Fachbeiträge & Kommentare zu Datenschutz

Die Verantwortung für den Datenschutz im Unternehmen kann bei unterschiedlichen Gruppen liegen. Infrage kommen hier der oder die Geschäftsführer, die Mitarbeitenden sowie ggf. ein Datenschutzbeauftragter. Geschäftsführer sind grundsätzlich für alle Belange des Unternehmens verantwortlich, damit auch für den Bereich des Datenschutzes, d. h. die Einrichtung personeller, organis...mehr

Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Diese muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Solc...mehr

3.1 Technische und organisatorische Maßnahmen Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichk...mehr

Unter "Outsourcing" wird das Verlagern von Prozessen oder Tätigkeiten an Stellen außerhalb des Unternehmens verstanden. Werden Daten dazu an Dritte herausgegeben, so sollte schon bei der Auswahl der Partnerunternehmen auf einen ausreichenden Datenschutz geachtet werden. Zudem sollte schriftlich geregelt sein, wie mit den übergebenen Daten verfahren wird. Hierzu zählen z. B. ...mehr

Bei Datenschutzverletzungen drohen sowohl gesetzlich normierte als auch vertraglich festgelegte Sanktionen. 9.1 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über ...mehr

Kunden sind für die meisten Unternehmen das wichtigste Gut, denn ohne Nachfrage kann kein Unternehmen Waren oder Dienstleistungen absetzen. Der Schutz von Kundendaten bedeutet den Schutz von Unternehmen UND Personen. Im Einzelnen sind dies insbesondere Schutz von Daten, die im Rahmen von Geschäftsprozessen genutzt werden. So z. B. Arbeitsergebnisse, Vorlagen, übergebene Unter...mehr

Der Datenschutz gegenüber einem Lieferunternehmen ist ähnlich gelagert wie der Datenschutz gegenüber der Kundschaft. Auch hier dürfen personenbezogene Daten nur unter Beachtung der bereits genannten Voraussetzungen für den Datenschutz nach der DSGVO und dem BDSG erhoben, gespeichert oder verarbeitet werden. Bei eigenen Lieferunternehmen wird häufig übersehen, dass auch hier i...mehr

Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen ("Datenminimierung", Art. 5 Abs. 1 lit. c DSGVO). Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck mögl...mehr

Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangene...mehr

Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Daten von Mens...mehr

Einführung Im betrieblichen Alltag werden Unmengen an Daten produziert und genutzt. Hierzu zählen zum einen Daten, die im Rahmen betrieblicher Prozesse produziert werden, z. B. Druckdaten für Prospekte, Schriftstücke, Programme zur Maschinensteuerung etc. Von diesen Daten sind solche zu unterscheiden, die Auskunft über eine menschliche Person geben. Die personenbezogenen Date...mehr

Was hinsichtlich des Datenschutzes zu tun ist, hängt von verschiedenen Faktoren ab. Zum einen gibt es allgemeine Empfehlungen, die immer beachtet werden sollten, auch wenn hierzu keine expliziten vertraglichen oder gesetzlichen Verpflichtungen bestehen. Diese Regeln dienen dem Schutz des Unternehmens vor vermeidbaren Unannehmlichkeiten durch einen Datenmissbrauch durch Dritt...mehr

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Neben der unmittelbaren Haftung im Fall einer Datenschutzverletzung dürfen auch vertraglich vereinbarte Sanktionen nicht außer Acht gelassen werden. Das Unternehmen kann gegenüber Kundschaft, Liefer-Unternehmen oder Mitarbeitenden haften, sofern gegen vertragliche Vereinbarungen oder Pflichten verstoßen wurde. Am häufigsten kommen wohl Verstöße gegen explizit geregelte Geheim...mehr

Eine Datenschutzverletzung kann hohe Bußgelder nach sich ziehen. Die DSGVO verlangt in Art. 83, dass jede Aufsichtsbehörde sicherstellt, "dass die Verhängung von Geldbußen (...) für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Dabei ist u. a. Folgendes gebührend zu berücksichtigen: Art, Schwere und Dauer des Verstoß...mehr

Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über den Vorfall benachrichtigt werden. Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rech...mehr

Im Unternehmen sind insbesondere folgende Bereiche besonders sensibel für datenschutzrechtliche Belange: Interne Daten, wie Finanzdaten, Erfindungen, Businessplanning etc. Daten von Mitarbeitenden sowie Daten im Rahmen des Personalwachstums (z. B. Bewerbende) Daten von Kunden und Lieferanten Daten, die im Rahmen von Kommunikationsmaßnahmen und Internetauftritten erhoben werden Di...mehr

Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über beschäftigte Personen, angefangen von der Bewerbung bis zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden. Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer...mehr

Die Betroffenen, deren Daten verarbeitet werden bzw. erhoben und gespeichert worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten: Recht auf Auskunft über die Verarbeitung personenbezogener Daten (Art. 15) Recht auf Berichtigung unrichtiger Daten (Art. 16) Recht auf Löschung der Daten unter bestimmten Voraussetzungen (Art. 17) Recht auf Ein...mehr

Personenbezogene Daten von Mitarbeitenden dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies dem Unternehmen gestattet ist. Dabei sind die gesetzlichen und arbeitsvertraglichen Regelungen zu beachten. Auch hier gilt, dass der Betroffene auch seine Einwilligung in Bezug auf den Umgang mit seinen Daten erteilen kann. Diese Einwilligung darf aber nicht durch Druckau...mehr

Die Internet-Nutzung und E-Mail-Nutzung Mitarbeitender kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können z. B. Benutzeridentifikation, IP-Adressen, Datum und Uhrzeit des Zugriffs, Datenmenge sowie Zieladresse des Zugriffs erfasst werden. Anhand dieser Daten wäre es für Arbeitgebende möglich nachzuvollziehen, wann Mitarbeitende was gelesen haben. Dies ka...mehr

Ob geschäftlicher Internetauftritt oder Direktmarketingaktionen: Überall werden Daten von Nutzern erhoben, verarbeitet oder gespeichert – wenn oftmals auch nur für wenige Augenblicke. Auch hier gelten Datenschutzvorschriften. Besonders das Gebot der Datensparsamkeit (§ 71 BDSG) bzw. Datenminimierung (Art. 5 DSGVO) wird häufig missachtet. Gerade das Internet mit seinen vielfä...mehr

Mögliche Kennzahlen zur Bewertung der Qualität des Wissensmanagements Über Wissensmanagement sollte regelmäßig berichtet werden, z. B. mithilfe von Kennzahlen, die auch in das reguläre Reporting des Betriebes aufgenommen werden sollten. Wegen der Bedeutung des Themas sollte Wissensmanagement einen eigenen Platz im Berichtswesen bekommen. Mit den Kennzahlen sollte z. B. abgefr...mehr

• 2019 Akteneinsichtsrecht im Besteuerungs- und Klageverfahren / Datenschutz-Grundverordnung / § 91 AO / § 364 AO / § 78 FGO Im Besteuerungsverfahren besteht kein Anspruch auf Akteneinsicht. Gleiches gilt auch für das außergerichtliche Rechtsbehelfsverfahren. Ansprüche insoweit ergeben sich weder aus § 91 AO noch aus § 364 AO. Die FinVerw ist allerdings nicht daran gehindert,...mehr

• 2021 DSGVO / Anwendungsbereich / Betroffenenrechte / § 32c AO Fraglich ist, ob die DSGVO im Steuerverfahren anwendbar ist. Das FG Niedersachsen hat dies mit Entscheidung v. 28.1.2020, 12 K 213/19 (VII R 12/20) mit der Begründung, dass die Vorschriften der DSGVO im Bereich des Steuerrechts nur im Rahmen der harmonisierten Steuern anwendbar seien, abgelehnt. In Übereinstimmun...mehr

• 2022 Informationeller Auskunftsanspruch von berichtspflichtigen Unternehmen / § 138a AO / Art. 15 DSGVO Es stellt sich die Frage, ob berichtspflichtige Unternehmen nach § 138a AO einen datenschutzrechtlichen Auskunftsanspruch gegen die FinVerw (BZSt) haben. Dies dürfte vor dem Hintergrund der Regelung in § 2a Abs. 5 AO zu bejahen sein. Zwar lehnt das BZSt eine Auskunft rege...mehr

• 2019 Bargeldintensive Unternehmen / Einzelaufzeichnungspflicht / Programmierprotokolle / Amtliche Richtsatzsammlung / Video-Aufzeichnungen / § 146 ff. AO Bei Einsatz eines modernen PC-Kassensystems kann der Stpfl. sich nicht auf die Unzumutbarkeit von Einzelaufzeichnungen bei baren Betriebseinnahmen berufen. Der Stpfl. ist in der Wahl seines Kassensystems frei. Die FinVerw ...mehr

Nach Art. 6 Abs. 1 lit. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Betroffene Personen haben ein Recht auf Berichtigung von Daten, die der Aufbewahrungspflicht unterliegen (Art. 16 DSGVO). Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht hingegen nich...mehr

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen. Eine 10-jährige Aufbewahrungsfrist gilt z. B. für Buchungsbelege. Unabhängig davon gilt für Rechnungen eine 10-jährige Aufbewahrungsfrist. Für Handels- oder Geschäftsbriefe, bzw. E-Mails, gilt die Frist von 6 Jahr...mehr

https://ao.bundesfinanzministerium.de/ao/2023/Anhaenge/BMF-Schreiben-und-gleichlautende-Laendererlasse/Anhang-64/inhalt.html https://www.bitkom.org/Bitkom/Publikationen/Bitkom-Leitfaden-Backup-Restore.html Bei Bitkom kann ein Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung heruntergeladen werden, der zu den Vorgaben in Art. 32 und 35 DSGVO erarbeitet wurde.mehr

Angestellte haben nach DSGVO dieselben Rechte in Bezug auf Datenschutz wie alle anderen Personen auch. Notwendig sind nach Art. 88 Abs. 2 DSGVO angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. Zu berücksichtigen sind dabei die Transparenz der Verarbeitung, die Übermittlung personenbezogener Date...mehr

mehr

mehr

Der TV-V enthält – im Gegensatz zu § 3 Abs. 5 TVöD – keine Regelungen zu den Personalakten. Insofern gelten die allgemeinen Vorgaben, die nach der Rechtsprechung sowie den gesetzlichen Bestimmungen, insbesondere auch zum Datenschutz, zu beachten sind. Nach § 83 Abs. 1 Satz 1 BetrVG hat der Arbeitnehmer das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Nac...mehr

mehr

Überblick Da die Staatsangehörigkeit allein nicht zum Eingreifen der Regelungen des internationalen Arbeitsrechts führt, findet regelmäßig für das Arbeitsverhältnis eines ausländischen Arbeitnehmers in der Bundesrepublik Deutschland allein deutsches Arbeitsrecht Anwendung. Unter Umständen sind jedoch Besonderheiten zu berücksichtigen, die aus der Staatsangehörigkeit oder Spr...mehr

Nach der Einführung der KI-Systeme sollten Betriebe die Chance nutzen, aus ihren Erfahrungen in Pilotprojekten oder einer flächendeckenden Einführung zu lernen. Dies gelingt immer dann, wenn die Unternehmenskultur ein Lernen aus Fehlern ermöglicht und auf Vertrauen basiert. Dabei gilt es zu überprüfen und zu bewerten, ob die festgelegten Regeln und Kriterien für die Erreichu...mehr

mehr

Im zweiten Schritt muss die Einführung der KI-Systeme sorgfältig geplant und gestaltet werden. Es ist wichtig, klare Kriterien zu definieren, um die Mensch-Maschine-Interaktion zwischen den Nutzern und den KI-Systemen zu beschreiben und festzulegen. Ein Konzept zur Gestaltung des Arbeitssystems sollte entwickelt werden. Dazu sollten die Funktionen, die den arbeitenden Mensch...mehr

mehr

Bisher sammelten Webcrawler beim Training verschiedener KI in der Regel Informationen aus dem Internet, ohne die Urheber der Webseiten um Erlaubnis zu bitten. Aufgrund dieser (vermutet unerlaubten) Verwendung ihrer Texte haben deshalb Autoren wie Christopher Golden und Richard Kadrey mit der Komikerin Sarah Silverman Klage gegen OpenAI und Meta eingereicht. Auch die New York...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben. Das Gremium definie...mehr

Auch wenn es oft anders wirkt: Künstliche Intelligenz ist nicht wirklich intelligent, sondern sie erscheint nur so. Letztendlich basiert KI auf einem gigantisch großen Wissensschatz und arbeitet mit Mitteln der Statistik und Wahrscheinlichkeit. Zusammenfassend ist KI nicht als Ersatz für menschliche Intuition und Kontrolle, sondern vielmehr als Unterstützung zu betrachten. Ei...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Aufwendige Implementierungsarbeiten sind für die Einführung einer Dokumentationssoftware in der Regel nicht nötig. Meist handelt es sich um Cloudlösungen. Einige Hersteller bieten ihre Lösung auch noch als klassische Festinstallation an. Bei solchen Anbietern können die Tools in der Regel auch hybrid genutzt werden, das heißt: ein Teil der Anwendungen liegt in der Cloud und ...mehr