Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Gemäß Art. 30 Art. 1 DSGVO sind Verantwortliche dazu verpflichtet, alle Verarbeitungstätigkeiten in ihrem Zuständigkeitsbereich übersichtlich und kompakt in einem Verarbeitungsverzeichnis festzuhalten. Im Verarbeitungsverzeichnis sollte auch der Einsatz der digitalen Personalakte dokumentiert sein. Insbesondere sollte festgehalten werden, zu welchem Zweck der Einsatz der dig...mehr

Rz. 13 Hoffmann, Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO – Unter besonderer Berücksichtigung der datenschutzrechtlichen Vorgaben in Deutschland, Diss. Universität Rijeka 2021. Spiecker gen. Döhmann, Gesundheitsversorgung in Zeiten der Datenschutz-Grundverordnung, S. 11 (Schriften zur Gesundheitspolitik). Wobbe, Datenschutz im Gesundheitswes...mehr

Rz. 1 § 304 ist durch das Gesetz zur Strukturreform im Gesundheitswesen (Gesundheitsreformgesetz – GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 eingeführt worden. Das Gesetz zur Sicherung und Strukturverbesserung im Gesundheitswesen (Gesundheitsstrukturgesetz – GSG) v. 21.12.1992 (BGBl. I S. 2266) hat Abs. 1 Satz 1 Nr. 2 ergänzt. Mit dem Zweiten Gesetz zur Änderung des ...mehr

Rz. 3 Krankenhäuser haben die Einhaltung von Strukturmerkmalen nach dem OPS durch den MD begutachten zu lassen (Satz 1). Vorher können Leistungen mit Krankenkassen weder vereinbart noch abgerechnet werden. Grundlage der Begutachtung ist die "Richtlinie nach § 283 Absatz 2 Satz 1 Nr. 3 SGB V zu regelmäßigen Begutachtungen zur Einhaltung von Strukturmerkmalen von OPS-Kodes" de...mehr

Problemüberblick Im Fall will ein Wohnungseigentümer auf einem eleganten Weg eine vollständige Eigentümerliste in die Hand bekommen. Das OLG verweigert ihm diese, da es in der Hand des Grundbuchamts liegt, ob es eine Liste führt – und mit welchen Inhalten. Dies gilt allgemein. Ein Wohnungseigentümer kann nach § 12a Abs. 1 Satz 3 GBO nur eine Auskunft zum Bestand erlangen. Eins...mehr

Rz. 3 Daten, die für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, sind unverzüglich zu löschen (VO (EU) 2016/679; BSG, Urteil v. 18.12.2018, B 1 KR 31/17 R). Die Norm konkretisiert diesen Grundsatz für die Sozialdaten, die bei Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungsausschüsse an...mehr

Überblick Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, sie beschäftig...mehr

Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit d...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Der Mandant kann gem. Art. 15 DSGVO Auskunft über die vom Steuerberater verarbeiteten personenbezogenen Daten verlangen, insbesondere über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Ein...mehr

Der Steuerberater als Inhaber der Kanzlei selbst darf sich nach dem Gesetz nicht zum Datenschutzbeauftragten bestellen (Interessenkollision; Art. 38 Abs. 3 DSGVO). Aus Gründen der Gefahr der fehlenden Objektivität darf auch nicht der für die EDV verantwortliche Mitarbeiter Datenschutzbeauftragter werden. Datenschutzbeauftragter kann sowohl ein Mitarbeiter der Steuerberatungska...mehr

Die Datenschutzaufsichtsbehörde (Art. 51 ff. DSGVO) sorgt für die Einhaltung der datenschutzrechtlichen Regelungen (§§ 8, 18 ff. BDSG). Es ist Ländersache, welche Stellen die Aufgaben der Aufsichtsbehörden übernehmen. In jedem Bundesland existiert eine Aufsichtsbehörde, welcher die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich obliegt (§§ 19 ff. BDSG).[1] Der Ste...mehr

Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Er ist aber in der Wahrnehmung seiner Aufgaben weisungsfrei. Sinn und Zweck des Datenschutzbeauftragten ist es, die Personen, die hinter den Daten stehen, zu schützen. Er ist daher überwiegend beratend tätig, nimmt dem Kanzleiinhaber also nicht dessen Verantwortung ab. Der Datenschutzbeauftragte ist...mehr

Ein Steuerberater, der mindestens 20 Mitarbeiter beschäftigt, die mit der automatisierten Verarbeitung (Erhebung, Verarbeitung oder Nutzung) der personenbezogenen Daten beschäftigt werden, muss dafür sorgen, dass ein Datenschutzbeauftragter (s. Tz. 3) benannt wird (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG)[1] und der zuständigen Aufsichtsbehörde (online) gemeldet wird.[2] Es k...mehr

Art. 37 Abs. 5 DSGVO legt fest, dass zum Beauftragten für den Datenschutz nur benannt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Anforderungen, die an den Datenschutzbeauftragten zu stellen sind, hängen auch von der Kanzleigröße, der Zahl der Mitarbeiter, dem Umfang und der Art der Datenverarbeitung ab. Grundsätzlich ist ein Mitarbeiter aus ...mehr

Rechtsgrundlage für den Datenschutz in Deutschland sind für privatrechtlich organisierte Wohnungsunternehmen die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Die EU-Datenschutz-Grundverordnung regelt unmittelbar den Datenschutz in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Die DSGVO ist zwingendes Recht, das in allen Mitgliedstaa...mehr

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsi...mehr

Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (Art. 38 Abs. 3 Satz 2 DSGVO). Demnach darf der Datenschutzbeauftragte aufgrund seiner Tätigkeit nicht abberufen oder in anderer Weise benachteiligt werden. Das BDSG konkretisiert die Vorgaben der Datenschutz-Grundverordnung in § 6 Abs. 4. Diese Regelungen gelten jedoch nur, wenn die Bestellung verp...mehr

Die von der Datenverarbeitung betroffenen Personen können den Datenschutzbeauftragten zu allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte aus der Datenschutz-Grundverordnung zurate ziehen (Art. 38 Abs. 4 DSGVO). Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung...mehr

Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das "Recht auf Vergessenwerden" in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei...mehr

"Unternehmen" ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform. Eine "Unternehmensgruppe" ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Jedes Unternehmen der Unternehmensgruppe wird als eigenständige Einheit behandelt und hat für ...mehr

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 ...mehr

Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige un...mehr

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.mehr

In allen Prozessen des Immobilienunternehmens, in denen personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten. Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten 3.1 Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevan...mehr

Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen...mehr

Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben ...mehr

Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarb...mehr

Bei besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Fall einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen in Höhe von bis zu 20 Mio. EUR oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 DSGVO) möglich, wobei der jeweils...mehr

Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet und die andere Stelle ist den Weisungen des Auftraggebers unterworfen, liegt eine Auftragsverarbeitung i. S. d. Art. 28 Abs. 1 DSGVO vor. Weitere Voraussetzung für eine Auftragsverarbeitung ist, dass der Auftragnehmer keine eigene Entscheidungsbefugnis hat, wie mit den zur Verfügung gestellten Daten um...mehr

Nach Art. 15 DSGVO kann eine betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person ein Auskunftsrecht bezüglich der sie betreffenden personenbezogenen Daten über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werde...mehr

Es können Geldbußen in Höhe von bis zu 10 Mio. EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art. 83 Abs. 4 DSGVO), wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann. Mögliche Verstöße, die mit einem Bußgeld geahndet werden können, sind z. B.: unzulässige Weitergabe p...mehr

Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden (siehe DSGVO-Pflichten für Unternehmen, Kap. 7.1 Berichtigung.mehr

Bei einer Sperrung werden die personenbezogenen Daten nicht gelöscht, doch können sie nur noch für einen bestimmten Zweck verwendet werden (siehe DSGVO-Pflichten für Unternehmen, Kap. 7.3 Sperrung/ Einschränkung.mehr

"Verantwortlicher" ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Bei Kapitalgesellschaften oder Genossenschaften ist Verantwortlicher das Unternehmen, nicht die Geschäftsleitung. Das Geschäftsführungsorgan bestimmt zwar im Rahmen der Geschäftsführungsbefugnis die Orga...mehr

Betroffene können die Einschränkung der Verarbeitung verlangen, wenn die Richtigkeit der personenbezogenen Daten des Betroffenen bestritten wird, die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt, die personenbezogenen Daten für die Zwecke der V...mehr

Bei der Bemessung der Bußgelder gilt der Grundsatz, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Art. 83 Abs. 2 Satz 2 lit. a bis k DSGVO enthält eine Liste von Kriterien, die bei der Entscheidung über die Verhängung und die Höhe eines Bußgeldes im Einzelfall berücksichtigt werden. Bei der Bemessung müssen im Einzelnen berücksichtigt werden: Art, S...mehr

Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO), Pflichten bei der Auftragsverarbeitung, Informationspflichten bei der Datenerhebung, Auskunfts- und Berichtigungspflichten gegenüber Betro...mehr

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Ein Schadenersatzanspruch besteht nicht, wenn der Verantwortliche oder sein Auftragsverarbeiter nachweisen, dass sie in keinerlei Hinsicht für den aufgetretenen Schaden verantwor...mehr

Betroffene haben zahlreiche Rechte aus der DSGVO: Betroffenenrechte 3.5.1 Informations- und Benachrichtigungsrechte (Art. 13 und 14 DSGVO) Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden ...mehr

Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden oder bei einem Dritten. Zu Einzelheiten siehe Informations- und Auskunftspflichten bei der Datenerhebung.mehr

Der Betroffene hat das Recht, von einem Verarbeiter eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, besteht ein Auskunftsanspruch über diese Daten, die Verarbeitungszwecke, die Herkunft der verarbeiteten Daten, über Empfänger dieser Daten und über die Dauer der Speicherung. Zu Einzelheiten siehe Informatio...mehr

Ein Drittstaat ist nicht Mitglied der Europäischen Union. Eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der Europäischen Union oder eine internationale Organisation ist nur unter den in den Artikeln 44 bis 50 DSGVO genannten Voraussetzungen zulässig.mehr

Betroffene haben Anspruch auf eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat. Damit kann der Betroffene seine Daten von einem Anbieter zu einem anderen "mitnehmen". Das Recht ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat. In der Praxis dürfte dieses neue Recht fü...mehr

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Besteht eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten (z. B. aus dem Handels- oder Steuerrecht), so is...mehr

1.1.1 Nach Art. 37 DSGVO Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zw...mehr

Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden. Weiter kann verlangt werden, dass unter Berücksichtigung der Zwecke der Verarbeitung unvollständige personenbezogene Daten ggf. mittels ergänzender Erklärung vervollständigt werden.mehr

Erfolgt eine Verarbeitung im berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO), kann der Betroffene dagegen Widerspruch erheben. Bei einem berechtigten Widerspruch darf der Verantwortliche die Daten nicht mehr verarbeiten. Der Widerspruch ist zu begründen, da ein berechtigter Widerspruch voraussetzt, dass sich die Widerspruchsgründe aus der besonderen Situation des Betroff...mehr