Fachbeiträge & Kommentare zu Datenschutz

Rz. 3 KZVB und GKV-Spitzenverband vereinbaren in einem öffentlich-rechtlichen Vertrag (koordinationsrechtlicher Vertrag) die Anforderungen an die technischen Verfahren zur telemedizinischen Videosprechstunde in der vertragszahnärztlichen Versorgung (Satz 1). Sie setzen sich dazu mit der gematik und der DGUV ins Benehmen (Vereinbarung über die Anforderungen an die technischen...mehr

Rz. 1 Art. 1 Nr. 31 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 eingefügt. Es wird evaluiert, ob die gematik die Belange des Datenschutzes und der Datensicherheit ausreichend berücksichtigt.mehr

Rz. 2 Die Verantwortlichen (§ 307) haben Zugriffe und versuchte Zugriffe auf personenbezogene Daten der Versicherten zu protokollieren. Betroffen sind Anwendungen der Telematikinfrastruktur wie z. B. die elektronische Patientenakte. Die Protokollierung ist damit ein Instrument des Datenschutzes. Sie hält den Verantwortlichen bzw. den Auftragsverarbeiter dazu an, über die Vor...mehr

Rz. 2 Komponenten und Dienste der Telematikinfrastruktur (Hardware, Software, Dienstleistungen bzw. Kombinationen davon) werden von der gematik zugelassen. Die Zulassung ist durch den Anbieter zu beantragen. Die Vorgaben stellen sicher, dass Komponenten und Dienste, die von Herstellern angeboten werden, funktionsfähig, interoperabel und sicher sind (BT-Drs. 16/3100 S. 174 zu...mehr

Rz. 7 Eichenhofer, Die elektronische Patientenakte – aus sozial-, datenschutz- und verfassungsrechtlicher Sicht, NVwZ 2021, 1090. Rügheimer, Patientendaten im Doppelpack besser geschützt, Ärzte-Zeitung, www.aerztezeitung.de/Wirtschaft/Patientendaten-im-Doppelpack-besser-geschuetzt-255071.html; zuletzt abgerufen: 24.6.2024.mehr

Rz. 33 Amelung/Binder/Chase, Die elektronische Patientenakte, medhochzwei Verlag. Eichenhofer, Die Elektronische Patientenakte – aus sozial-, datenschutz- und verfassungsrechtlicher Sicht, NVwZ 2021, 1090. Kircher, Das Patientendaten-Schutz-Gesetz (PDSG) und die elektronische Patientenakte (ePA), GuP 2021, 1.mehr

Rz. 8 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Czernik, Protokollierung datenschutzgerecht gestalten, www.dr-datenschutz.de/protokollierung-datenschutzgerecht-gestalten (abgerufen: 10.8.2022).mehr

Rz. 4 Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftr...mehr

Nach Art. 6 Abs. 1 lit. c DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Betroffene Personen haben ein Recht auf Berichtigung von Daten, die der Aufbewahrungspflicht unterliegen (Art. 16 DSGVO). Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht hingegen nich...mehr

Überblick Bei der Nutzung und Archivierung von betrieblichen Unterlagen müssen das Datenschutzrecht, vor allem die Datenschutz-Grundverordnung, sowie Vorschriften über die Datensicherheit beachtet werden. Zu diesen Unterlagen zählen auch E-Mails. Der Beitrag gibt einen Überblick über die gesetzlichen Anforderungen mit dem Fokus auf den Bereich des Rechnungswesens, berücksich...mehr

Die Aufbewahrungspflicht kann auch für E-Mails gelten. Die Dauer richtet sich nach dem Inhalt der E-Mail und nach den üblichen steuerrechtlichen Aufbewahrungsfristen. Eine 10-jährige Aufbewahrungsfrist gilt z. B. für Buchungsbelege. Unabhängig davon gilt für Rechnungen eine 10-jährige Aufbewahrungsfrist. Für Handels- oder Geschäftsbriefe, bzw. E-Mails, gilt die Frist von 6 Jahr...mehr

https://ao.bundesfinanzministerium.de/ao/2023/Anhaenge/BMF-Schreiben-und-gleichlautende-Laendererlasse/Anhang-64/inhalt.html https://www.bitkom.org/Bitkom/Publikationen/Bitkom-Leitfaden-Backup-Restore.html Bei Bitkom kann ein Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung heruntergeladen werden, der zu den Vorgaben in Art. 32 und 35 DSGVO erarbeitet wurde.mehr

Angestellte haben nach DSGVO dieselben Rechte in Bezug auf Datenschutz wie alle anderen Personen auch. Notwendig sind nach Art. 88 Abs. 2 DSGVO angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. Zu berücksichtigen sind dabei die Transparenz der Verarbeitung, die Übermittlung personenbezogener Date...mehr

Der TV-V enthält – im Gegensatz zu § 3 Abs. 5 TVöD – keine Regelungen zu den Personalakten. Insofern gelten die allgemeinen Vorgaben, die nach der Rechtsprechung sowie den gesetzlichen Bestimmungen, insbesondere auch zum Datenschutz, zu beachten sind. Nach § 83 Abs. 1 Satz 1 BetrVG hat der Arbeitnehmer das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Nac...mehr

Werden "klassische" IT-Tools im Bewerbungsverfahren eingesetzt, muss bei der Programmierung darauf geachtet werden, dass hierdurch keine Diskriminierung "vorprogrammiert" ist. Beispielsweise indem potenziell diskriminierende Aspekte gar nicht erst abgefragt werden. Hilfreich ist es deshalb – wie bei jedem Einsatz von IT – wenn die Eingabe von Datensätzen möglichst einheitlic...mehr

Überblick Bewerbungsverfahren werden – nicht zuletzt durch die rechtlichen Herausforderungen und den Bewerbermarkt – immer komplexer. Recruiter müssen immer mehr Aufgaben übernehmen und dürfen dabei nicht die wichtigsten Punkte aus den Augen verlieren. Schon deshalb kommen seit vielen Jahren IT-Tools in den Bewerbungsverfahren zur Anwendung. Seit geraumer Zeit tritt zudem im...mehr

Überblick Da die Staatsangehörigkeit allein nicht zum Eingreifen der Regelungen des internationalen Arbeitsrechts führt, findet regelmäßig für das Arbeitsverhältnis eines ausländischen Arbeitnehmers in der Bundesrepublik Deutschland allein deutsches Arbeitsrecht Anwendung. Unter Umständen sind jedoch Besonderheiten zu berücksichtigen, die aus der Staatsangehörigkeit oder Spr...mehr

Nach der Einführung der KI-Systeme sollten Betriebe die Chance nutzen, aus ihren Erfahrungen in Pilotprojekten oder einer flächendeckenden Einführung zu lernen. Dies gelingt immer dann, wenn die Unternehmenskultur ein Lernen aus Fehlern ermöglicht und auf Vertrauen basiert. Dabei gilt es zu überprüfen und zu bewerten, ob die festgelegten Regeln und Kriterien für die Erreichu...mehr

Im zweiten Schritt muss die Einführung der KI-Systeme sorgfältig geplant und gestaltet werden. Es ist wichtig, klare Kriterien zu definieren, um die Mensch-Maschine-Interaktion zwischen den Nutzern und den KI-Systemen zu beschreiben und festzulegen. Ein Konzept zur Gestaltung des Arbeitssystems sollte entwickelt werden. Dazu sollten die Funktionen, die den arbeitenden Mensch...mehr

Bisher sammelten Webcrawler beim Training verschiedener KI in der Regel Informationen aus dem Internet, ohne die Urheber der Webseiten um Erlaubnis zu bitten. Aufgrund dieser (vermutet unerlaubten) Verwendung ihrer Texte haben deshalb Autoren wie Christopher Golden und Richard Kadrey mit der Komikerin Sarah Silverman Klage gegen OpenAI und Meta eingereicht. Auch die New York...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben. Das Gremium definie...mehr

Auch wenn es oft anders wirkt: Künstliche Intelligenz ist nicht wirklich intelligent, sondern sie erscheint nur so. Letztendlich basiert KI auf einem gigantisch großen Wissensschatz und arbeitet mit Mitteln der Statistik und Wahrscheinlichkeit. Zusammenfassend ist KI nicht als Ersatz für menschliche Intuition und Kontrolle, sondern vielmehr als Unterstützung zu betrachten. Ei...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Aufwendige Implementierungsarbeiten sind für die Einführung einer Dokumentationssoftware in der Regel nicht nötig. Meist handelt es sich um Cloudlösungen. Einige Hersteller bieten ihre Lösung auch noch als klassische Festinstallation an. Bei solchen Anbietern können die Tools in der Regel auch hybrid genutzt werden, das heißt: ein Teil der Anwendungen liegt in der Cloud und ...mehr

Zusammenfassung Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Gr...mehr

Die DSGVO bezieht die freien Träger in den Anwendungsbereich ein.[1] Der öffentliche Träger muss sicherstellen, dass der Datenschutz bei ihnen in gleicher Weise wie beim öffentlichen Träger gewährleistet ist ("Datenschutzrechtliche Garantenpflicht").[2] Dies kann durch Vereinbarungen oder Auflagen geschehen. Die Übermittlung von Heimberichten und Verwendungsnachweisen an den ...mehr

2.1 Strafe/Geldbuße Gegen das Jugendamt kann keine Geldbuße verhängt werden.[1] 2.2 Schadenersatz Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Gegen das Jugendamt kann keine Geldbuße verhängt werden.[1]mehr

Für den Schutz von Sozialdaten bei ihrer Verarbeitung in der Jugendhilfe gelten § 35 SGB I, §§ 67 bis 85a SGB X sowie die §§ 62 ff. SGB VIII.[1] Sozialdaten dürfen nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist.[2] Wenn Zweifel an der Identität bestehen, kann das Jugendamt erkennungsdienstliche Maßnahmen nach § 49 Abs. 8 und 9 A...mehr

Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Hat das Jugendamt Daten für unterschiedliche Aufgaben erhoben, darf es diese nur zusammenführen, wenn und solange dies wegen eines unmittelbaren Sachzusammenhangs erforderlich ist.[1] Auch bei den verschiedenen Leistungsarten der Jugendhilfe ist das nur erlaubt, soweit es zur Erfüllung der jeweiligen Aufgabe erforderlich ist.mehr

Im Fall einer möglichen Gefährdung des Kindeswohls[1] muss das Jugendamt bestimmte Fachkräfte einschalten und die Gefahr gemeinsam mit ihnen beurteilen. Dazu ist es notwendig, dass alle Beteiligten die relevanten Daten kennen. Will das Jugendamt die Daten der Betroffenen übermitteln, muss es die allgemeinen Normen des Datenschutzes im SGB VIII und SGB X beachten.[2]mehr

Nach der DSGVO gilt eine sog. "Informierte Datenerhebung".[1] Danach muss die Datenerhebung erstens zur Aufgabenerfüllung erforderlich sein und zweitens den Betroffenen mit einer Datenschutzerklärung über die Kontaktdaten des Verantwortlichen im Jugendamt und die des Datenschutzbeauftragten der Behörde sowie über den Zweck der Datenverarbeitung informieren. Wenn die Datenerhe...mehr

Die Zulässigkeit einer Datenverarbeitung bestimmt sich nach Art. 6 DSGVO.[1] In der Jugendhilfe ist danach eine Datenverarbeitung rechtmäßig, wenn sie zur Aufgabenerfüllung erforderlich ist. Das gilt für alle Verarbeitungsvorgänge, also insbesondere für Erheben, Speichern und Übermitteln von Daten.[2] 1.1 Erheben von Daten Nach der DSGVO gilt eine sog. "Informierte Datenerhebu...mehr

Die Einwilligung muss zu ihrer Wirksamkeit[1] freiwillig, informiert, zweckbestimmt und für konkreten Fall bestimmt sein. Die allgemeinen und speziellen jugendhilferechtlichen Datenschutzbestimmungen gelten für alle Stellen des Trägers der öffentlichen Jugendhilfe, soweit sie Aufgaben nach dem SGB VIII wahrnehmen. Als Stelle ist hierbei das jeweilige Sachgebiet innerhalb des ...mehr

Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Grundlagen in der...mehr

Daten dürfen an Dritte übermittelt oder genutzt werden, wenn die Übermittlung oder Nutzung dem selben Zweck dient wie die Datenerhebung (Zweckbindungsgrundsatz).[1] Außerdem dürfen sie übermittelt werden, wenn es erforderlich ist, damit das Jugendamt eine seiner Aufgaben nach dem SGB VIII erfüllen kann ("eigennützige Übermittlung"), aber auch, damit ein anderer Sozialleistung...mehr

Das Informationsfreiheitsgesetz des Bundes gilt nur für Bundesbehörden. Für das Jugendamt gelten aber in den meisten Bundesländern entsprechende Landesgesetze. Sie gewähren Akteneinsicht nur unter dem Vorbehalt des Datenschutzes, gehen also nicht über das Recht auf Akteneinsicht nach § 25 SGB X hinaus.mehr

Neben einem evidenten Verstoß werden Betroffene häufig mit der Situation eines Verdachtsfalls konfrontiert. In diesen Fällen ist besondere Vorsicht geboten, da es dem internen Arbeitsklima ungemein schaden kann, wenn sich herausstellt, dass ein Mitarbeiter zu Unrecht beschuldigt und verdächtigt wurde. Dennoch muss Verdachtsfällen immer nachgegangen werden, da im Zweifelsfall...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Während das Social Web ein gutes Instrument für eine One-to-Many-Kommunikation ist, sind andere digitale Kanäle dafür prädestiniert, direkt und persönlich mit den Mandanten zu kommunizieren. Diese 1-zu-1-Kommunikation stellt besondere Anforderungen an die Datensicherheit und den Datenschutz. Im Folgenden werden diese Kanäle näher betrachtet: Newsletter/E-Mail WhatsApp/SMS Video...mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

Eine eigene Website ist daher auch für Steuerberater der Standard, ebenso sollte ein regelmäßiger Online-Newsletter nicht fehlen, der die Mandanten mit aktuellen Informationen rund um Steuern und Kanzlei-Leben versorgt. Darüber hinaus gibt es viele weitere digitale Möglichkeiten, um mit Mandanten zu kommunizieren. In sozialen Netzwerken beispielsweise können Kanzleien ihr Im...mehr

Arbeitgeber sind verpflichtet, im Rahmen des Arbeitsverhältnisses einzelne Dokumente und Informationen für eine gewisse Dauer aufzubewahren. Entsprechende Aufbewahrungspflichten können sich aus Gesetz, Satzung, Tarif- oder Individualvertrag ergeben. Sinn und Zweck ist in erster Linie die Ermöglichung und Sicherstellung von effektiven Kontrollen durch staatliche Behörden. Nebe...mehr

Tz. 12 Stand: EL 137 – ET: 06/2024 Für eine wirksame Einwilligung gelten die folgenden Punkte: Beachte! Eine (Blanco-)Einwilligung heilt nicht in jedem Fall die Datenverarbeitung....mehr

I. Die Gläubigerinnen sind Enkelinnen der am 22.9.2010 verstorbenen Erblasserin. Die Mutter der Gläubigerinnen, Tochter der Erblasserin, ist vor der Erblasserin verstorben. Die Schuldnerin ist eine weitere Tochter der Erblasserin. Die Erblasserin setzte die Schuldnerin durch notarielles Testament vom 22.6.2010 als ihre Alleinerbin ein und vermachte den Gläubigerinnen eine Imm...mehr