Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 11 Die Verarbeitung ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; Näheres hierzu in Rz. 23 ff.; die Verarbeitung ist für die Erfüllung eines Vertrags, des...mehr

Rz. 14 Art. 9 Abs. 2 Buchst. a DSGVO lässt die Verarbeitung besonderer Kategorien personenbezogener Daten mit Einwilligung der betroffenen Person zu, sofern nicht eine nationale gesetzliche Regelung die Einwilligung als Zulässigkeitsvoraussetzung ausdrücklich ausnimmt. § 67b Abs. 1 Satz 1 regelt als nationale einschränkende bzw. ergänzende Vorschrift i. S. v. Art. 6 Abs. 2 D...mehr

Rz. 50 Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so k...mehr

Rz. 49 Nach Art. 4 Nr. 6 DSGVO ist unter einem Dateisystem"jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird" zu verstehen. Dies entspricht im Wesentlichen dem Begriff der nicht automatisierten...mehr

Rz. 55 Dritter ist nach Art. 4 Nr. 10 DSGVO jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten".mehr

Rz. 61 Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen, werden nach Art. 4 Nr. 15 DSGVO als Gesundheitsdaten definiert. Zu den personenbezogenen Gesundheitsdaten zählen alle Daten,...mehr

Rz. 59 Genetische Daten sind nach Art. 4 Nr. 13 DSGVO "personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden". E...mehr

Rz. 63 Grenzüberschreitende Verarbeitung liegt nach Art. 4 Nr. 23 DSGVO vor, wenn entweder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat nie...mehr

Rz. 41 Art. 7 Abs. 2 DSGVO regelt den Fall, dass die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die auch noch andere Sachverhalte betrifft; das ist regelmäßig bei formularmäßigen Antragstellungen der Fall z. B. auf Rente oder Leistung zur Teilhabe. In diesen Fällen "muss das Ersuchen um Einwilligung in verständlicher und leicht zugängliche...mehr

Rz. 51 Der Begriff eines Auftragsverarbeiters ist neu definiert. Bisher wurden zwar in § 80 SGB X und in § 11 BDSG die Rechte und Pflichten des Auftragnehmers geregelt, der Begriff selbst war bis 25.5.2018 nicht definiert. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Dat...mehr

Rz. 57 Eine "Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden", wird gemäß Art. 4 Nr. 12 DSGVO als Verletzung des Schutzes pers...mehr

Rz. 6 "Absatz 1 regelt als generelle Norm die Zulässigkeit von Verarbeitungsvorgängen außerhalb der Erhebung und verweist insoweit auf die folgenden Vorschriften", so die Gesetzesbegründung zur Neufassung des Abs. 1 zum 25.5.2018 (BT-Drs. 18/12611). Tatsächlich regelt er die Zulässigkeit der Verarbeitungsvorgänge Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung...mehr

Rz. 19 Art. 4 Nr. 2 DSGVO fasst unter dem Begriff Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zusammen. Seit 25.5.2018 fallen somit alle Phasen des Umganges mit personenbezogenen Daten (Vorgang oder Vorgangsreihe) unter den Begriff Verarbeitung; also auch die ...mehr

Rz. 44 Nach Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Auch der Widerruf kann – wie die Einwilligung selbst – grundsätzlich nur von der betroffenen Person selbst vorgenommen werden (vgl. Rz. 29). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbei...mehr

Rz. 28 Nach Art. 4 Nr. 11 DSGVO bezeichnet Einwilligung "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten e...mehr

Rz. 2 § 67d ist die grundsätzliche Befugnisnorm für den Vorgang des "Übermittelns". Seit 25.5.2018 enthält weder Art. 4 Nr. 2 DSGVO noch § 67 eine Definition des Begriffs der Übermittlung. Aus § 67d Abs. 1 ist jedoch zu entnehmen, welche Vorgänge der Verarbeitung Übermittlungen i. S. d. SGB X sind. Danach trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit "...mehr

Rz. 18 Art. 4 Nr. 1DSGVO definiert die Begriffe personenbezogene Daten und betroffene Person. Danach versteht man unter betroffener Person eine identifizierte oder identifizierbare natürliche Person. Identifizierbar ist eine natürliche Person, wenn sie "direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten...mehr

Rz. 46 Unter Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel zu verstehen, ihre künftige Verarbeitung einzuschränken. Damit entspricht die Einschränkung im Wesentlichen dem bis 24.5.2018 in § 67 Abs. 6 Nr. 4 SGB X a. F. enthaltenen Begriff des Sperrens, das als das vollständige oder teilweise Untersagen der weiteren Verarbe...mehr

Rz. 33 Die Einwilligung "soll durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen ka...mehr

Rz. 5 An der zum 1.7.1994 eingeführten Definition des Begriffes "Sozialdaten" (2. SGBÄndG v. 13.6.1994, BGBl. I S. 1229) hat sich auch durch die Anpassung an die DSGVO inhaltlich nichts geändert. Es erfolgte lediglich die Anpassung an die Begriffsbestimmungen nach Art. 4 DSGVO (BT-Drs. 18/12611). Abs. 2 regelt daher seit 25.5.2018 die Verarbeitung von Sozialdaten; die früher...mehr

Rz. 48 In der wissenschaftlichen Forschung kann der Zweck der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten oftmals nicht vollständig angegeben werden; Forschungsfragen werden teilweise in einer offenen Vorgehensweise erst sukzessive entwickelt. Daher sollte es laut EG 33 DSGVO "betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche...mehr

Rz. 2 Die Vorschrift fasst die Ordnungswidrigkeiten gegen Regelungen im SGB III zusammen. Abs. 1 der Bußgeldvorschriften bestimmt die mittelbare illegale Ausländerbeschäftigung als Ordnungswidrigkeit. Betroffen sind Unternehmen, die ausländische Arbeitnehmer nicht selbst beschäftigen, sondern Aufträge oder Teile davon an ein oder mehrere andere Unternehmen vergeben, die wiede...mehr

Rz. 35 Eine Offenlegung i. S. v. Art. 4 Nr. 2 DSGVO kann auch in Form von Verbreitung oder sonstiger Bereitstellung von Daten erfolgen. Beide Begriffe sind weder in der DSGVO noch im SGB X definiert. Rz. 36 Die Verbreitung kommt an keiner anderen Stelle der DSGVO vor; lediglich in EG 49 der DSGVO wird von der Verhinderung der "Verbreitung schädlicher Programmcodes" gesprochen...mehr

Rz. 51 Abs. 2 Nr. 12 und 13 normierten bis zum 26.11.2019 Bußgeldtatbestände gegen datenschutzrechtliche Vorschriften in § 298. Privaten Vermittlern kann bei Zuwiderhandlung ein Bußgeld bis zu 30.000 EUR auferlegt werden (Abs. 3). Die Regelungen sollten verhindern, dass ein privater Vermittler betriebs- und personenbezogene Daten ohne Einwilligung erhebt, verarbeitet und nut...mehr

Rz. 42 Art. 4 Nr. 2 DSGVO zählt die Begriffe Löschen und Vernichtung als Vorgänge der Verarbeitung auf, ohne sie näher zu bestimmen. Rz. 43 Löschen war bis 24.5.2018 in § 67 Abs. 6 Nr. 5 SGB X a. F. definiert als das "Unkenntlichmachen gespeicherter Sozialdaten". Dies konnte z. B. durch Schwärzen oder Überschreiben erfolgen. Rz. 44 Neu im deutschen Datenschutzrecht und daher n...mehr

Rz. 3 Mit § 67b hat der Gesetzgeber von der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c und e i. V. m. Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 DSGVO Gebrauch gemacht und für bestimmte Vorgänge der Verarbeitung (Art. 4 Nr. 2 DSGVO) von Sozialdaten nationale Einschränkungen in Form von Zulässigkeitsvoraussetzungen geschaffen. Konkret betroffen sind die Vorgänge Speicherung,...mehr

Rz. 30 Art. 4 Nr. 2 DSGVO führt zum 25.5.2018 den neuen Begriff der Offenlegung ein. Art. 4 Nr. 2 DSGVO definiert den Begriff Offenlegung zwar nicht, erläutert ihn aber durch beispielhafte Auflistung verschiedener Arten von Offenlegung. Konkret und abschließend werden benannt die Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknü...mehr

Rz. 1 Abs. 1 und Abs. 3 wurden neu gefasst, Abs. 2 geändert und ergänzt (Nr. 4, 6, 7) zum 1.1.1998 durch das 1. SGB III-ÄndG v. 16.12.1997 (BGBl. I S. 2970). Dabei wurden Nr. 4 zu Nr. 5, Nr. 5 bis 23 zu Nr. 8 bis 26. Zum 1.8.2004 wurden Abs. 1 und Abs. 2 Nr. 24 redaktionell bereinigt, Abs. 2 Nr. 17 und 18 aufgehoben, Abs. 3 neu gefasst durch das Gesetz zur Intensivierung der ...mehr

Rz. 21 Seit 25.5.2018 umfasst die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 2 DSGVO auch das Erheben (Rz. 19). Art. 4 Nr. 2 DSGVO selbst definiert den Begriff Erheben nicht. An die Definition des § 67 Abs. 5 SGB X a. F. anknüpfend, die Erheben als "das Beschaffen" von Daten definierte, und den allgemeinen Definitionen in der Forschung folgend, die die Datenerhe...mehr

Rz. 27 Art. 4 Nr. 2 DSGVO bestimmt seit 25.5.2018 die "Verwendung" als Vorgang der Verarbeitung, definiert diesen Begriff jedoch nicht. In der DSGVO selbst ist der Begriff Verwendung nicht weiter enthalten. Lediglich in verschiedenen EG der DSGVO wird er erwähnt (z. B. EG 38, 50, 51) und zwar im Sinne von Benutzung. Weitere Synonyme sind Anwendung, Einsatz, Gebrauch, Nutzung,...mehr

Rz. 17 Als besonderen Fall der Zweckänderung nennt Abs. 2 Nr. 2 die Durchführung eines bestimmten Vorhabens der Forschung oder Planung. Neben der Erforderlichkeit müssen die Voraussetzungen des § 75 Abs. 1, 2 oder 4a vorliegen. Rz. 18 Eine andere Ausgangslage wird durch Abs. 5 geregelt. Hier geht es nicht um eine notwendige Zweckänderung, sondern die Sozialdaten sind von vorn...mehr

Rz. 2 Mit der Anpassung des § 67c an die Regelungen der DSGVO (Rz. 1) hat der Gesetzgeber – wie auch mit § 67b – von der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c und e i. V. m. Abs. 2 und Abs. 3 Satz 1 Buchst. b, Satz 2 DSGVO Gebrauch gemacht und für bestimmte Vorgänge der Verarbeitung (Art. 4 Nr. 2 DSGVO) von Sozialdaten nationale Einschränkungen in Form von Zulässigkeit...mehr

Rz. 28 Der Begriff Nutzen ist in Art. 4 DSGVO nicht enthalten. Da die Aufzählung der Verarbeitungsformen oder "Vorgänge oder Vorgangsreihen" in Art. 4 Nr. 2 DSGVO nicht abschließend ist (vgl. Rz. 20) hielt es der deutsche Gesetzgeber für vertretbar, dass die beiden Verarbeitungsformen – Verwendung und Nutzung – nebeneinander stehen können, wenn sie sich unterscheiden bzw. de...mehr

Rz. 30 Allgemein wird Freiwilligkeit oder auch Willensfreiheit definiert mit der subjektiv empfundenen menschlichen Fähigkeit, bei verschiedenen Wahlmöglichkeiten eine bewusste Entscheidung treffen zu können. Auch der deutsche Gesetzgeber setzt die Fähigkeit der freien Entscheidung des erwachsenen Menschen voraus, indem er in § 104 Nr. 2 BGB im Umkehrschluss die Geschäftsunf...mehr

Rz. 85 Zum 1.1.2018 traten Regelungen aus dem Gesetz zur Stärkung der Teilhabe und Selbstbestimmung von Menschen mit Behinderungen (Bundesteilhabegesetz – BTHG) v. 23.12.2016 (BGBl. I S. 3234) in Kraft. Betroffen sind insbesondere versicherungsrechtliche und förderungsrechtliche Vorschriften, häufig werden aber auch nur Verweisungen, insbesondere auf das SGB IX angepasst. Rel...mehr

Rz. 41 Die Einschränkung wird in Art. 4 Nr. 2 DSGVO als Vorgang der Verarbeitung aufgezählt. Zusätzlich wird die Einschränkung konkret in Art. 4 Nr. 3 DSGVO definiert (vgl. Rz. 46).mehr

Rz. 10 Abs. 4 wurde zum 25.5.2018 redaktionell an die Begrifflichkeiten der DSGVO angepasst und regelt daher dementsprechend die Verarbeitung von Sozialdaten; die frühere Aufzählung bzw. Unterscheidung in Erhebung, Verarbeitung und Nutzung konnte entfallen, da nach Art. 4 Nr. 2 DSGVO die Verarbeitung seitdem alle Phasen (Vorgänge) des Umganges mit personenbezogenen Daten umf...mehr

Rz. 20 Satz 3 begrenzt die Zulässigkeit der Übermittlung biometrischer, genetischer und Gesundheitsdaten auf die Übermittlungsbefugnisse der §§ 68 bis 77 oder einer anderen Rechtsvorschrift des SGB. Der deutsche Gesetzgeber hat hier von der Möglichkeit nach Art. 9 Abs. 4 DSGVO Gebrauch gemacht, nach dem er die sich unmittelbar aus Art. 9 Abs. 2 Buchst. b, d bis j DSGVO ergeb...mehr

Rz. 38 Beide Begriffe sind seit 25.5.2018 als Formen der Offenlegung neu aufgenommen durch Art. 4 Nr. 2 DSGVO und nicht definiert. Rz. 39 Der Begriff Abgleich kommt an keiner Stelle der DSGVO oder des SGB X vor. Es gibt aber mehrere Vorschriften in den übrigen Büchern des SGB und in verschiedenen Verordnungen, mit denen Abgleiche von personenbezogenen Daten zugelassen werden u...mehr

Rz. 25 § 67 Abs. 6 Satz 2 Nr. 2 SGB X a.F. definierte bis 24.5.2018 den Begriff Verändern als das "inhaltliche Umgestalten gespeicherter Sozialdaten". Art. 4 Nr. 2 DSGVO zählt den Begriff Veränderung als Vorgang der Verarbeitung auf, ohne ihn näher zu bestimmen. Es kann daher auf die bisherige Definition des § 67 SGB X a. F. zurückgegriffen und Veränderung als das inhaltlich...mehr

Rz. 4 Abs. 1 regelt "die Zulässigkeit von Datenspeicherung, -veränderung und -nutzung" (BT-Drs. 18/12611). Die Zulässigkeit der Datenspeicherung, -veränderung und -nutzung nach Abs. 1 Satz 1 erfordert zunächst, dass der Verantwortliche eine gesetzliche Aufgabe nach dem SGB zu erfüllen hat, für die er zuständig ist. Ferner muss das Speichern, Verändern oder Nutzen der Sozialda...mehr

Rz. 45 Die Einwilligung soll sich laut EG 32 DSGVO "auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden". Die weitere Forderung in EG 32 DSGVO, "dass die Einwilligung unter anderem freiwillig, für den konkreten F...mehr

Rz. 27 Wichtig Entgegen dem Titel der Vorschrift und dem Regelungsinhalt von Abs. 1 regelt Abs. 2 die Einwilligung in "die Verarbeitung" und damit in alle Vorgänge des Umganges mit personenbezogenen Daten gemäß Art. 4 Nr. 2 DSGVO, also auch die Erhebung (vgl. die Komm. zu § 67). Die Einwilligung hat nicht den Charakter einer rechtsgeschäftlichen Einwilligung nach dem BGB, son...mehr

Rz. 2 § 67 enthielt bis 24.5.2018 eine Definition aller wesentlichen Begriffe des Sozialdatenschutzrechts einschließlich der Definitionen sämtlicher Phasen (jetzt Vorgänge) des Umganges mit Sozialdaten (von der Erhebung bis zur Löschung); auch die Begriffe Empfänger von Daten, Dritter, Anonymisierung und Pseudonymisierung waren definiert. Rz. 3 § 67 musste unter Berücksichtig...mehr

Rz. 23 Art. 4 Nr. 2 DSGVO benennt als Vorgänge der Verarbeitung auch die bisher im (Sozial-)Datenschutzrecht nicht definierten Begriffe der Organisation und des Ordnens von Daten, ohne beide Begriffe zu bestimmen. Synonyme für Organisation in diesem Zusammenhang sind z. B. Aufbau, Organisierung, Architektur, Aufbau, Bau, Gebilde, Gefüge, Struktur, System, Komposition, Konstru...mehr

Rz. 11 Abs. 3 lässt seit 25.5.2018 die Einschaltung von Vermittlungsstellen für die Übermittlung von Sozialdaten zu, ohne dies zu begrenzen auf "maschinell verwertbare Datenträger oder im Weg der Datenübertragung" (§ 67d Abs. 4 Satz 1 SGB X a. F.). Damit ist jede Form der Übermittlung (vgl. Rz. 2) zulässig. Rz. 12 Allerdings gibt Abs. 3 auch die Rahmenbedingungen vor, in dem ...mehr

Rz. 24 Bis 24.5.2018 definierte § 67 Abs. 6 Satz 2 Nr. 1 SGB X a. F. den Begriff des Speicherns als "das Erfassen, Aufnehmen oder Aufbewahren von Sozialdaten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung". Die technische Beschaffenheit als "Datenträger" war irrelevant, mithin war beispielsweise auch Papier oder die Tonaufnahme mit umfasst. Seit 25....mehr

Rz. 26 Art. 4 Nr. 2 DSGVO zählt die Begriffe Auslesen und Abfragen als Vorgänge der Verarbeitung auf, ohne sie näher zu beschreiben. Beide Begriffe sind neu im deutschen Datenschutzrecht und daher noch nicht definiert. Abfragen wird als Gewinnung von Daten aus einem Datenspeicher oder Feststellung von Informationen auf bestimmten Speicherplätzen definiert. Auslesen bedeutet in...mehr

Rz. 32 Der Begriff Übermittlung spielt im SGB X eine zentrale Rolle. Bis 24.5.2018 definierte § 67 Abs. 6 Nr. 3 SGB X a. F. Übermitteln als das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Sozialdaten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht ...mehr

2.2.2.6.1 Verwendung Rz. 27 Art. 4 Nr. 2 DSGVO bestimmt seit 25.5.2018 die "Verwendung" als Vorgang der Verarbeitung, definiert diesen Begriff jedoch nicht. In der DSGVO selbst ist der Begriff Verwendung nicht weiter enthalten. Lediglich in verschiedenen EG der DSGVO wird er erwähnt (z. B. EG 38, 50, 51) und zwar im Sinne von Benutzung. Weitere Synonyme sind Anwendung, Einsatz...mehr