSGVO-konforme Kanzlei-Cloud-Lösungen einrichten, in die sich der Mandant einloggen kann. Innerhalb der Cloud-Lösung können z. B. Fibu, Lohn oder BWA sicher abgelegt werden. Steuerberater und Mandant haben über alle Geräte via Login Zugriff auf all...mehr

Arbeitgeber sind verpflichtet, im Rahmen des Arbeitsverhältnisses einzelne Dokumente und Informationen für eine gewisse Dauer aufzubewahren. Entsprechende Aufbewahrungspflichten können sich aus Gesetz, Satzung, Tarif- oder Individualvertrag ergeben. Sinn und Zweck ist in erster Linie die Ermöglichung und Sicherstellung von effektiven Kontrollen durch staatliche Behörden. Nebe...mehr

I. Allgemeines Tz. 1 Stand: EL 137 – ET: 06/2024 Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO...mehr

Tz. 22 Stand: EL 137 – ET: 06/2024 Der allgemeine Widerspruch richtet sich gegen eine rechtmäßige Datenverarbeitung auf Basis einer gesetzlichen Erlaubnisnorm (öffentliches Interesse oder berechtigtes Interesse). Der Betroffene muss den Widerspruch mit seiner besonderen Situation anhand des Einzelfalls begründen. Ein Anwendungsfall ist der Werbewiderspruch gegen eine Datennutz...mehr

I. Die Gläubigerinnen sind Enkelinnen der am 22.9.2010 verstorbenen Erblasserin. Die Mutter der Gläubigerinnen, Tochter der Erblasserin, ist vor der Erblasserin verstorben. Die Schuldnerin ist eine weitere Tochter der Erblasserin. Die Erblasserin setzte die Schuldnerin durch notarielles Testament vom 22.6.2010 als ihre Alleinerbin ein und vermachte den Gläubigerinnen eine Imm...mehr

Tz. 1 Stand: EL 137 – ET: 06/2024 Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO wurde gleichz...mehr

Tz. 2 Stand: EL 137 – ET: 06/2024 Der Anwendungsbereich der DSGVO ist nur eröffnet, wenn personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht somit aus, wenn die Informationen unter Zuhilfenahme weiterer verfügbarer Daten und technischer Mittel einer ...mehr

Tz. 8 Stand: EL 137 – ET: 06/2024 Die Bestimmungen der DSGVO und des BDSG gelten für jeden Verantwortlichen und Auftragsverarbeiter, der eine Niederlassung in der Union hat und im Rahmen der Tätigkeit einer Niederlassung Daten verarbeitet, unabhängig davon, ob die Verarbeitung in der Union stattfindet (s. Art. 3 Abs. 1 DSGVO/§ 1 Abs. 4 Nr. 1, 2 BDSG-neu). Der EuGH versteht de...mehr

Tz. 21 Stand: EL 137 – ET: 06/2024 Werden personenbezogene Daten direkt bei der betroffenen Person abgefragt, so hat der Verein – aus Gründen der Transparenz von Datenverarbeitungsprozessen im Zeitpunkt der Datenerhebung – eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (s. Art. 13 Abs. 1 und Abs. 2 DSGVO). Daraus folgt, dass der Verein in jedem Formular, d...mehr

Tz. 7 Stand: EL 137 – ET: 06/2024 Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Beachte! Auch Vereine, die "nur" über einen Mitglieder-Karteikasten – geordnet...mehr

1. Sachlicher Anwendungsbereich der DSGVO Tz. 7 Stand: EL 137 – ET: 06/2024 Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Beachte! Auch Vereine, die "nur" über...mehr

Tz. 24 Stand: EL 137 – ET: 06/2024 Sind mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung betraut, muss ein Datenschutzbeauftragter bestellt, seine Kontaktdaten – E-Mail-Adresse auf der Homepage ohne Namensnennung genügt – veröffentlicht und der zuständigen Landesdatenschutzbehörde – hier sind Online-Formulare verfügbar – gemeldet werden. Weiterhin ben...mehr

Tz. 23 Stand: EL 137 – ET: 06/2024 Ist die Verarbeitung unrechtmäßig, besteht ein Recht auf unverzügliche Löschung. Zu löschen ist ebenfalls, soweit die Zwecke, für die Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerrufen hat oder Widerspruch gegen die Verarbeitung wegen unrechtmäßiger Datenver...mehr

Tz. 18 Stand: EL 137 – ET: 06/2024 Berechtigte Interessen eines Vereins spielen immer dann eine Rolle, wenn der Verein bestimmte Daten verarbeiten möchte, diese Daten jedoch weder für die Erfüllung des Mitgliedsvertrags/der Satzung benötigt werden noch eine Einwilligung der Vereinsmitglieder in die entsprechende Datenverarbeitung vorliegt. Die berechtigten Interessen können d...mehr

Tz. 9 Stand: EL 137 – ET: 06/2024 Die DSGVO dient der Datensicherheit. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (s. Art. 32 DSGVO). Konkrete Maßnahmen gibt die DSGVO nicht vor. Sinnvoll sind u. a. technische Zugangskontrollen zu Räumlichkeiten, Schulung der Mitarbeiter, Absicherung der Daten vor Verlust, Verschlüsselung der Daten, z. B. durch...mehr

Tz. 5 Stand: EL 137 – ET: 06/2024 Adressat ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (s. Art. 4 Nr. 7 DSGVO). Dies können natürliche und juristische Personen sein. Verarbeitet ein Verein personenbezogene Daten seiner Mitglieder und sonstiger Personen, ist er Verantwortlicher. Unerheb...mehr

Tz. 12 Stand: EL 137 – ET: 06/2024 Für eine wirksame Einwilligung gelten die folgenden Punkte: Beachte! Eine (Blanco-)Einwilligung heilt nicht in jedem Fall die Datenverarbeitung....mehr

Tz. 11 Stand: EL 137 – ET: 06/2024 Eine gesetzliche Grundlage kann der Vereinszweck sein, der in der Vereinssatzung angegeben sein muss. Die Mitgliedschaft im Verein ist vertragliche Grundlage für die Verarbeitung der Daten durch den Verein. Es dürfen aber nur die Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind und die dem Ve...mehr

Tz. 10 Stand: EL 137 – ET: 06/2024 Der Umgang mit personenbezogenen Daten muss eine gesetzliche Grundlage haben oder es muss die Einwilligung des Betroffenen vorliegen. Daneben sieht die DSGVO auch Fälle vor, in denen im Rahmen einer Interessenabwägung ermittelt werden soll, ob ein berechtigtes Interesse des Verantwortlichen im Verein oder eines sonstigen Empfängers an der Da...mehr

Tz. 6 Stand: EL 137 – ET: 06/2024 Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (s. Art. 4 Nr. 8 DSGVO). Bei der Auftragsvergabe handelt es sich um eine Datenübermittlung. Trotz einer Verlagerung der Verarbeitung haftet der Verantwortliche unveränd...mehr

Tz. 25 Stand: EL 137 – ET: 06/2024 Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, das auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen ist. Nähere Informationen enthält das Kurzpapier Nr. 1 der Datenschutzkonferenz. Ein Muster für Vereine bietet das LDA Bayern an unter: www.lda.bayern.de/media/muster_1_verein_v...mehr

VVG § 3 Abs. 3, Abs. 4 § 7 Abs. 4; BGB § 242 § 810; DSGVO Art. 15 Leitsatz Ein Auskunftsanspruch gegen den VR auf Aushändigung von Unterlagen über frühere Beitragsanpassungen kann nicht mit der Begründung geltend gemacht werden, der VN habe die Unterlagen möglicherweise aufgrund eines Umzugs verloren und sei auch nicht gehalten gewesen, sie aufzubewahren. OLG Braunschweig, Besc...mehr

aa) Insbesondere lässt sich der Auskunftsanspruch nicht auf die Bestimmung des § 242 BGB stützen. (1) Nach § 242 BGB trifft den Schuldner im Rahmen einer Rechtsbeziehung ausnahmsweise eine Auskunftspflicht, wenn der Berechtigte in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist und der Verpflichtete die zur Beseitigung der Ungewissheit erforderli...mehr

Es sind gerade einmal anderthalb Jahre verstrichen, seit die Zwangsvollstreckungsformular-Verordnung (ZVFV) am 21.12.2022 acht neue Formulare für die Vollstreckung gebracht und gegenüber der ZVFV 2012 und GVFV 2015 flexiblere Anwendungsregeln geschaffen hat (FoVo 2023, 1). Sollten die Formulare zunächst zum 1.12.2023 verbindlich werden, hat die 1. Änderungsverordnung zur ZVF...mehr

Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden.[1] Das bedeutet, dass man die Vorschriften (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl der Auftragsverarbeiter sollte man dara...mehr