Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 1 Die Vorschrift trat mit Art. 1 des Vierten Gesetzes für moderne Dienstleistungen am Arbeitsmarkt v. 24.12.2003 (BGBl. I S. 2954) am 1.1.2005 (Art. 61 Abs. 1 des genannten Gesetzes) in Kraft. Zwischenzeitlich wurde sie durch das Kommunale Optionsgesetz v. 30.7.2004 (BGBl. I S. 2014) zum 6.8.2004 (Art. 1 Nr. 24, Art. 17) geändert. Diese Änderung wurde jedoch erst mit Ink...mehr

Rz. 26 Der zum 26.11.2019 neu gefasste Abs. 4 erklärt die Anwendbarkeit der datenschutzrechtlichen Regelungen des Sozialdatenschutzes für die Verarbeitung von Sozialdaten durch eine gemeinsame Einrichtung und stellt klar, dass diese Regelungen abschließend sind (BR-Drs. 430/18 S. 415). Damit ist klargestellt, dass eine Verarbeitung von Sozialdaten durch die gemeinsame Einric...mehr

Rz. 1 § 25a ist durch Art. 1 Nr. 2 des Gesetzes zur Weiterentwicklung der Krebsfrüherkennung und zur Qualitätssicherung durch klinische Krebsregister (Krebsfrüherkennungs- und -registergesetz – KFRG) v. 3.4.2013 (BGBl. I S. 617) mit Wirkung zum 9.4.2013 neu eingefügt worden. Die Norm entspricht weitgehend dem Gesetzentwurf der Bundesregierung (BT-Drs. 17/11267). Rz. 1a Art. 1...mehr

Rz. 1 Die Vorschrift ist durch Art. 1 des Neunten Gesetzes zur Änderung des Zweiten Buches Sozialgesetzbuch – Rechtsvereinfachung – sowie zur vorübergehenden Aussetzung der Insolvenzantragspflicht v. 26.7.2016 (BGBl. I S. 1824) mit Wirkung zum 1.8.2016 in das SGB II eingefügt worden. Mit Art. 122 des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU)...mehr

Rz. 17 Die DSGVO gilt nach deren EG 27 ausdrücklich nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten der EU können hierzu aber nationale Vorschriften erlassen. § 35 Abs. 5 ist eine derartige nationale Regelung für die Verarbeitung von Sozialdaten Verstorbener. Sie dürfen nach Satz 1 grundsätzlich nur unter den Voraussetzungen der §§ 67 ff. SGB X (2. Kap...mehr

Rz. 11 Sozialdaten sind nach § 67 Abs. 2 sind personenbezogene Daten (Art. 4 Nr. 1 der Verordnung (EU) 2016/679), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden. Die Befugnis zur Übertragung von Daten an nicht öffentliche Stellen erfasst den gesamten Datenbestand. Möglich ist aber auch, dass nur Teile des ...mehr

Rz. 54 Die mit Wirkung zum 26.11.2019 erfolgte Änderung des Abs. 3f (Streichung der Wörter "Erhebung und") ist nach der Gesetzesbegründung eine redaktionelle Anpassung an Art. 4 Nr. 2 der Verordnung (EU) 2016/679, der nicht zwischen Weitergabe und Übermittlung von Daten unterscheidet. Inhaltliche Änderungen ergeben sich hierdurch nicht. Das Verfahren der Pseudonymisierung na...mehr

Rz. 1 Aufgrund des Entwurfs eines Gesetzes zur optionalen Trägerschaft von Kommunen nach dem Zweiten Buch Sozialgesetzbuch (Kommunales Optionsgesetz) v. 30.3.2004 (BT-Drs. 15/2816) musste die am 29.12.2003 verkündete Vorschrift des § 52 (BGBl. I S. 2954) im Verlauf des Gesetzgebungsverfahrens an die Pluralität der Trägerlandschaft angepasst werden. Es handelt sich um redakti...mehr

Rz. 1 Die Vorschrift trat mit Art. 1 des Vierten Gesetzes für moderne Dienstleistungen am Arbeitsmarkt v. 24.12.2003 (BGBl. I S. 2954) am 1.1.2005 (Art. 61 Abs. 1 des genannten Gesetzes) in Kraft. Zwischenzeitlich wurde sie durch das Kommunale Optionsgesetz v. 30.7 2004 (BGBl. I S. 2014) zum 6.8.2004 (Art. 1 Nr. 23, Art. 17) geändert. Diese Änderung wurde jedoch erst mit Ink...mehr

Rz. 74 Ziel der DSGVO ist es, dass jede betroffene Person einen vollständigen und wirksamen Schadenersatz für einen erlittenen Schaden erhalten soll. Der Begriff des Schadens soll dabei weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung (Art. 1 DSGVO) in vollem Umfang entspricht (EG 146 DSGVO). Art. 82 Abs. 1 DSGVO formuliert in diesem Sinn, da...mehr

Rz. 1 Wie keine andere hat diese Regelung nicht nur eine Vielzahl redaktioneller, sondern auch sachlicher Änderungen erfahren. Die Vorschrift ist mit Art. 1 Gesundheits-Reformgesetz (GRG) v. 20.12.1988 (BGBl. I S. 2477) zum 1.1.1989 in Kraft getreten und hat, bezogen auf den Bundesmantelvertrag, § 368g Abs. 2 RVO ersetzt. Das Gesetz zur Sicherung und Strukturverbesserung der...mehr

Rz. 42 Transparenz sollte für die betroffene Person dahingehend bestehen zu wissen, dass und in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. Um dies zu erreichen, sollten nach EG 39 DSGVO "alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst" wer...mehr

Rz. 50 Aus EG 77 DSGVO lässt sich entnehmen, dass die Umsetzung der geforderten Maßnahmen und Nachweise "insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden könnten. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen ...mehr

Rz. 56 Dieses Verzeichnis ist nach Art. 30 Abs. 1 DSGVO von jedem Verantwortlichen oder seinem Vertreter zu führen und hat folgende Angaben zu enthalten den Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; die Zwecke der Verarbeitung; eine Beschreibu...mehr

Rz. 58 Die Verzeichnisse durch den Verantwortlichen oder den Auftragsverarbeiter sind schriftlich zu führen; dies kann auch in elektronischer Form erfolgen ( Art. 30 Abs. 3 DSGVO). Auf Anfrage sind die Verzeichnisse der Aufsichtsbehörde zur Verfügung zu stellen ( Art. 30 Abs. 4 DSGVO). Rz. 59 Art. 30 Abs. 5 DSGVO enthält eine Ausnahme von der Pflicht zum Führen eines Verzeichnis...mehr

Rz. 49 Gemäß Art 24 DSGVO setzt der Verantwortliche geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Der EG 74 DSGVO stellt ergänzend klar, dass damit sowohl die Verantwortung als auch die Haftung des Verantwortlichen für jedwede Verarbeitung personenb...mehr

Rz. 6 Geschützt sind Sozialdaten. Der Begriff ist im § 67 Abs. 2 Satz 1 SGB X gesetzlich definiert (vgl. dort). Geschützt sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen oder beziehen lassen. Es ist unerheblich, ob es sich um Tatsachen oder Bewertungen handelt. Es gibt auch keine Abstufung nach dem Grad der Sensibilität des ein...mehr

Rz. 51 Nach Art. 24 DSGVO hat der Verantwortliche bei den zu treffenden Maßnahmen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen, d. h. er hat eine Risikobewertung vorzunehmen. Das Risiko sollte anhand einer objektiven Bewertung beurteilt...mehr

Rz. 57 Nach Art. 30 Abs. 2 DSGVO ist auch von jedem Auftragsverarbeiter und gegebenenfalls seinem Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung zu führen. Dieses Verzeichnis sollte Folgendes enthalten: den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in de...mehr

Rz. 78 Verantwortliche und Auftragsverarbeiter sind nur dann von ihrer Haftung befreit, wenn sie nachweisen können, dass sie in keiner Weise für den Schaden verantwortlich sind ( Art. 82 Abs. 3 DSGVO). Hinweise, wie dieser Nachweis geführt werden kann, enthält z. B. Art. 24 DSGVO, nach dem ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO als Faktor/Gesichtspunkt fü...mehr

Rz. 88 Mit der Änderung des Abs. 2b Satz 3 ist durch Beschluss des Ausschusses für Gesundheit (14. Ausschuss des Bundestages) zum TSVG geregelt worden, dass die Hausärzte und die ihnen gleichgestellten Kinder- und Jugendmediziner mit Wirkung zum 1.9.2019 bei einer schnellen Behandlungsübernahme nach Terminvermittlung durch die Terminservicestelle (vgl. § 75 Abs. 1a Satz 3 Nr...mehr

Rz. 62 Art. 32 Abs. 1 DSGVO enthält eine nicht abschließende Aufzählung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus; danach sollen diese Maßnahmen unter anderem Folgendes einschließen: die Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit un...mehr

Rz. 41 Der Begriff "Treu und Glauben" ist neu im deutschen Datenschutzrecht. Er wurde auch in das BDSG (§ 47) übernommen, ist aber gesetzlich nicht definiert. Auch in den EG 39 und 45 der DSGVO wird lediglich wiederholt, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgen soll. In Deutschland ist Treu und Glauben ein in der Rechtsprechung und Lehre beherrsche...mehr

Rz. 31 Ob und inwieweit eine Verarbeitung befugt geschehen kann, also erlaubt ist, stellt Abs. 2 klar. Nach Satz 1 regeln diese Erlaubnis abschließend die Vorschriften des 2. Kapitels des SGB X (§§ 67 bis 85a SGB X) und – seit 25.5.2018 – der übrigen Bücher des Sozialgesetzbuches, soweit nicht unmittelbar die DSGVO gilt. Satz 1 berücksichtigt, dass die DSGVO unmittelbar neben...mehr

Rz. 64 Der Verantwortliche und der Auftragsverarbeiter haben nach Art. 32 Abs. 4 DSGVO Schritte zu unternehmen um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichte.mehr

Rz. 11 Nach § 35 Abs. 4 stehen Betriebs- und Geschäftsgeheimnisse den Sozialdaten gleich. Die Ausweitung des Sozialgeheimnisses auch auf Betriebs- und Geschäftsgeheimnisse berücksichtigt die Tatsache, dass die Sozialleistungsträger im Rahmen ihrer Aufgabenerfüllung nach dem SGB auch Informationen über Firmen/Arbeitgeber (z. B. im Rahmen von Betriebsprüfungen) erhalten. Wie b...mehr

Rz. 82 Die Verwendung des Wortes "Anspruch" in Abs. 1 Satz 1 begründet für die betroffenen Personen ein einklagbares Forderungsrecht auf Wahrung des Sozialgeheimnisses. Der Rechtsweg richtet sich seit 25.5.2018 nach § 81b SGB X, der durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Gesetze v. 17.7.2017 (BGBl. I S. 2541) zur Anpassung an die DSGVO (ABl. L...mehr

Rz. 30 Nach Abs. 1 Satz 1 dürfen die Sozialdaten nicht unbefugt verarbeitet werden (Verbot). Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO alle Formen des Umganges (Vorgänge) mit Sozialdaten von der Erhebung bis zur Löschung/Vernichtung (vgl. auch Rz. 16). Insbesondere wird darauf hingewiesen, dass der Verarbeitungsbegriff auch die Übermittlung beinhaltet.mehr

Rz. 14 Nach Abs. 1 Satz 1 hat "jeder" Anspruch auf Wahrung der ihn betreffenden Sozialdaten als Sozialgeheimnis. Gemeint ist jede natürliche Person. Bezieht sich ein Sozialdatum, z. B. das Versicherungsverhältnis, gleichzeitig auf mehrere natürliche Personen (Versicherter, mitversicherte Ehefrau und Kinder), so fallen die Daten jedes Einzelnen unter das Sozialgeheimnis. Rz. ...mehr

Rz. 72 Die Verarbeitung von Sozialdaten ist immer dann unbefugt, wenn sie nicht auf der Grundlage einer entsprechenden Vorschrift des 2. Kapitels SGB X oder der übrigen Bücher des SGB geschieht, sofern nicht die DSGVO gilt. Solche unbefugt verarbeitet Sozialdaten dürfen von keiner Person oder Stelle verwendet werden; auch nicht für gerichtliche Verfahren. Kommt es zu einer un...mehr

Rz. 2 Im Zusammenhang mit einem Versicherungsverhältnis und der Erbringung von Sozialleistungen wird von den Leistungsträgern eine Fülle von persönlichen Daten (Berufsweg, Einkommen, Familienverhältnisse, Gesundheitszustand usw.) benötigt. Diesem umfassenden Informationsbedarf können sich die betroffenen Personen faktisch nicht entziehen, da ihnen eine gesetzliche Mitwirkung...mehr

§ 29 Allgemeines Der Gerichtsvollzieher regelt seinen Geschäftsbetrieb nach eigenem pflichtgemäßen Ermessen, soweit hierüber keine besonderen Bestimmungen bestehen. § 30 Geschäftszimmer (Fn 7) (1) Der Gerichtsvollzieher muss an seinem Amtssitz ein Geschäftszimmer auf eigene Kosten unterhalten. Der Präsident des Landgerichts (Amtsgerichts) kann dem Gerichtsvollzieher gestatten, ...mehr

Rz. 44 Nach § 3 Abs. 2 Nr. 7 ZVFV ist es zulässig, weitere Anlagen einem Formular beizufügen, soweit in dem Formular die gewünschten Angaben nicht gemacht werden können. Unter "gewünscht" werden trotz der unglücklichen Wortwahl nur Angaben zu verstehen sein, die nach Maßgabe der gesetzlichen Bestimmungen für die Durchführung der Zwangsvollstreckung erforderlich sind. Dass pe...mehr

Rz. 78 Sehr viel wichtiger als die Auskünfte nach Modul M zum Aufenthalt des Schuldners sind die Auskünfte nach Modul N über Einkommen und Vermögen des Schuldners. Modul N gibt die Möglichkeit, Anträge auf Einholung von Auskünften Dritter nach § 802l ZPO über den Gerichtsvollzieher zu beauftragen. Der Gläubiger kann unter den weiteren Voraussetzungen des § 802l ZPO bei dem Ger...mehr

Rz. 85 Der Rechtsanwalt muss durch das Anlegen von – elektronischen (§ 50 Abs. 4 BRAO) oder analogen – Handakten ein geordnetes Bild über die von ihm entfaltete Tätigkeit geben können, § 50 Abs. 1 BRAO.[58] Wird die anwaltliche Handakte ausschließlich elektronisch geführt, muss sie ihrem Inhalt nach einer analogen Akte entsprechen. Sie muss speziell zu Fristnotierung ebenso ...mehr

Digitalisierung und deren Überwachungsfolgen alarmieren natürlich auch die Datenschützer. Datenschutz ist ein wichtiges Thema im Zeitalter der Digitalisierung und übrigens heute eines der häufigsten Themen bei Betriebsvereinbarungen. Maßnahmen der Beschäftigtenüberwachung unterliegen der betrieblichen Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG). Der Einsatz technischer Vorricht...mehr

Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorherig...mehr

Auf den ersten Blick eindeutiger ist die Haftung bei Fällen mangelnder IT-Sicherheit geregelt, die unter das Strafgesetzbuch ( StGB) fallen. Dort gibt es etwa im § 203 für Ärzte, Rechtsanwälte und andere bestimmte Berufsgruppen Sonderregelungen, die auch Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten oder Klienten ohne deren Einwilligung in die ...mehr

Im betriebswirtschaftlichen Jargon werden gerne Anglizismen verwendet. Ein Begriff, der mittlerweile nicht mehr wegzudenken ist, lautet Compliance. Gemeint ist damit die Rechtskonformität, also die Umsetzung und das Befolgen aller gesetzlichen und vertraglichen Regelungen und Verpflichtungen. Betroffen vom Compliance-Gebot sind alle Kapitalgesellschaften – also auch kleine G...mehr

mehr

Erste Orientierungsphase: Untersuchungszielsetzung, -planung und -taktikmehr

Da es sich um personenbezogene Daten handelt, muss damit gemäß den geltenden Datenschutzbestimmungen (Bundesdatenschutzgesetz) umgegangen werden, auch ohne dass Detailregelungen dazu in der ArbMedVV aufgeführt wären. Konkret bedeutet das: Es muss eine verbindliche Zugriffsregelung bestehen, d. h. die Vorsorgekartei muss unter Verschluss aufbewahrt werden, z. B. in einem versc...mehr

Rz. 13 Werden personenbezogene Arbeitnehmerdaten in einer Datei, etwa einer Urlaubskartei, Fehlzeitkartei, Pfändungskartei, elektronischen Personalakte etc. verarbeitet oder genutzt, sind die datenschutzrechtlichen Regelungen zu beachten, insbesondere die in Art. 5 DSGVO genannten Prinzipien Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeitsgewähr und Beschränkung der...mehr

Überblick Eignungsdiagnostik prüft die Passung zwischen Person und Stelle, um die besten Kandidaten auszuwählen. Mit zunehmendem Fachkräftemangel gewinnt sie an Bedeutung. Zwei Hauptfehler können dabei auftreten: Die Einstellung ungeeigneter Kandidaten (Fehler erster Art) und die Ablehnung geeigneter Kandidaten (Fehler zweiter Art). Eignungsdiagnostik erfordert wissenschaftl...mehr

Rz. 8 § 83 BetrVG stellt eine eigenständige Anspruchsgrundlage des Einsichtsrechts dar.[1] Das Einsichtsrecht steht dem Arbeitnehmer höchstpersönlich zu. Er kann jedoch auch eine Person hierzu bevollmächtigten, wobei der Arbeitgeber auf einer schriftlichen Vollmacht bestehen kann, die zur Personalakte genommen werden darf. Bei dem Bevollmächtigten kann es sich auch um ein Be...mehr

Ob Cyberkriminalität oder Künstliche Intelligenz: Das Nutzen, Sammeln und Speichern von (Mieter-)Daten birgt viele Risiken. Wie sicher damit umgehen? Ein neuer Leitfaden für die Immobilienwirtschaft informiert umfassend zur DSGVO und zum Datenschutz. Das Institut für Corporate Governance in der deutschen Immobilienwirtschaft (ICG) hat in Zusammenarbeit mit den Datenschutzexpe...mehr

Rz. 1 Nach der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904) vollständig verändert und an die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verar...mehr

Rz. 23 Es handelt sich um die Übernahme der bis zum 24.5.2018 geltenden Regelung, deren Zulässigkeit sich seit dem 25.5.2018 auf Art. 49 Abs. 5 DSGVO stützt, der den Mitgliedsstaaten gestattet, Beschränkungen für Übermittlungen ohne Angemessenheitsbeschluss zu regeln (BT-Drs. 18/12611). Liegt kein Angemessenheitsbeschluss vor, ist nach Abs. 3 Satz 1 eine Übermittlung von Sozi...mehr

Rz. 1 Die Vorschrift wurde zum 1.1.1981 mit dem SGB X v. 18.8.1980 (BGBl. I S. 1469) in Kraft gesetzt. Überarbeitet wurde sie durch das Zweite SGB-ÄndG v. 13.6.1994 (BGBl. I S. 1229), in dessen Fassung sie bis heute mit geringfügigen Änderungen gilt. Im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift neu bekannt gemacht. Vom Gesetz...mehr

Rz. 1 Durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904), mit dem die Vorschriften des SGB X an die EU-Datenschutzrichtlinie angepasst wurden (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenve...mehr