-- Migration 041: Compliance Wiki - Anreicherung mit DACH-Rechtsprechung und Quellen
-- Aktualisiert bestehende Artikel mit echten Quellen-URLs und fuegt neue, umfassende Artikel hinzu.

-- =============================================================================
-- 1. Bestehende Artikel aktualisieren: Quellen-URLs hinzufuegen
-- =============================================================================

-- Gesundheitsdaten-Abgrenzung: Echte EuGH-Urteile und Quellen
UPDATE compliance_wiki_articles SET
  content = '## Ueberblick

Der EuGH legt den Begriff "Gesundheitsdaten" nach Art. 9 DSGVO **sehr weit** aus (EuGH C-184/20). Auch Daten, aus denen Gesundheitsinformationen nur **indirekt** abgeleitet werden koennen, fallen darunter.

## Was SIND Gesundheitsdaten?

- Diagnosen, Krankheitsbilder, Befunde
- AU-Bescheinigungen (auch **ohne Diagnose** — schon die Tatsache der Krankheit genuegt)
- Schwerbehindertenausweis / Grad der Behinderung (GdB)
- Medikamenteneinnahme / Online-Bestellung von Arzneimitteln (EuGH C-21/23 "Lindenapotheke")
- Ergebnisse von Eignungsuntersuchungen
- BEM-Daten (Betriebliches Eingliederungsmanagement)
- Allergiehinweise (z.B. in der Betriebskantine)
- Schwangerschaft
- Fitnesstracker-/Wearable-Daten im Gesundheitskontext

## Was sind KEINE Gesundheitsdaten?

- **Name der Krankenkasse** — verraet i.d.R. nichts ueber den Gesundheitszustand (h.M.)
- **Sozialversicherungsnummer (AT)** — oesterreichische DSB + BVwG haben entschieden: SV-Nr. ist kein Gesundheitsdatum, da sie nur aus Laufnummer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018; BVwG W245 2236756-1)
- Beitragssatz der Krankenkasse

## Wichtige EuGH-Entscheidungen

### EuGH C-184/20 — Weite Auslegung (01.08.2022)
Art. 9 ist weit auszulegen. Auch wenn sensible Informationen nur durch "gedankliche Kombination oder Ableitung" aus normalen Daten hervorgehen, greift Art. 9.

### EuGH C-21/23 — Lindenapotheke (04.10.2024)
Online-Bestellungen von **apothekenpflichtigen Arzneimitteln** (auch OTC!) sind Gesundheitsdaten. Die Verknuepfung Person + Medikament + Indikation laesst Rueckschluesse auf den Gesundheitszustand zu.

### EuGH C-667/21 — Kumulative Rechtsgrundlage (21.12.2023)
Fuer Gesundheitsdaten braucht man **zwei** Rechtsgrundlagen: Art. 9 Abs. 2 DSGVO **und** Art. 6 Abs. 1 DSGVO. Art. 9 allein reicht nicht.

## Erwagungsgrund 35 DSGVO

ErwGr. 35 definiert Gesundheitsdaten **sehr weit**: Alle Daten ueber den frueheren, gegenwaertigen und kuenftigen koerperlichen oder geistigen Gesundheitszustand — einschliesslich Anmeldedaten fuer Gesundheitsdienstleistungen, Nummern/Kennzeichen fuer gesundheitliche Zwecke, Untersuchungsergebnisse, Informationen ueber Krankheiten, Behinderungen und Krankheitsrisiken.

## Praxis-Tipp

Pruefen Sie bei jeder Datenkategorie: Kann durch **indirekte Ableitung** auf den Gesundheitszustand geschlossen werden? Seit EuGH C-184/20 genuegt bereits die blosse Moeglichkeit der Ableitung.',
  legal_refs = ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO', '§ 26 Abs. 3 BDSG', 'Art. 6 Abs. 1 DSGVO'],
  tags = ARRAY['gesundheit', 'art9', 'abgrenzung', 'krankenkasse', 'eugh', 'lindenapotheke'],
  source_urls = ARRAY[
    'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
    'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
    'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
    'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
    'https://www.ldi.nrw.de/Fortsetzungserkrankung',
    'https://dsgvo-gesetz.de/erwaegungsgruende/nr-35/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'gesundheitsdaten-abgrenzung';

-- Beschaeftigtendaten: Aktualisierung mit EuGH C-34/21, BeschDG, Aufbewahrungsfristen
UPDATE compliance_wiki_articles SET
  content = '## Ueberblick

Im Arbeitsverhaeltnis fallen viele verschiedene personenbezogene Daten an. **Wichtig:** § 26 BDSG wurde durch EuGH C-34/21 (30.03.2023) als europarechtswidrig eingestuft. Die Zulaessigkeit richtet sich nun direkt nach Art. 6 Abs. 1 DSGVO. Ein Beschaeftigtendatengesetz (BeschDG) ist in Vorbereitung (Referentenentwurf 08.10.2024).

## Datenkategorien mit Rechtsgrundlagen

### Stammdaten
- Name, Adresse, Geburtsdatum, Familienstand
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)
- **Aufbewahrung:** 3 Jahre nach Austritt (§ 195 BGB)

### Bankverbindung / Gehaltsdaten
- IBAN, Gehalt, Zulagen, Praemien, Gehaltsabrechnungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
- **Aufbewahrung:** 8 Jahre (§ 147 AO, seit 01.01.2025 von 10 auf 8 Jahre verkuerzt)

### Sozialversicherungsdaten
- SV-Nummer, Krankenkasse, Renten-/Pflegeversicherung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, § 28f SGB IV)
- **Aufbewahrung:** 5 Jahre (Beitragsnachweise), bis 30 Jahre (Versorgungsanwartschaften)

### Steuerdaten
- Steuer-ID, Steuerklasse, Lohnsteuerbescheinigungen
- **Achtung:** Kirchensteuermerkmal = Art.-9-Datum (religioese Ueberzeugung)!
- **Aufbewahrung:** 6 Jahre (§ 41 EStG)

### Leistungsdaten
- Beurteilungen, Zielvereinbarungen, Abmahnungen, Fortbildungsnachweise
- **Abmahnungen:** Loeschung nach ca. 2-3 Jahren ohne erneuten Vorfall (BAG-Rspr.)

### Bewerbungsdaten
- Lebenslauf, Zeugnisse, Anschreiben, Gehaltsvorstellungen
- **Loeschfrist bei Absage: max. 6 Monate** (2 Mon. AGG-Geltendmachung + 3 Mon. Klage + Puffer)

### Gesundheitsdaten (Art. 9!)
- AU-Bescheinigungen, BEM-Daten, Schwerbehinderung
- BEM-Akte **getrennt** von Personalakte fuehren
- AG darf keine Diagnose verlangen (LDI NRW)

## EuGH C-34/21 — § 26 BDSG europarechtswidrig

Der EuGH entschied am 30.03.2023, dass § 26 Abs. 1 S. 1 BDSG keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt, da er lediglich die DSGVO-Vorgaben wiederholt. **Konsequenz:** Direkte Anwendung von Art. 6 Abs. 1 DSGVO. Die bisherige Auslegung ist aber weitgehend uebertragbar.

## BeschDG — Referentenentwurf (08.10.2024)

Das geplante Beschaeftigtendatengesetz soll § 26 BDSG ersetzen (4 Kapitel, 30 Paragrafen). Kernpunkte:
- Konkretere Zulaessigkeitsregeln statt Generalklausel
- Fragerecht des AG in der Bewerbungsphase klar definiert
- Videoueberwachung nur zweckgebunden, max. 72h Speicherung
- KI-Einsatz unter Bezug auf den EU AI Act geregelt
- Verwertungsverbote bei rechtswidriger Datenerhebung
- **Inkrafttreten:** fruehestens 2026, 12 Monate Uebergangsfrist

## Praxis-Tipp

Erfassen Sie Beschaeftigtendaten im VVT nach Kategorien getrennt (Stamm-, Vertrags-, Steuerdaten etc.) und ordnen Sie pro Kategorie die korrekte Aufbewahrungsfrist zu.',
  legal_refs = ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 88 DSGVO', '§ 26 BDSG', '§ 147 AO', '§ 28f SGB IV', '§ 41 EStG', '§ 195 BGB'],
  tags = ARRAY['beschaeftigte', 'personal', 'stammdaten', 'lohnabrechnung', 'eugh', 'beschdg', 'aufbewahrungsfristen'],
  source_urls = ARRAY[
    'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
    'https://www.cmshs-bloggt.de/arbeitsrecht/referentenentwurf-des-beschaeftigtendatengesetzes-was-arbeitgeber-wissen-muessen/',
    'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
    'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
    'https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'beschaeftigtendaten-umfang';

-- Arbeitszeiterfassung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.bundesarbeitsgericht.de/entscheidung/1-abr-22-21/',
    'https://curia.europa.eu/juris/document/document.jsf?docid=214043&doclang=DE',
    'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'arbeitszeiterfassung-pflicht';

-- HinSchG: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.gesetze-im-internet.de/hinschg/',
    'https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Hinweisgeberschutz.html'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'hinschg-grundlagen';

-- AVV Website: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.datenschutzkonferenz-online.de/media/oh/20191016_oh_auftragsverarbeitung.pdf',
    'https://dsgvo-gesetz.de/art-28-dsgvo/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'avv-website-betrieb';

-- AVV Lohnbuchhaltung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.paychex.de/wissenswertes/lohnabrechnung-updates/datenschutz-pflichten-lohnabrechnung',
    'https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/datenschutz-bei-der-gehaltsabrechnung/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'avv-lohnbuchhaltung';

-- Kontaktdaten: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
    'https://comp-lex.de/dsgvo-im-b2b-bereich/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'kontaktdaten-ansprechpartner';

-- Gemeinsame Verantwortlichkeit: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://curia.europa.eu/juris/document/document.jsf?docid=202543&doclang=DE',
    'https://curia.europa.eu/juris/document/document.jsf?docid=216555&doclang=DE',
    'https://dsgvo-gesetz.de/art-26-dsgvo/'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'gemeinsame-verantwortlichkeit';

-- Qualifikationsdaten: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'qualifikationsdaten';

-- Religion Bewerbung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
  source_urls = ARRAY[
    'https://curia.europa.eu/juris/document/document.jsf?docid=201148&doclang=DE'
  ],
  version = 2,
  updated_at = NOW()
WHERE id = 'religion-bewerbung';

-- =============================================================================
-- 2. Neue Kategorien
-- =============================================================================

INSERT INTO compliance_wiki_categories (id, name, description, icon, sort_order) VALUES
('aufbewahrungsfristen', 'Aufbewahrungsfristen', 'Gesetzliche Aufbewahrungsfristen und Loeschpflichten nach DSGVO', 'Clock', 45),
('eugh-leiturteile', 'EuGH-Leiturteile', 'Wegweisende Entscheidungen des Europaeischen Gerichtshofs zum Datenschutz', 'Gavel', 25),
('dach-besonderheiten', 'DACH-Besonderheiten', 'Besonderheiten im Datenschutzrecht fuer Deutschland, Oesterreich und die Schweiz', 'Globe', 85)
ON CONFLICT (id) DO NOTHING;

-- =============================================================================
-- 3. Neue Artikel: EuGH-Leiturteile
-- =============================================================================

-- EuGH C-184/20: Weite Auslegung Art. 9
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c184-20-weite-auslegung', 'eugh-leiturteile',
 'EuGH C-184/20 — Weite Auslegung von Art. 9 DSGVO',
 'Der EuGH hat 2022 entschieden, dass Art. 9 DSGVO weit auszulegen ist: Auch indirekte Rueckschluesse auf sensible Daten loesen den besonderen Schutz aus.',
 '## Sachverhalt

Ein litauischer Beamter musste eine Interessenerklaerung abgeben, in der der Name seines Lebenspartners offengelegt wurde. Die Veroffentlichung auf der Website der Ethikkommission offenbarte indirekt seine **sexuelle Orientierung**.

## Kernaussagen des EuGH (01.08.2022)

1. Art. 9 Abs. 1 DSGVO ist **weit auszulegen**: Es genuegt, dass besondere Kategorien **indirekt** aus den verarbeiteten Daten abgeleitet werden koennen ("gedankliche Kombination oder Ableitung").

2. Die Formulierung "aus denen ... hervorgeht" erfordert **keinen direkten Zusammenhang** zwischen Daten und sensiblen Informationen.

3. Eine **enge Auslegung** wuerde dem Schutzzweck von Art. 9 zuwiderlaufen.

## Bedeutung fuer die Praxis

Dieses Urteil hat die Landschaft grundlegend veraendert:
- **Fotos** koennen ethnische Herkunft offenbaren
- **Kantinenbestellungen** (halal/koscher) koennen Religion offenbaren
- **Behindertenparkplaetze** koennen Gesundheitszustand offenbaren
- **Lebenspartner-Angaben** koennen sexuelle Orientierung offenbaren

## Konsequenz

Vor jeder Datenverarbeitung pruefen: Koennen aus den erhobenen Daten — auch durch Kombination oder Ableitung — Rueckschluesse auf Art.-9-Kategorien gezogen werden?',
 ARRAY['Art. 9 Abs. 1 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
 ARRAY['eugh', 'art9', 'weite-auslegung', 'indirekt', 'leiturteil'],
 'critical',
 ARRAY[
   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
   'https://gdprhub.eu/index.php?title=CJEU_-_C-184/20_-_Vyriausioji_tarnybin%C4%97s_etikos_komisija',
   'https://www.delegedata.de/2022/08/sensible-daten-ueberall-versuch-einer-irgendwie-handhabbaren-interpretation-des-eugh-urteils/',
   'https://www.datenschutz-notizen.de/eugh-zur-auslegung-des-anwendungsbereichs-des-art-9-dsgvo-5737570/'
 ])
ON CONFLICT (id) DO NOTHING;

-- EuGH C-667/21: Kumulative Rechtsgrundlage
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c667-21-kumulative-rechtsgrundlage', 'eugh-leiturteile',
 'EuGH C-667/21 — Kumulative Rechtsgrundlage bei Art. 9',
 'Seit diesem Urteil steht fest: Fuer die Verarbeitung besonderer Kategorien braucht man ZWEI Rechtsgrundlagen — Art. 9 Abs. 2 UND Art. 6 Abs. 1 DSGVO.',
 '## Sachverhalt

Ein Mitarbeiter des Medizinischen Dienstes Nordrhein verklagte seinen Arbeitgeber, weil dieser seine Gesundheitsdaten intern verarbeitet hatte. Das BAG legte die Frage dem EuGH vor.

## Kernaussage (21.12.2023)

Fuer die Verarbeitung von Gesundheitsdaten (und allen Art.-9-Daten) reicht ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO **allein nicht aus**. Zusaetzlich muss **kumulativ** eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen.

Art. 9 Abs. 2 ist **keine eigenstaendige Rechtsgrundlage**, sondern hebt nur das Verarbeitungsverbot des Art. 9 Abs. 1 auf.

## Pruefungsschema (seit C-667/21)

```
1. Liegt ein Art.-9-Datum vor? → Verarbeitungsverbot
2. Greift Ausnahme nach Art. 9 Abs. 2 lit. a-j? → Verbot aufgehoben
3. Liegt ZUSAETZLICH Rechtsgrundlage nach Art. 6 Abs. 1 vor? → Verarbeitung zulaessig
```

## Praktische Auswirkung

Jedes VVT und jede DSFA muss bei Art.-9-Daten **beide** Rechtsgrundlagen dokumentieren. Beispiel:
- Art. 9 Abs. 2 lit. b (Arbeitsrecht) + Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)
- Art. 9 Abs. 2 lit. a (Einwilligung) + Art. 6 Abs. 1 lit. a (Einwilligung)',
 ARRAY['Art. 9 Abs. 2 DSGVO', 'Art. 6 Abs. 1 DSGVO'],
 ARRAY['eugh', 'art9', 'art6', 'rechtsgrundlage', 'kumulativ', 'leiturteil'],
 'critical',
 ARRAY[
   'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
   'https://www.dr-datenschutz.de/eugh-verarbeitung-von-gesundheitsdaten/',
   'https://www.seitzpartner.de/blog/eugh-rechtsgrundlage-nach-art-6-abs-1-dsgvo-auch-bei-vorliegen-eines-ausnahmetatbestandes-nach-art-9-abs-2-dsgvo-erforderlich/'
 ])
ON CONFLICT (id) DO NOTHING;

-- EuGH C-34/21: § 26 BDSG europarechtswidrig
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c34-21-par26-bdsg', 'eugh-leiturteile',
 'EuGH C-34/21 — § 26 BDSG ist europarechtswidrig',
 'Der EuGH hat 2023 entschieden, dass § 26 BDSG keine spezifischere Vorschrift i.S.v. Art. 88 DSGVO darstellt. Die Verarbeitung von Beschaeftigtendaten richtet sich nun direkt nach der DSGVO.',
 '## Kernaussage (30.03.2023)

§ 26 Abs. 1 S. 1 BDSG ist europarechtswidrig, da er lediglich die DSGVO-Vorgaben **wiederholt** und keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt. Nationale Vorschriften muessen ueber die DSGVO **hinausgehen** und die Anforderungen von Art. 88 Abs. 2 DSGVO erfuellen.

## Praktische Folge

Die Zulaessigkeit der Datenverarbeitung im Beschaeftigungskontext richtet sich nun unmittelbar nach:
- **Art. 6 Abs. 1 lit. b DSGVO** (Vertragserfuellung)
- **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtung)
- **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse)

Die bisherige Auslegung des § 26 BDSG ist aber **weitgehend uebertragbar**.

## DSK-Reaktion

Die DSK forderte am 11.05.2023 den Gesetzgeber dringend auf, ein eigenstaendiges Beschaeftigtendatengesetz zu schaffen. Ergebnis: Referentenentwurf BeschDG vom 08.10.2024.

## Praxis-Tipp

Im VVT bei Beschaeftigtendaten die Rechtsgrundlage auf Art. 6 Abs. 1 DSGVO umstellen — § 26 BDSG kann als ergaenzende nationale Regelung noch zitiert werden, ist aber nicht mehr tragende Rechtsgrundlage.',
 ARRAY['Art. 88 DSGVO', '§ 26 BDSG', 'Art. 6 Abs. 1 DSGVO'],
 ARRAY['eugh', 'par26', 'bdsg', 'beschaeftigte', 'europarechtswidrig', 'leiturteil'],
 'critical',
 ARRAY[
   'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
   'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
   'https://www.datenschutzkonferenz-online.de/entschliessungen.html'
 ])
ON CONFLICT (id) DO NOTHING;

-- EuGH C-634/21: SCHUFA-Scoring
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c634-21-schufa-scoring', 'eugh-leiturteile',
 'EuGH C-634/21 — SCHUFA-Scoring und automatisierte Entscheidungen',
 'Der EuGH hat 2023 das SCHUFA-Scoring als moeglicherweise unzulaessige automatisierte Entscheidung nach Art. 22 DSGVO eingestuft und die Speicherfristen fuer Restschuldbefreiungen beschraenkt.',
 '## SCHUFA-Scoring (C-634/21, 07.12.2023)

Das SCHUFA-Scoring kann eine nach Art. 22 Abs. 1 DSGVO unzulaessige **automatisierte Entscheidung** darstellen, wenn der Score-Wert **massgeblich** fuer die Kreditvergabe ist. Die SCHUFA muss nach Art. 15 Abs. 1 lit. h DSGVO **aussagekraeftige Informationen ueber die involvierte Logik** offenlegen.

## Restschuldbefreiung (C-26/22 und C-64/22, 07.12.2023)

Die Speicherung von Restschuldbefreiungsdaten durch die SCHUFA ueber die **6-Monats-Frist** des Insolvenzregisters hinaus ist unzulaessig. Die Rechte der Betroffenen ueberwiegen.

**Folge:** SCHUFA verkuerzte freiwillig die Speicherfrist auf 6 Monate (seit Maerz 2023).

## Bedeutung fuer Unternehmen

- Kreditentscheidungen duerfen **nicht allein** vom SCHUFA-Score abhaengen
- Bei automatisierten Entscheidungen: Art. 22 DSGVO pruefen
- Betroffene haben Recht auf **Erklaerung der Scoring-Logik**
- Aufbewahrungsfristen fuer Bonitaetsdaten beachten',
 ARRAY['Art. 22 DSGVO', 'Art. 15 Abs. 1 lit. h DSGVO', 'Art. 17 DSGVO'],
 ARRAY['eugh', 'schufa', 'scoring', 'automatisiert', 'bonitaet', 'leiturteil'],
 'important',
 ARRAY[
   'https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/wichtige-urteile-eugh-weist-schufa-scoring-massiv-in-die-schranken-70963/',
   'https://www.noerr.com/de/insights/eugh-urteil-zum-schufa-score---was-unternehmen-jetzt-beachten-muessen',
   'https://www.gleisslutz.com/de/know-how/eugh-begrenzt-verarbeitung-von-verbraucherdaten-durch-die-schufa'
 ])
ON CONFLICT (id) DO NOTHING;

-- EuGH C-582/14: IP-Adressen als personenbezogene Daten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c582-14-ip-adressen', 'eugh-leiturteile',
 'EuGH C-582/14 "Breyer" — IP-Adressen sind personenbezogene Daten',
 'Der EuGH hat 2016 klargestellt, dass auch dynamische IP-Adressen personenbezogene Daten sind, wenn der Betreiber die Person theoretisch identifizieren koennte.',
 '## Kernaussage (19.10.2016)

**Dynamische IP-Adressen** sind personenbezogene Daten, auch wenn der Website-Betreiber die Person nur mit Hilfe Dritter (z.B. Access-Provider) identifizieren **koennte**. Eine IP-Adresse ist nur dann kein personenbezogenes Datum, wenn die Identifizierung **praktisch unmoeglich** ist.

## Bedeutung fuer die Praxis

- **Server-Logs** mit IP-Adressen sind personenbezogene Daten
- **Hosting-Anbieter** brauchen einen AVV (Zugriff auf IP-Adressen)
- **CDN-Anbieter** (Cloudflare etc.) verarbeiten IP-Adressen
- **Analytics-Tools** ohne IP-Anonymisierung erfassen personenbezogene Daten
- Auch **temporaer** gespeicherte IP-Adressen fallen unter die DSGVO

## Konsequenz fuer VVT

Jede Verarbeitungstaetigkeit mit Internet-Bezug (Website, App, API) sollte "IP-Adressen" als Datenkategorie auffuehren und eine Rechtsgrundlage dokumentieren (meist Art. 6 Abs. 1 lit. f — berechtigtes Interesse an IT-Sicherheit).',
 ARRAY['Art. 4 Nr. 1 DSGVO', 'Art. 6 Abs. 1 lit. f DSGVO'],
 ARRAY['eugh', 'ip-adresse', 'personenbezogen', 'breyer', 'leiturteil'],
 'important',
 ARRAY[
   'https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE',
   'https://www.lto.de/recht/hintergruende/h/eugh-c-582-14-ip-adressen-personenbezogene-daten-verarbeitung-speicherung',
   'https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/11_BGH_Breyer.html'
 ])
ON CONFLICT (id) DO NOTHING;

-- =============================================================================
-- 4. Neue Artikel: Art. 9 besondere Kategorien
-- =============================================================================

-- Biometrische Daten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('biometrische-daten-art9', 'art9-besondere',
 'Biometrische Daten — Wann greift Art. 9?',
 'Biometrische Daten fallen nur dann unter Art. 9 DSGVO, wenn sie zur eindeutigen Identifizierung verarbeitet werden. Ein einfaches Passfoto ist kein biometrisches Datum.',
 '## Definition (Art. 4 Nr. 14 DSGVO)

Biometrische Daten sind mit **speziellen technischen Verfahren** gewonnene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen, die die **eindeutige Identifizierung** ermoeglichen: Fingerabdruecke, Gesichtsgeometrie, Iris-Scans, Stimmmuster, Ganganalyse.

## Entscheidende Einschraenkung

Art. 9 greift nur, wenn biometrische Daten **zur eindeutigen Identifizierung** verarbeitet werden (ErwGr. 51):

| Datum | Art. 9? | Grund |
|-------|---------|-------|
| Fingerabdruck zur Zutrittskontrolle | **Ja** | Zweck = Identifizierung |
| Gesichtserkennung (Face-ID) | **Ja** | Zweck = Authentifizierung |
| Einfaches Passfoto | **Nein** | Kein spezielles tech. Verfahren |
| Foto + Gesichtserkennungssoftware | **Ja** | Spezielles tech. Verfahren |
| Stimmaufnahme fuer Sprachassistent | Kommt drauf an | Nur wenn zur Identifizierung |

## EU AI Act (seit 02.02.2025)

- **Echtzeit-biometrische Fernidentifizierung** an oeffentlichen Orten ist **verboten**
- Ausnahmen: Suche nach Entfuehrungsopfern, Terrorabwehr, schwere Straftaten
- Ungezieltes Auslesen von Bildern fuer Gesichtserkennungs-DB ist **verboten**

## DSK-Positionspapier (05.04.2019)

Die DSK hat ein Positionspapier zu biometrischen Verfahren veroeffentlicht mit Empfehlungen fuer den Einsatz.

## Praxis-Tipp

Bei Zutrittskontrollsystemen mit Fingerabdruck/Gesichtserkennung: Immer eine **Alternative** anbieten (z.B. Chipkarte). Ausdrueckliche Einwilligung nach Art. 9 Abs. 2 lit. a oder Rechtsgrundlage nach § 22 BDSG pruefen.',
 ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 14 DSGVO', 'ErwGr. 51 DSGVO', '§ 22 BDSG', 'EU AI Act'],
 ARRAY['biometrie', 'art9', 'fingerabdruck', 'gesichtserkennung', 'ai-act'],
 'important',
 ARRAY[
   'https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf',
   'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
   'https://dsgvo-gesetz.de/art-9-dsgvo/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Art. 9 Pruefungsschema
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('art9-pruefungsschema', 'art9-besondere',
 'Art. 9 DSGVO — Pruefungsschema und alle 8 Kategorien',
 'Uebersicht ueber alle 8 besonderen Kategorien nach Art. 9 DSGVO mit dem aktuellen Pruefungsschema nach EuGH-Rechtsprechung.',
 '## Die 8 Kategorien nach Art. 9 Abs. 1

1. **Rassische und ethnische Herkunft** — Nationalitaet, Hautfarbe, Migrationshintergrund; auch Fotos, die ethnische Herkunft offenbaren (nach EuGH C-184/20)
2. **Politische Meinungen** — Parteimitgliedschaft, politische Demonstrationen, Spenden an politische Organisationen
3. **Religioese/weltanschauliche Ueberzeugungen** — Konfession, Kirchensteuer, religioese Feiertage; auch Kantinenbestellung "halal/koscher"
4. **Gewerkschaftszugehoerigkeit** — Einzige Vereinsmitgliedschaft in Art. 9; Gewerkschaftsbeitrag auf Lohnabrechnung
5. **Genetische Daten** — DNA-Analysen, Chromosomenanalysen, Gentests; nicht: normales Blutbild
6. **Biometrische Daten** — Nur wenn zur **eindeutigen Identifizierung** (Fingerabdruck, Face-ID); nicht: einfaches Foto
7. **Gesundheitsdaten** — Sehr weit: Diagnosen, AU, Behinderung, Medikamente, Online-Arzneibestellung, Wearable-Daten
8. **Sexualleben / sexuelle Orientierung** — Auch indirekt (Name des gleichgeschlechtlichen Partners, EuGH C-184/20)

## Pruefungsschema (nach aktueller EuGH-Rspr.)

**Schritt 1:** Liegt ein Art.-9-Datum vor?
→ Weite Auslegung! Auch **indirekte** Ableitungen (C-184/20)

**Schritt 2:** Greift eine Ausnahme nach Art. 9 Abs. 2 lit. a-j?
→ Katalog ist **abschliessend** (numerus clausus)

**Schritt 3:** Liegt **zusaetzlich** eine Rechtsgrundlage nach Art. 6 Abs. 1 vor?
→ Kumulative Anforderung seit EuGH C-667/21

**Schritt 4:** Nationale Sonderregelung? (§ 22 BDSG / § 39 DSG-AT)
→ Zusaetzliche Schutzmassnahmen (Pseudonymisierung, Verschluesselung, Zugangskontrollen)

**Schritt 5:** DSFA erforderlich? (Art. 35 DSGVO)
→ Bei umfangreicher Verarbeitung besonderer Kategorien in der Regel **ja**

## 10 Ausnahmetatbestaende (Art. 9 Abs. 2)

| Lit. | Ausnahme | Praxis-Beispiel |
|------|----------|-----------------|
| a | Ausdrueckliche Einwilligung | Freiwillige Angabe der Religion in Mitarbeiterbefragung |
| b | Arbeits-/Sozialrecht | Kirchensteuer-Abfuehrung, SV-Meldungen |
| c | Lebenswichtige Interessen | Notfall: Allergieinfo an Rettungsdienst |
| d | Stiftungen/Vereinigungen | Gewerkschaft verarbeitet Mitgliederdaten |
| e | Offensichtlich oeffentlich | Person teilt Krankheit auf Social Media (eng! C-446/21) |
| f | Rechtsansprueche | Arbeitsgerichtsprozess mit Gesundheitsdaten |
| g | Erhebliches oeff. Interesse | Pandemiebekaempfung |
| h | Gesundheitsversorgung | Arzt verarbeitet Patientendaten |
| i | Oeffentliche Gesundheit | Infektionsschutz-Meldepflichten |
| j | Archiv/Forschung/Statistik | Medizinische Forschung mit Ethikvotum |

## Praxis-Tipp

Dokumentieren Sie im VVT bei **jedem** Art.-9-Datum beide Rechtsgrundlagen (Art. 9 Abs. 2 + Art. 6 Abs. 1) und die konkreten Schutzmassnahmen nach § 22 Abs. 2 BDSG.',
 ARRAY['Art. 9 DSGVO', 'Art. 6 Abs. 1 DSGVO', '§ 22 BDSG', 'Art. 35 DSGVO'],
 ARRAY['art9', 'besondere-kategorien', 'pruefungsschema', 'uebersicht'],
 'critical',
 ARRAY[
   'https://www.lda.bayern.de/media/dsk_kpnr_17_besondere_kategorien.pdf',
   'https://dsgvo-gesetz.de/art-9-dsgvo/',
   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
   'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE'
 ])
ON CONFLICT (id) DO NOTHING;

-- =============================================================================
-- 5. Neue Artikel: Datenkategorien (vertieft)
-- =============================================================================

-- Aufbewahrungsfristen Uebersicht
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('aufbewahrungsfristen-uebersicht', 'aufbewahrungsfristen',
 'Aufbewahrungsfristen — Vollstaendige Uebersicht',
 'Welche Daten muessen wie lange aufbewahrt werden? Uebersicht aller relevanten gesetzlichen Fristen fuer Personalakten, Buchhaltung und weitere Bereiche.',
 '## Personalakten & Beschaeftigtendaten

| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| Allgemeine Personalakte | 3 Jahre nach Austritt | § 195 BGB |
| Lohn-/Gehaltsabrechnungen | **8 Jahre** | § 147 AO (seit 01.01.2025, vorher 10 Jahre) |
| Lohnsteuerunterlagen | 6 Jahre | § 41 EStG |
| SV-Beitragsnachweise | 5 Jahre | § 28f SGB IV |
| SV-Meldungen (DEUEV) | 5 Jahre | § 28f SGB IV |
| Arbeitszeitdokumentation | 2 Jahre | § 16 Abs. 2 ArbZG |
| Bewerbungsunterlagen (Absage) | max. 6 Monate | AGG §§ 15, 21 |
| Betriebliche Altersvorsorge | **30 Jahre** | § 18a BetrAVG, § 199 Abs. 3 BGB |
| Unfallversicherungsunterlagen | 5 Jahre | § 28f SGB IV |
| Zeugnisse/Arbeitsbescheinigungen | 3 Jahre nach Austritt | § 195 BGB |
| Abmahnungen | 2-3 Jahre | BAG-Rspr. (keine gesetzl. Frist) |
| Mutterschutz-/Elternzeit | 2 Jahre nach Ende | § 27 MuSchG |

## Buchhaltung & Finanzen

| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| Rechnungen (ein-/ausgehend) | **8 Jahre** | § 147 AO (seit 2025) |
| Buchungsbelege | **8 Jahre** | § 147 AO |
| Jahresabschluesse | **8 Jahre** | § 147 AO |
| Handelskorrespondenz | 6 Jahre | § 257 HGB |
| Vertraege | 3 Jahre nach Beendigung | § 195 BGB + Aufbewahrung |

## Weitere Bereiche

| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| HinSchG-Meldungen | 3 Jahre nach Abschluss | § 11 Abs. 5 HinSchG |
| SEPA-Lastschriftmandate | 10 Jahre + 2 Jahre Pruefung | § 147 AO |
| Datenschutz-Einwilligungen | Dauer der Einwilligung + 3 Jahre | Nachweispflicht |
| VVT-Dokumentation | Dauerhaft (solange Verarbeitung laeuft) | Art. 30 DSGVO |

## Wichtige Neuerung

**Ab 01.01.2027:** Sozialversicherungsrelevante Entgeltunterlagen muessen **ausschliesslich digital** vorgehalten werden (Digitalisierungspflicht).

## Praxis-Tipp

Implementieren Sie ein **automatisches Loeschkonzept** mit konkreten Loeschfristen pro Datenkategorie. Nach Ablauf der Aufbewahrungsfrist besteht eine **Loeschpflicht** nach Art. 17 DSGVO — die Daten duerfen dann nicht mehr aufbewahrt werden.',
 ARRAY['§ 147 AO', '§ 257 HGB', '§ 195 BGB', '§ 28f SGB IV', '§ 41 EStG', '§ 16 Abs. 2 ArbZG', 'Art. 17 DSGVO'],
 ARRAY['aufbewahrung', 'loeschfristen', 'personalakte', 'buchhaltung', 'loeschkonzept'],
 'critical',
 ARRAY[
   'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
   'https://www.lexware.de/wissen/mitarbeiter-gehalt/aufbewahrungsfristen-personalakte/',
   'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
 ])
ON CONFLICT (id) DO NOTHING;

-- Videoueberwachung am Arbeitsplatz
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('videoueberwachung-arbeitsplatz', 'arbeitsrecht',
 'Videoueberwachung am Arbeitsplatz — Rechtsrahmen und Grenzen',
 'BAG-Rechtsprechung zur Verwertbarkeit von Videoaufzeichnungen im Kuendigungsschutzprozess und datenschutzrechtliche Grenzen der Ueberwachung.',
 '## BAG 2 AZR 296/22 — Offene Videoueberwachung (29.06.2023)

**Sachverhalt:** Teamleiter wurde fristlos gekuendigt wegen Arbeitszeitbetrugs. Beweis: Aufzeichnung einer offenen Kamera, die laenger als die beschilderten 96 Stunden gespeichert wurde.

**Kernaussage:** **Kein generelles Verwertungsverbot** fuer Aufzeichnungen offener Videoueberwachung im Kuendigungsschutzprozess — selbst wenn die Ueberwachung nicht vollstaendig DSGVO-konform war. Bei vorsaetzlichem Vertragsbruch ueberwiegt das Aufklaerungsinteresse des Arbeitgebers. Verwertungsverbot nur bei **schwerwiegenden Grundrechtsverletzungen**.

## GPS-Tracking

- **Anlasslose GPS-Ueberwachung** ist stets rechtswidrig
- GPS-Tracking nur bei **konkretem Verdacht** auf schwere Pflichtverletzung und unter Verhaeltnismaessigkeit
- **DSFA** nach Art. 35 DSGVO zwingend erforderlich
- Speicherempfehlung: max. 7-30 Tage
- Heimliches Tracking: grundsaetzlich unzulaessig

## E-Mail-Ueberwachung (LAG Baden-Wuerttemberg, 12 Sa 56/21)

Verdeckte Einsichtnahme in moeglicherweise private E-Mails ist rechtswidrig, wenn keine Regelung zur Privatnutzung existiert. Schadensersatzanspruch des Arbeitnehmers wurde bejaht.

## BeschDG-Entwurf zur Videoueberwachung

Das geplante Beschaeftigtendatengesetz sieht vor:
- Videoueberwachung nur **zweckgebunden** und **erkennbar**
- Max. **72 Stunden** Speicherung
- Verdeckte Ueberwachung nur bei konkretem Straftatenverdacht

## Praxis-Tipp

Fuehren Sie ein **Videoueberwachungskonzept** mit Angabe der Zwecke, Speicherdauer und Zugriffsberechtigungen. Schilder mit Datenschutzhinweis (Art. 13 DSGVO) sind Pflicht. Betriebsrat hat Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).',
 ARRAY['Art. 6 Abs. 1 lit. f DSGVO', 'Art. 35 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG', 'Art. 13 DSGVO'],
 ARRAY['videoueberwachung', 'gps', 'ueberwachung', 'bag', 'arbeitsplatz'],
 'important',
 ARRAY[
   'https://www.haufe.de/personal/arbeitsrecht/bag-zu-offener-videoueberwachung-und-verwertungsverbot_76_599850.html',
   'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/',
   'https://www.activemind.legal/de/guides/gps-ueberwachung-beschaeftigte/',
   'https://www.compliance-insider.com/2023/09/18/lag-baden-wuerttemberg-privatnutzung-dienstlicher-kommunikationsgeraete-wann-droht-ein-verwertungsverbot/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Kommunikationsdaten am Arbeitsplatz
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('kommunikationsdaten-arbeitsplatz', 'arbeitsrecht',
 'E-Mail, Chat & Telefon — Fernmeldegeheimnis und DSGVO',
 'Die Rechtslage bei dienstlicher und privater Kommunikation am Arbeitsplatz hat sich 2024 grundlegend geaendert: Das Fernmeldegeheimnis gilt fuer Arbeitgeber nicht mehr.',
 '## Neue Rechtslage seit 2024

Mehrere Aufsichtsbehoerden (u.a. **LDI NRW, Juli 2024**) gehen davon aus, dass Arbeitgeber, die private E-Mail-/Internetnutzung erlauben oder dulden, seit dem TDDDG **nicht mehr** dem Fernmeldegeheimnis unterliegen. Stattdessen greift **vollumfaenglich die DSGVO**.

**Konsequenz:** Der Arbeitgeber ist nicht mehr als TK-Anbieter einzustufen. Er braucht fuer den Zugriff auf E-Mails eine DSGVO-Rechtsgrundlage (Art. 6), nicht mehr § 3 TDDDG.

## Fernmeldegeheimnis — Gesetzesgeschichte

- § 88 TKG → § 3 TTDSG (01.12.2021) → **§ 3 TDDDG** (Mai 2024)
- Inhaltlich unveraendert, aber die **Anwendung auf Arbeitgeber** hat sich gewandelt

## Regelungen zur Privatnutzung

| Regelung | Konsequenz |
|----------|-----------|
| Privatnutzung **verboten** | AG darf stichprobenartig auf dienstliche E-Mails zugreifen (Art. 6 Abs. 1 lit. f) |
| Privatnutzung **erlaubt/geduldet** | Seit 2024: DSGVO statt Fernmeldegeheimnis; trotzdem: Inhaltskontrolle nur mit Rechtsgrundlage |
| Keine Regelung vorhanden | Duldung wird angenommen → DSGVO-Pflichten beachten |

## Videokonferenzen (Teams, Zoom)

- AVV mit Anbieter ist **Pflicht** (Art. 28 DSGVO)
- Aufzeichnung nur mit **freiwilliger Einwilligung** aller Teilnehmer
- EU-US Data Privacy Framework (seit Juli 2023) ermoeglicht Transfer an zertifizierte US-Anbieter

## Praxis-Tipp

Erstellen Sie eine **klare Regelung zur Privatnutzung** dienstlicher Kommunikationsmittel (Dienstanweisung/Betriebsvereinbarung). Das vermeidet Rechtsunsicherheit und schafft Transparenz fuer Beschaeftigte.',
 ARRAY['§ 3 TDDDG', 'Art. 6 Abs. 1 DSGVO', 'Art. 28 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG'],
 ARRAY['e-mail', 'fernmeldegeheimnis', 'tdddg', 'privatnutzung', 'videokonferenz'],
 'important',
 ARRAY[
   'https://www.delegedata.de/2024/07/endlich-keine-anwendbarkeit-des-fernmeldegeheimnisses-fuer-arbeitgeber-bei-erlaubter-geduldeter-privater-nutzung-von-betrieblichen-e-mail-oder-internetdiensten-datenschutzbehoerde-nrw/',
   'https://dsgvo-gesetz.de/tdddg/3-tdddg/',
   'https://www.dr-datenschutz.de/fernmeldegeheimnis-am-arbeitsplatz-was-aendert-das-ttdsg/',
   'https://sidit.de/blog/microsoft-teams-zoom-co-was-muessen-unternehmen-beim-einsatz-von-videokonferenz-tools-im-datenschutz-beachten/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Finanzdaten & PCI DSS
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('finanzdaten-kreditkarten', 'datenkategorien',
 'Finanzdaten, Kreditkarten und SEPA — Datenschutzanforderungen',
 'Finanzdaten sind keine Art.-9-Kategorie, aber hochsensibel. PCI DSS ergaenzt die DSGVO bei Kreditkartendaten. SEPA-Mandate haben eigene Speicherfristen.',
 '## Rechtliche Einordnung

Finanzdaten (IBAN, Kreditkarten, Gehalt) sind **keine** besondere Kategorie nach Art. 9 DSGVO, aber dennoch **hochsensibel** wegen des hohen Missbrauchspotenzials.

**Achtung:** Lohnabrechnungen enthalten regelmaessig **Art.-9-Daten** (Kirchensteuermerkmal = Religion, Krankmeldungen = Gesundheit, Gewerkschaftsbeitrag).

## Kreditkartendaten & PCI DSS

Der **PCI DSS** (Payment Card Industry Data Security Standard) ergaenzt die DSGVO mit 12 Sicherheitsanforderungen:
- Verschluesselung bei Uebertragung und Speicherung
- Zugangsbeschraenkung nach Need-to-Know-Prinzip
- Regelmaessige Sicherheitstests
- Keine Speicherung von CVV/CVC nach Autorisierung

Kreditkartendaten fallen als personenbezogene Daten auch unter die DSGVO.

## SEPA-Lastschrift

- Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung im SEPA-Mandat) oder lit. b (Vertragserfuellung)
- Gespeicherte Daten: Name, Adresse, Kreditinstitut, IBAN
- **Speicherdauer:** Mindestens 8 Jahre (§ 147 AO) + bis zu 2 Jahre Pruefungszeitraum = max. **10 Jahre**

## Gehaltsdaten

- Gehalt ist ein personenbezogenes Datum
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
- Bei externer Lohnabrechnung: AVV nach Art. 28 DSGVO zwingend

## Praxis-Tipp

Fuehren Sie Finanzdaten im VVT als eigene Datenkategorie. Bei Online-Zahlungen: PCI-DSS-Compliance des Payment-Providers pruefen und im AVV dokumentieren.',
 ARRAY['Art. 6 Abs. 1 DSGVO', '§ 147 AO', 'Art. 28 DSGVO', 'Art. 32 DSGVO'],
 ARRAY['finanzdaten', 'kreditkarte', 'sepa', 'pci-dss', 'bankverbindung'],
 'info',
 ARRAY[
   'https://www.computerweekly.com/de/ratgeber/Datenschutz-bei-Bankdaten-und-Zahlungsverkehr',
   'https://blog.ordix.de/sicherheit-fuer-kreditkartendatenbusiness-need-to-know-pci-dss-in-der-datenverarbeitung',
   'https://kanzlei-lachenmann.de/datenschutz-bei-der-sepa-umstellung/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Minderjaehrigendaten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('minderjaehrigendaten-art8', 'dsgvo-grundlagen',
 'Minderjaehrige — Einwilligung ab 16 Jahren (Art. 8 DSGVO)',
 'In Deutschland gilt eine starre Altersgrenze von 16 Jahren fuer die eigenstaendige Einwilligung bei Diensten der Informationsgesellschaft. Darunter braucht es die Zustimmung der Eltern.',
 '## Art. 8 DSGVO — Einwilligung bei Kindern

- Minderjaehrige koennen ab **16 Jahren** eigenstaendig in die Verarbeitung einwilligen
- Unter 16: **Zustimmung der Erziehungsberechtigten** erforderlich
- Deutschland hat von der Oeffnungsklausel (Absenkung auf 13 Jahre) **keinen Gebrauch gemacht**

## Was ist ein "Dienst der Informationsgesellschaft"?

Elektronisch, im Fernabsatz, auf individuellen Abruf erbrachte Dienstleistung:
- Online-Shops, Apps
- Social Media (Instagram, TikTok)
- Lernplattformen, Schulportale
- Newsletter

## Ausserhalb von Art. 8

Fuer Datenverarbeitungen **ausserhalb** von Diensten der Informationsgesellschaft (z.B. schulinterne Verwaltung) gilt: Abstellung auf die **individuelle Einsichtsfaehigkeit** des Minderjaehrigen — keine starre Altersgrenze.

## ErwGr. 38 — Besonderer Schutz

Kinder verdienen **besonderen Schutz**, da sie sich der Risiken, Folgen und Schutzvorkehrungen weniger bewusst sind. Dies gilt insbesondere fuer Profiling und die Erhebung von Kinderdaten fuer Marketingzwecke.

## Praxis-Tipp

Bei Plattformen mit minderjaehrigen Nutzern: Altersverifikation implementieren, kindgerechte Datenschutzerklaerung bereitstellen, und bei unter 16-Jaehrigen die Einwilligung der Eltern einholen und dokumentieren.',
 ARRAY['Art. 8 DSGVO', 'ErwGr. 38 DSGVO', 'Art. 6 Abs. 1 lit. a DSGVO'],
 ARRAY['minderjaehrige', 'kinder', 'einwilligung', 'altersgrenze', 'art8'],
 'important',
 ARRAY[
   'https://dsgvo-gesetz.de/art-8-dsgvo/',
   'https://www.dr-datenschutz.de/datenschutz-bei-kindern-und-jugendlichen/',
   'https://www.proliance.ai/blog/dsgvo-und-kinder-fragen-und-antworten-zum-thema-datenschutz-minderjahrige'
 ])
ON CONFLICT (id) DO NOTHING;

-- =============================================================================
-- 6. Neue Artikel: DACH-Besonderheiten
-- =============================================================================

-- Oesterreich DSG
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('oesterreich-dsg-besonderheiten', 'dach-besonderheiten',
 'Oesterreich — DSG-Besonderheiten im Beschaeftigtendatenschutz',
 'Oesterreich hat eigene Regeln zu Kontrollmassnahmen am Arbeitsplatz: Betriebsrat muss zustimmen, Menschenwuerde ist besonders geschuetzt.',
 '## Rechtsrahmen

DSGVO + oesterreichisches **DSG** + **§ 96 ArbVG** + **§ 10 AVRAG**

## Kontrollmassnahmen (§ 96 Abs. 1 Z 3 ArbVG)

Kontrollmassnahmen und technische Systeme zur Kontrolle der Arbeitnehmer beduerfern der **Zustimmung des Betriebsrats** (erzwingbare Mitbestimmung). Massnahmen, die die **Menschenwuerde beruehren** (z.B. Videoueberwachung, GPS), erfordern eine Betriebsvereinbarung.

**In betriebsratslosen Betrieben:** Zustimmung des einzelnen Arbeitnehmers erforderlich, jederzeit widerruflich.

**Zustimmungspflichtige Beispiele:**
- Zeiterfassungssysteme
- Videoueberwachung
- Zugangskontrollen
- E-Mail-Ueberwachung

## Sozialversicherungsnummer (SVNR)

Die oesterreichische DSB hat entschieden: Die SVNR ist **kein Gesundheitsdatum**, da sie nur aus Laufnummer + Pruefziffer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018, bestaetigt durch BVwG W245 2236756-1).

**Achtung:** Kontextabhaengig! Im Kontext einer Krankenhausbehandlung kann die Verarbeitung der SVNR dennoch als Gesundheitsdatenverarbeitung gelten.

## § 39 DSG — Besondere Kategorien

Oesterreich hat von der Moeglichkeit, die Einwilligung als Rechtsgrundlage fuer Art. 9 auszuschliessen, **keinen Gebrauch gemacht**. "Sensible Daten" = "besondere Kategorien" der DSGVO.',
 ARRAY['DSGVO', '§ 96 ArbVG', '§ 10 AVRAG', '§ 39 DSG (AT)'],
 ARRAY['oesterreich', 'dsg', 'betriebsrat', 'arbvg', 'svnr', 'dach'],
 'important',
 ARRAY[
   'https://www.bvdnet.de/en/arbeitnehmerdatenschutz-in-oesterreich/',
   'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
   'https://www.verlagoesterreich.at/bvwg-die-sv-nummer-ist-nach-wie-vor-kein-gesundheitsdatum/99.105005-jmg202304033601'
 ])
ON CONFLICT (id) DO NOTHING;

-- Schweiz revDSG
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('schweiz-revdsg-besonderheiten', 'dach-besonderheiten',
 'Schweiz — revDSG seit 01.09.2023: Unterschiede zur DSGVO',
 'Das revidierte Schweizer Datenschutzgesetz (revDSG) hat eigene Kategorien besonders schuetzenswerter Daten und kennt kein generelles Verarbeitungsverbot wie Art. 9 DSGVO.',
 '## Besonders schuetzenswerte Personendaten (Art. 5 lit. c revDSG)

1. Religioese, weltanschauliche, politische, gewerkschaftliche Ansichten
2. Gesundheit, Intimsphaere, Rassen-/Ethniezugehoerigkeit
3. **Genetische Daten** (neu seit revDSG)
4. **Biometrische Daten** zur eindeutigen Identifizierung (neu)
5. **Verwaltungs- und strafrechtliche Verfolgungen/Sanktionen** (in DSGVO: Art. 10!)
6. **Massnahmen der sozialen Hilfe** (in DSGVO nicht separat erfasst)

## Wesentliche Unterschiede zur DSGVO

| Aspekt | DSGVO | revDSG |
|--------|-------|--------|
| Verarbeitungsverbot | Ja (Art. 9 Abs. 1) | **Nein** — Rechtfertigungsgrund erforderlich |
| Strafrecht-Daten | Eigener Art. 10 | Teil der besonders schuetzenswerten Daten |
| Soziale Hilfe | Nicht separat | Eigene Kategorie |
| Sexualleben | Eigene Kategorie | Unter "Intimsphaere" |
| Ausdrueckliche Einwilligung | Fuer Art. 9 erforderlich | Art. 6 Abs. 7 lit. a revDSG |

## Beschaeftigtendaten (Art. 328b OR)

Arbeitgeber duerfen nur Daten bearbeiten, die die **Eignung** des Arbeitnehmers betreffen oder fuer die **Durchfuehrung des Arbeitsvertrags** erforderlich sind.

## Ueberwachung (Art. 26 ArGV 3)

Ueberwachungssysteme, die das **Verhalten** der Arbeitnehmer ueberwachen sollen, sind **verboten**. Sachbezogene Ueberwachung (z.B. Sicherheit) ist zulaessig.

## BGer 4A_518/2020

Art. 328b OR ist kein absolutes Verbot, sondern ein **Bearbeitungsgrundsatz** (Verhaeltnismaessigkeitsprinzip).',
 ARRAY['Art. 5 lit. c revDSG', 'Art. 328b OR', 'Art. 26 ArGV 3', 'Art. 6 Abs. 7 revDSG'],
 ARRAY['schweiz', 'revdsg', 'dsg', 'besonders-schuetzenswert', 'dach'],
 'important',
 ARRAY[
   'https://www.edoeb.admin.ch/de/datenbearbeitung-durch-den-arbeitgeber',
   'https://www.pwc.ch/de/insights/regulierung/besonders-schuetzenswerte-personendaten.html',
   'https://www.edoeb.admin.ch/de/basiswissen'
 ])
ON CONFLICT (id) DO NOTHING;

-- KI-Trainingsdaten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('ki-trainingsdaten-datenschutz', 'branchenspezifisch',
 'KI-Trainingsdaten und Datenschutz — DSGVO + AI Act',
 'Personenbezogene Daten in KI-Trainingsdaten unterliegen vollumfaenglich der DSGVO. Der EU AI Act bringt zusaetzliche Anforderungen ab 2026.',
 '## Grundsatz

Personenbezogene Daten in KI-Trainingsdaten unterliegen **vollumfaenglich der DSGVO**. Fuer besondere Kategorien (Art. 9) gibt es **keine zusaetzliche Rechtfertigung** — technische Massnahmen (Filtersoftware, Anonymisierung) sind zwingend.

## Rechtsgrundlagen fuer KI-Training

- **Art. 6 Abs. 1 lit. f** (berechtigtes Interesse) — haeufigste Grundlage
- **Art. 6 Abs. 1 lit. a** (Einwilligung) — bei sensiblen Daten bevorzugt
- LfDI Baden-Wuerttemberg hat Leitlinien veroeffentlicht

## EU AI Act — Relevante Fristen

| Datum | Regelung |
|-------|----------|
| 02.02.2025 | Verbotene KI-Praktiken (Art. 5) in Kraft |
| 02.08.2025 | Pflichten fuer KI-Modelle mit allgemeinem Verwendungszweck |
| 02.08.2026 | Art. 101 — General Purpose AI Regelungen |

## BeschDG-Entwurf und KI

Das geplante Beschaeftigtendatengesetz regelt den KI-Einsatz im Arbeitsverhaeltnis:
- **Profiling** nur in gesetzlich geregelten Faellen
- **Menschliche Aufsicht** erforderlich
- Bezugnahme auf den EU AI Act

## EU Digital Omnibus (geplant 2026)

Soll Regeln fuer KI-Trainingsdaten erweitern, insbesondere fuer oeffentlich zugaengliche Quellen. Ein **Opt-out-Recht** fuer Betroffene ist vorgesehen.

## Praxis-Tipp

Bei eigenem KI-Training: DSFA durchfuehren (Art. 35 DSGVO), Trainingsdaten auf Art.-9-Inhalte pruefen, Anonymisierung wo moeglich, und die AI-Act-Risikoklassifizierung dokumentieren.',
 ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 9 DSGVO', 'Art. 35 DSGVO', 'EU AI Act Art. 5', 'EU AI Act Art. 101'],
 ARRAY['ki', 'ai', 'trainingsdaten', 'ai-act', 'profiling'],
 'important',
 ARRAY[
   'https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/',
   'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
   'https://www.ihk-muenchen.de/ratgeber/recht/datenschutz/ki/'
 ])
ON CONFLICT (id) DO NOTHING;

-- "Aufgezwungene" besondere Kategorien
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('aufgezwungene-besondere-kategorien', 'art9-besondere',
 'Aufgezwungene besondere Kategorien — Wenn man Art.-9-Daten nicht vermeiden kann',
 'Der Hamburger Datenschutzbeauftragte hat 2024 das Problem behandelt, wenn Plattformen ueber APIs Art.-9-Daten erhalten, ohne dies kontrollieren zu koennen.',
 '## Das Problem

Plattformbetreibern werden ueber automatisierte Schnittstellen (APIs) Daten uebermittelt, die **besondere Kategorien** enthalten, ohne dass der Empfaenger dies kontrollieren kann. Beispiele:
- Nutzer gibt in einem Freitext-Feld Gesundheitsinformationen ein
- App uebermittelt Daten, die indirekt Religion oder Ethnie offenbaren
- Kontaktformular enthaelt ungefragt sensible Informationen

## Rechtliche Bewertung

Auch **ungewollt erhaltene** Art.-9-Daten unterliegen den strengen Regeln des Art. 9 DSGVO. Der Empfaenger kann sich nicht darauf berufen, die Daten nicht angefordert zu haben.

## Loesungsansaetze

1. **Technische Filterung:** Automatische Erkennung und Sperrung/Pseudonymisierung sensibler Daten in Freitextfeldern
2. **Organisatorische Massnahmen:** Sofortige Loeschung identifizierter Art.-9-Daten, die nicht benoetigt werden
3. **Datenvermeidung:** Freitextfelder minimieren, strukturierte Eingaben bevorzugen
4. **Transparenz:** In Datenschutzerklaerung darauf hinweisen, keine sensiblen Daten einzugeben

## Praxis-Tipp

Pruefen Sie bei allen Eingabeformularen und APIs, ob unstrukturierte Daten (Freitext, Datei-Uploads) Art.-9-Daten enthalten koennten. Implementieren Sie technische und organisatorische Schutzmassnahmen.',
 ARRAY['Art. 9 DSGVO', 'Art. 5 Abs. 1 lit. c DSGVO', 'Art. 32 DSGVO'],
 ARRAY['art9', 'aufgezwungen', 'api', 'freitext', 'plattform'],
 'info',
 ARRAY[
   'https://datenschutzbeauftragter-hamburg.de/2024/03/aufgezwungene-besondere-kategorien-personbezogener-daten/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Indirekte Art.-9-Daten im Alltag
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('indirekte-art9-daten-alltag', 'art9-besondere',
 'Indirekte Art.-9-Daten — Alltagsbeispiele und Abgrenzung',
 'Seit EuGH C-184/20 koennen auch alltaegliche Daten wie Kantinenbestellungen, Parkplatz-Zuweisungen oder Dienstplaneintraege unter Art. 9 fallen.',
 '## Ueberblick

Nach der **weiten Auslegung** des EuGH (C-184/20) genuegt es, wenn Art.-9-Informationen aus normalen Daten durch "gedankliche Kombination oder Ableitung" hervorgehen.

## Praxisbeispiele: Indirekte Art.-9-Daten

| Datum | Art.-9-Kategorie | Begruendung |
|-------|-----------------|-------------|
| Kantinenbestellung "halal"/"koscher" (personenbezogen) | Religion | Islamische/juedische Speisevorschriften offenbaren Glauben |
| Dienstplan mit Jom Kippur / Eid al-Fitr | Religion | Religioese Feiertage offenbaren Konfession |
| Parkplatz fuer Schwerbehinderte (zugeordnet) | Gesundheit | Behinderung = Gesundheitsdatum |
| Mitgliedschaft Herzsportverein | Gesundheit | Rueckschluss auf Herzerkrankung |
| Name gleichgeschlechtlicher Lebenspartner | Sexuelle Orientierung | EuGH C-184/20 direkt |
| Brillenverordnung / Sehhilfe | Gesundheit | Sehschwaeche = Gesundheitszustand |
| Allergiehinweis in Personalakte | Gesundheit | Allergie ist Gesundheitsinformation |
| Online-Bestellung OTC-Arzneimittel | Gesundheit | EuGH C-21/23 "Lindenapotheke" |

## Grenzfaelle (umstritten)

| Datum | Tendenz | Argument |
|-------|---------|----------|
| Raucher/Nichtraucher | Eher ja (nach weiter Auslegung) | Gesundheitsrisiko-Information |
| "Veganes Essen" Kantine | Eher nein (strittig) | Veganismus als Weltanschauung? |
| Brillentraeger auf Bewerbungsfoto | Eher nein | Zu mittelbar |
| Muttersprache/Akzent | Moeglich | Ethnische Herkunft ableitbar |

## Loesungsansatz: Anonymisierung

- Kantine: **Anonyme** Vorbestellung (nur Menge, keine Zuordnung)
- Dienstplan: Feiertage ohne Grund angeben
- Parkplaetze: Keine personenbezogene Zuordnung dokumentieren

## Praxis-Tipp

Vor jeder Datenerhebung die **Ableitung-Frage** stellen: "Koennte jemand aus diesem Datum auf Gesundheit, Religion, Ethnie, politische Meinung, Gewerkschafts-Zugehoerigkeit oder sexuelle Orientierung schliessen?" Wenn ja: Art. 9 beachten.',
 ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
 ARRAY['art9', 'indirekt', 'kantine', 'alltag', 'abgrenzung', 'praxis'],
 'important',
 ARRAY[
   'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
   'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
   'https://www.dr-datenschutz.de/skurrile-gesundheitsdaten/',
   'https://www.dr-datenschutz.de/sensible-daten-nach-der-dsgvo-definition-beispiele/'
 ])
ON CONFLICT (id) DO NOTHING;

-- Kundendaten & CRM
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('kundendaten-crm-tdddg', 'datenkategorien',
 'Kundendaten im CRM — DSGVO-Anforderungen und Speicherfristen',
 'Die DSGVO unterscheidet nicht zwischen B2B und B2C — auch Daten von Unternehmensvertretern sind personenbezogen. Das TDDDG definiert Bestands-, Nutzungs- und Inhaltsdaten.',
 '## TDDDG-Datenkategorien (seit Mai 2024)

| Kategorie | Definition | Beispiel |
|-----------|-----------|---------|
| **Bestandsdaten** (§ 21 TDDDG) | Fuer Vertragsbegruendung/-aenderung erforderlich | Name, Adresse, Vertragsdaten |
| **Nutzungsdaten** (§ 24 TDDDG) | Fuer Nutzungsermittlung/-abrechnung | Login-Zeiten, genutzte Dienste |
| **Inhaltsdaten** | Die uebermittelten Inhalte selbst | E-Mail-Text, Chat-Nachrichten |

## B2B-Kontaktdaten

Die DSGVO unterscheidet **nicht** zwischen B2B und B2C. Auch Daten von Unternehmensvertretern (Name, E-Mail, Telefon) sind **personenbezogen**.

- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — typisch fuer geschaeftliche Kontaktdaten
- **Informationspflicht:** Art. 13 DSGVO gilt vollumfaenglich, auch bei B2B
- **Widerspruchsrecht:** Muss stets respektiert werden

## Kaufhistorie & Zahlungsdaten

- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b (Vertragserfuellung)
- **Speicherfrist:** Rechnungsdaten 8 Jahre (§ 147 AO); Bestelldaten ohne Kundenkonto nach ca. 6 Monaten loeschen
- **Grundsatz der Datenminimierung:** Nur so viele Daten wie noetig

## Praxis-Tipp

Fuehren Sie im VVT separate Verarbeitungstaetigkeiten fuer "Kundenmanagement (CRM)" und "Buchhaltung". Dokumentieren Sie pro Datenkategorie die Speicherfrist und Rechtsgrundlage.',
 ARRAY['§ 21 TDDDG', '§ 24 TDDDG', 'Art. 6 Abs. 1 lit. f DSGVO', 'Art. 13 DSGVO', '§ 147 AO'],
 ARRAY['kundendaten', 'crm', 'b2b', 'tdddg', 'kaufhistorie', 'speicherfrist'],
 'info',
 ARRAY[
   'https://dsgvo-gesetz.de/tdddg/21-tdddg/',
   'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
   'https://dsgvo-vorlagen.de/dsgvo-und-der-umgang-mit-kundendaten',
   'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
 ])
ON CONFLICT (id) DO NOTHING;