Fachbeiträge & Kommentare zu Datenschutz

Überblick Da die Staatsangehörigkeit allein nicht zum Eingreifen der Regelungen des internationalen Arbeitsrechts führt, findet regelmäßig für das Arbeitsverhältnis eines ausländischen Arbeitnehmers in der Bundesrepublik Deutschland allein deutsches Arbeitsrecht Anwendung. Unter Umständen sind jedoch Besonderheiten zu berücksichtigen, die aus der Staatsangehörigkeit oder Spr...mehr

Nach der Einführung der KI-Systeme sollten Betriebe die Chance nutzen, aus ihren Erfahrungen in Pilotprojekten oder einer flächendeckenden Einführung zu lernen. Dies gelingt immer dann, wenn die Unternehmenskultur ein Lernen aus Fehlern ermöglicht und auf Vertrauen basiert. Dabei gilt es zu überprüfen und zu bewerten, ob die festgelegten Regeln und Kriterien für die Erreichu...mehr

Im zweiten Schritt muss die Einführung der KI-Systeme sorgfältig geplant und gestaltet werden. Es ist wichtig, klare Kriterien zu definieren, um die Mensch-Maschine-Interaktion zwischen den Nutzern und den KI-Systemen zu beschreiben und festzulegen. Ein Konzept zur Gestaltung des Arbeitssystems sollte entwickelt werden. Dazu sollten die Funktionen, die den arbeitenden Mensch...mehr

Bisher sammelten Webcrawler beim Training verschiedener KI in der Regel Informationen aus dem Internet, ohne die Urheber der Webseiten um Erlaubnis zu bitten. Aufgrund dieser (vermutet unerlaubten) Verwendung ihrer Texte haben deshalb Autoren wie Christopher Golden und Richard Kadrey mit der Komikerin Sarah Silverman Klage gegen OpenAI und Meta eingereicht. Auch die New York...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt. Diese Datenpannen können versc...mehr

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist. Die Datenschutz-Grundverordnung fordert mit Erwägungsgrund 76 objektive Kriterien, um festzustellen, ob ein...mehr

Für die Entwicklung eines Datenschutzkonzepts ist eine Risikoanalyse notwendig, um Risiken für personenbezogene Daten zu verstehen. Die DSGVO definiert den Risikobegriff nicht explizit. Jedoch hat die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden von Bund und Ländern, den Begriff im Kurzpapier Nr. 18 beschrieben. Das Gremium definie...mehr

Auch wenn es oft anders wirkt: Künstliche Intelligenz ist nicht wirklich intelligent, sondern sie erscheint nur so. Letztendlich basiert KI auf einem gigantisch großen Wissensschatz und arbeitet mit Mitteln der Statistik und Wahrscheinlichkeit. Zusammenfassend ist KI nicht als Ersatz für menschliche Intuition und Kontrolle, sondern vielmehr als Unterstützung zu betrachten. Ei...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Aufwendige Implementierungsarbeiten sind für die Einführung einer Dokumentationssoftware in der Regel nicht nötig. Meist handelt es sich um Cloudlösungen. Einige Hersteller bieten ihre Lösung auch noch als klassische Festinstallation an. Bei solchen Anbietern können die Tools in der Regel auch hybrid genutzt werden, das heißt: ein Teil der Anwendungen liegt in der Cloud und ...mehr

Zusammenfassung Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Gr...mehr

Die DSGVO bezieht die freien Träger in den Anwendungsbereich ein.[1] Der öffentliche Träger muss sicherstellen, dass der Datenschutz bei ihnen in gleicher Weise wie beim öffentlichen Träger gewährleistet ist ("Datenschutzrechtliche Garantenpflicht").[2] Dies kann durch Vereinbarungen oder Auflagen geschehen. Die Übermittlung von Heimberichten und Verwendungsnachweisen an den ...mehr

2.1 Strafe/Geldbuße Gegen das Jugendamt kann keine Geldbuße verhängt werden.[1] 2.2 Schadenersatz Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Für den Schutz von Sozialdaten bei ihrer Verarbeitung in der Jugendhilfe gelten § 35 SGB I, §§ 67 bis 85a SGB X sowie die §§ 62 ff. SGB VIII.[1] Sozialdaten dürfen nur erhoben werden, soweit ihre Kenntnis zur Erfüllung der jeweiligen Aufgabe erforderlich ist.[2] Wenn Zweifel an der Identität bestehen, kann das Jugendamt erkennungsdienstliche Maßnahmen nach § 49 Abs. 8 und 9 A...mehr

Gegen das Jugendamt kann keine Geldbuße verhängt werden.[1]mehr

Unabhängig von einem Verschulden des Jugendamts kann der Betroffene einen Anspruch auf Schadenersatz auch gegen die Behörde haben.[1] Außerdem kann bei Verschulden ein Anspruch aus Amtspflichtverletzung bestehen.[2]mehr

Hat das Jugendamt Daten für unterschiedliche Aufgaben erhoben, darf es diese nur zusammenführen, wenn und solange dies wegen eines unmittelbaren Sachzusammenhangs erforderlich ist.[1] Auch bei den verschiedenen Leistungsarten der Jugendhilfe ist das nur erlaubt, soweit es zur Erfüllung der jeweiligen Aufgabe erforderlich ist.mehr

Im Fall einer möglichen Gefährdung des Kindeswohls[1] muss das Jugendamt bestimmte Fachkräfte einschalten und die Gefahr gemeinsam mit ihnen beurteilen. Dazu ist es notwendig, dass alle Beteiligten die relevanten Daten kennen. Will das Jugendamt die Daten der Betroffenen übermitteln, muss es die allgemeinen Normen des Datenschutzes im SGB VIII und SGB X beachten.[2]mehr

Nach der DSGVO gilt eine sog. "Informierte Datenerhebung".[1] Danach muss die Datenerhebung erstens zur Aufgabenerfüllung erforderlich sein und zweitens den Betroffenen mit einer Datenschutzerklärung über die Kontaktdaten des Verantwortlichen im Jugendamt und die des Datenschutzbeauftragten der Behörde sowie über den Zweck der Datenverarbeitung informieren. Wenn die Datenerhe...mehr

Die Zulässigkeit einer Datenverarbeitung bestimmt sich nach Art. 6 DSGVO.[1] In der Jugendhilfe ist danach eine Datenverarbeitung rechtmäßig, wenn sie zur Aufgabenerfüllung erforderlich ist. Das gilt für alle Verarbeitungsvorgänge, also insbesondere für Erheben, Speichern und Übermitteln von Daten.[2] 1.1 Erheben von Daten Nach der DSGVO gilt eine sog. "Informierte Datenerhebu...mehr

Die Einwilligung muss zu ihrer Wirksamkeit[1] freiwillig, informiert, zweckbestimmt und für konkreten Fall bestimmt sein. Die allgemeinen und speziellen jugendhilferechtlichen Datenschutzbestimmungen gelten für alle Stellen des Trägers der öffentlichen Jugendhilfe, soweit sie Aufgaben nach dem SGB VIII wahrnehmen. Als Stelle ist hierbei das jeweilige Sachgebiet innerhalb des ...mehr

Begriff Sozialdaten sind personenbezogene Daten des Betroffenen, die vom Jugendhilfeträger zur Erfüllung seiner Aufgaben nach dem SGB VIII oder zur Erfüllung der Aufgaben eines anderen Sozialleistungsträgers zu dessen Aufgabenerfüllung verarbeitet werden. Gesetze, Vorschriften und Rechtsprechung Sozialversicherung: Für die Jugendhilfe gelten die gesetzlichen Grundlagen in der...mehr

Daten dürfen an Dritte übermittelt oder genutzt werden, wenn die Übermittlung oder Nutzung dem selben Zweck dient wie die Datenerhebung (Zweckbindungsgrundsatz).[1] Außerdem dürfen sie übermittelt werden, wenn es erforderlich ist, damit das Jugendamt eine seiner Aufgaben nach dem SGB VIII erfüllen kann ("eigennützige Übermittlung"), aber auch, damit ein anderer Sozialleistung...mehr

Das Informationsfreiheitsgesetz des Bundes gilt nur für Bundesbehörden. Für das Jugendamt gelten aber in den meisten Bundesländern entsprechende Landesgesetze. Sie gewähren Akteneinsicht nur unter dem Vorbehalt des Datenschutzes, gehen also nicht über das Recht auf Akteneinsicht nach § 25 SGB X hinaus.mehr

Neben einem evidenten Verstoß werden Betroffene häufig mit der Situation eines Verdachtsfalls konfrontiert. In diesen Fällen ist besondere Vorsicht geboten, da es dem internen Arbeitsklima ungemein schaden kann, wenn sich herausstellt, dass ein Mitarbeiter zu Unrecht beschuldigt und verdächtigt wurde. Dennoch muss Verdachtsfällen immer nachgegangen werden, da im Zweifelsfall...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Während das Social Web ein gutes Instrument für eine One-to-Many-Kommunikation ist, sind andere digitale Kanäle dafür prädestiniert, direkt und persönlich mit den Mandanten zu kommunizieren. Diese 1-zu-1-Kommunikation stellt besondere Anforderungen an die Datensicherheit und den Datenschutz. Im Folgenden werden diese Kanäle näher betrachtet: Newsletter/E-Mail WhatsApp/SMS Video...mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

Eine eigene Website ist daher auch für Steuerberater der Standard, ebenso sollte ein regelmäßiger Online-Newsletter nicht fehlen, der die Mandanten mit aktuellen Informationen rund um Steuern und Kanzlei-Leben versorgt. Darüber hinaus gibt es viele weitere digitale Möglichkeiten, um mit Mandanten zu kommunizieren. In sozialen Netzwerken beispielsweise können Kanzleien ihr Im...mehr

Arbeitgeber sind verpflichtet, im Rahmen des Arbeitsverhältnisses einzelne Dokumente und Informationen für eine gewisse Dauer aufzubewahren. Entsprechende Aufbewahrungspflichten können sich aus Gesetz, Satzung, Tarif- oder Individualvertrag ergeben. Sinn und Zweck ist in erster Linie die Ermöglichung und Sicherstellung von effektiven Kontrollen durch staatliche Behörden. Nebe...mehr

Tz. 12 Stand: EL 137 – ET: 06/2024 Für eine wirksame Einwilligung gelten die folgenden Punkte: Beachte! Eine (Blanco-)Einwilligung heilt nicht in jedem Fall die Datenverarbeitung....mehr

I. Die Gläubigerinnen sind Enkelinnen der am 22.9.2010 verstorbenen Erblasserin. Die Mutter der Gläubigerinnen, Tochter der Erblasserin, ist vor der Erblasserin verstorben. Die Schuldnerin ist eine weitere Tochter der Erblasserin. Die Erblasserin setzte die Schuldnerin durch notarielles Testament vom 22.6.2010 als ihre Alleinerbin ein und vermachte den Gläubigerinnen eine Imm...mehr

Tz. 1 Stand: EL 137 – ET: 06/2024 Die Datenschutzgrundverordnung (im Folgenden DSGVO) gilt seit dem 25.05.2018. Sie ist eine EU-Verordnung (s. Verordnung (EU) 2016/679), die nicht wie Richtlinien in nationales Gesetz umgesetzt werden muss. Sie ersetzt die EU-Datenschutzrichtlinie (95/46/EG), auf der auch das Bundesdatenschutzgesetz basiert. Mit Geltung der DSGVO wurde gleichz...mehr

Tz. 2 Stand: EL 137 – ET: 06/2024 Der Anwendungsbereich der DSGVO ist nur eröffnet, wenn personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht somit aus, wenn die Informationen unter Zuhilfenahme weiterer verfügbarer Daten und technischer Mittel einer ...mehr

Tz. 9 Stand: EL 137 – ET: 06/2024 Die DSGVO dient der Datensicherheit. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (s. Art. 32 DSGVO). Konkrete Maßnahmen gibt die DSGVO nicht vor. Sinnvoll sind u. a. technische Zugangskontrollen zu Räumlichkeiten, Schulung der Mitarbeiter, Absicherung der Daten vor Verlust, Verschlüsselung der Daten, z. B. durch...mehr

Tz. 6 Stand: EL 137 – ET: 06/2024 Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (s. Art. 4 Nr. 8 DSGVO). Bei der Auftragsvergabe handelt es sich um eine Datenübermittlung. Trotz einer Verlagerung der Verarbeitung haftet der Verantwortliche unveränd...mehr

Vorweggenommen: Bei einer zukunftsweisenden Schlüsseltechnologie wie der KI ist ein konfrontativer Ansatz bei Mitbestimmung in der Regel nicht zielführend. Unternehmen sind gerade bei diesen Themen – mehr denn je – auf die Kooperation mit ihren Betriebsräten angewiesen, um Projekte schnell umzusetzen, die ihre Wettbewerbsfähigkeit sichern. Vielfach dürfte es sich daher wirts...mehr

Rn. 44 Stand: EL 42 – ET: 05/2024 Jede GmbH muss Teile ihrer RL offenlegen (vgl. HdR-E, HGB § 325, Rn. 1ff.). Das HGB versteht dabei unter "Offenlegung" die Übermittlung der offenlegungspflichtigen Unterlagen in elektronischer Form an die das UN-Register führende Stelle (vgl. § 325 Abs. 1 Satz 2; HdR-E, Einf. HGB §§ 325–329, Rn. 5). Rn. 45 Stand: EL 42 – ET: 05/2024 Die Pflicht...mehr

Rn. 881 Stand: EL 42 – ET: 05/2024 § 285 Nr. 34 ist mit dem BilRUG in das HGB eingeführt worden und setzt Art. 17 Abs. 1 lit. o) der Bilanz-R in nationales Recht um; daraus ergibt sich das Gebot einer R-konformen Auslegung und Rechtsfortbildung von § 285 Nr. 34. Nach § 285 Nr. 34 ist im Anhang der "Vorschlag für die Verwendung des Ergebnisses oder der Beschluss über seine Ver...mehr

Rn. 439 Stand: EL 33 – ET: 09/2021 Auch der HFA des IDW betont, dass § 286 Abs. 4 eng auszulegen ist, hierbei aber auch die für diese Regelung maßgeblichen Erwägungen des Datenschutzes relevant sind. Der zulässige Verzicht setze daher voraus, dass die Bezüge der einzelnen Organmitglieder feststellbar oder in ihrer Größenordnung zutreffend schätzbar wären. Soweit die in Betrac...mehr

Rn. 501 Stand: EL 33 – ET: 09/2021 Nach § 285 Nr. 11 müssen bestimmte Angaben zum Beteiligungsbesitz des bilanzierenden UN in seinem JA dargestellt werden. Danach sind im Anhang anzugeben "Name und Sitz anderer Unternehmen, die Höhe des Anteils am Kapital, das Eigenkapital und das Ergebnis des letzten Geschäftsjahrs dieser Unternehmen, für das ein Jahresabschluss vorliegt, so...mehr

Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden.[1] Das bedeutet, dass man die Vorschriften (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl der Auftragsverarbeiter sollte man dara...mehr

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.[1] Zu beachten ist, dass § 62 BDSG und § 63 BDSG zu den ergänzenden Bestimmungen der DSGVO gehören, die für die Verarbeitung persone...mehr

Überblick Die Vergabe von Aufträgen zur Verarbeitung von Daten ist in der Datenschutz-Grundverordnung detailliert geregelt. Vorgeschrieben für die Auftragsvergabe ist ein schriftlicher Vertrag, der bestimmte Bestandteile erhalten muss. Gesetze, Vorschriften und Rechtsprechung Art. 28 DSGVOmehr

Auch wenn in der DSGVO nicht direkt eine Kontrollpflicht des Auftraggebers formuliert ist, ist trotzdem eine regelmäßige Kontrolle sinnvoll. Laut einer Information des bayerischen Landesbeauftragten für Datenschutz darf "die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt ...mehr

Kleine Unternehmen oder Unternehmen, die gerade erst mit dem Aufbau eines zielwirksamen Recruiting-Prozesses gestartet haben, können für den Anfang auf Excel-Listen zurückgreifen. Hiermit kann eine Übersicht erstellt werden, welche Bewerber für welche Stelle im Prozess vorgesehen sind. Zusätzlich kann der Prozessverlauf immer aktuell erfasst werden (z. B. Spalten für folgend...mehr

In Abhängigkeit von der Unternehmensgröße und der Häufigkeit von Stellenbesetzungen kann es für eine gute Administration hilfreich sein, ein Bewerbermanagementsystem zu nutzen. Diese speziellen Softwaretools ermöglichen die Zentralisierung aller für das Recruiting relevanten Prozesse sowie dessen Daten und bringen einen hohen Automatisierungsgrad mit sich, welcher u. a. in d...mehr

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, müssen die Beauftragten Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) korrekt durchgeführt werden. Diese sind in Art. 32 DSGVO definiert. Die Verarbeitung muss im Einklang mit den Anforderungen der DSGVO erfolgen und den Schutz der Rechte der betroffenen Person gewährleisten...mehr