Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
c3afa628edf404992f3fe20247b0fa1f191ef033
breakpilot-compliance/backend-compliance/migrations/041_compliance_wiki_enrichment.sql
Benjamin Admin 1c59996f32 feat(wiki): Enrich wiki with DACH court decisions and 18 new articles 
- Update all 10 existing articles with real source URLs (EuGH, BAG, DSK, BfDI)
- Add 18 new articles covering:
  - EuGH C-184/20 (wide interpretation Art. 9)
  - EuGH C-667/21 (cumulative legal basis)
  - EuGH C-34/21 (§26 BDSG unconstitutional)
  - EuGH C-634/21 (SCHUFA scoring)
  - EuGH C-582/14 (IP addresses as personal data)
  - Biometric data, indirect Art. 9 data in daily practice
  - Retention periods overview
  - Video surveillance and GPS tracking at workplace
  - Communication data (email/chat, Fernmeldegeheimnis)
  - Financial data, PCI DSS, SEPA
  - Minors (Art. 8 DSGVO)
  - Austria DSG specifics, Switzerland revDSG
  - AI training data and GDPR/AI Act
  - "Forced" special categories
- Add 3 new categories (EuGH-Leiturteile, Aufbewahrungsfristen, DACH-Besonderheiten)
- Add code block rendering to markdown renderer
- Add Clock, Globe, Gavel icons to icon map
- Total: 11 categories, 28 articles, all with verified source URLs

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-09 20:43:23 +01:00

1009 lines
54 KiB
SQL
Raw Blame History

-- Migration 041: Compliance Wiki - Anreicherung mit DACH-Rechtsprechung und Quellen
-- Aktualisiert bestehende Artikel mit echten Quellen-URLs und fuegt neue, umfassende Artikel hinzu.
-- =============================================================================
-- 1. Bestehende Artikel aktualisieren: Quellen-URLs hinzufuegen
-- =============================================================================
-- Gesundheitsdaten-Abgrenzung: Echte EuGH-Urteile und Quellen
UPDATE compliance_wiki_articles SET
content = '## Ueberblick
Der EuGH legt den Begriff "Gesundheitsdaten" nach Art. 9 DSGVO **sehr weit** aus (EuGH C-184/20). Auch Daten, aus denen Gesundheitsinformationen nur **indirekt** abgeleitet werden koennen, fallen darunter.
## Was SIND Gesundheitsdaten?
- Diagnosen, Krankheitsbilder, Befunde
- AU-Bescheinigungen (auch **ohne Diagnose** — schon die Tatsache der Krankheit genuegt)
- Schwerbehindertenausweis / Grad der Behinderung (GdB)
- Medikamenteneinnahme / Online-Bestellung von Arzneimitteln (EuGH C-21/23 "Lindenapotheke")
- Ergebnisse von Eignungsuntersuchungen
- BEM-Daten (Betriebliches Eingliederungsmanagement)
- Allergiehinweise (z.B. in der Betriebskantine)
- Schwangerschaft
- Fitnesstracker-/Wearable-Daten im Gesundheitskontext
## Was sind KEINE Gesundheitsdaten?
- **Name der Krankenkasse** — verraet i.d.R. nichts ueber den Gesundheitszustand (h.M.)
- **Sozialversicherungsnummer (AT)** — oesterreichische DSB + BVwG haben entschieden: SV-Nr. ist kein Gesundheitsdatum, da sie nur aus Laufnummer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018; BVwG W245 2236756-1)
- Beitragssatz der Krankenkasse
## Wichtige EuGH-Entscheidungen
### EuGH C-184/20 — Weite Auslegung (01.08.2022)
Art. 9 ist weit auszulegen. Auch wenn sensible Informationen nur durch "gedankliche Kombination oder Ableitung" aus normalen Daten hervorgehen, greift Art. 9.
### EuGH C-21/23 — Lindenapotheke (04.10.2024)
Online-Bestellungen von **apothekenpflichtigen Arzneimitteln** (auch OTC!) sind Gesundheitsdaten. Die Verknuepfung Person + Medikament + Indikation laesst Rueckschluesse auf den Gesundheitszustand zu.
### EuGH C-667/21 — Kumulative Rechtsgrundlage (21.12.2023)
Fuer Gesundheitsdaten braucht man **zwei** Rechtsgrundlagen: Art. 9 Abs. 2 DSGVO **und** Art. 6 Abs. 1 DSGVO. Art. 9 allein reicht nicht.
## Erwagungsgrund 35 DSGVO
ErwGr. 35 definiert Gesundheitsdaten **sehr weit**: Alle Daten ueber den frueheren, gegenwaertigen und kuenftigen koerperlichen oder geistigen Gesundheitszustand — einschliesslich Anmeldedaten fuer Gesundheitsdienstleistungen, Nummern/Kennzeichen fuer gesundheitliche Zwecke, Untersuchungsergebnisse, Informationen ueber Krankheiten, Behinderungen und Krankheitsrisiken.
## Praxis-Tipp
Pruefen Sie bei jeder Datenkategorie: Kann durch **indirekte Ableitung** auf den Gesundheitszustand geschlossen werden? Seit EuGH C-184/20 genuegt bereits die blosse Moeglichkeit der Ableitung.',
legal_refs = ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO', '§ 26 Abs. 3 BDSG', 'Art. 6 Abs. 1 DSGVO'],
tags = ARRAY['gesundheit', 'art9', 'abgrenzung', 'krankenkasse', 'eugh', 'lindenapotheke'],
source_urls = ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
'https://www.ldi.nrw.de/Fortsetzungserkrankung',
'https://dsgvo-gesetz.de/erwaegungsgruende/nr-35/'
],
version = 2,
updated_at = NOW()
WHERE id = 'gesundheitsdaten-abgrenzung';
-- Beschaeftigtendaten: Aktualisierung mit EuGH C-34/21, BeschDG, Aufbewahrungsfristen
UPDATE compliance_wiki_articles SET
content = '## Ueberblick
Im Arbeitsverhaeltnis fallen viele verschiedene personenbezogene Daten an. **Wichtig:** § 26 BDSG wurde durch EuGH C-34/21 (30.03.2023) als europarechtswidrig eingestuft. Die Zulaessigkeit richtet sich nun direkt nach Art. 6 Abs. 1 DSGVO. Ein Beschaeftigtendatengesetz (BeschDG) ist in Vorbereitung (Referentenentwurf 08.10.2024).
## Datenkategorien mit Rechtsgrundlagen
### Stammdaten
- Name, Adresse, Geburtsdatum, Familienstand
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)
- **Aufbewahrung:** 3 Jahre nach Austritt (§ 195 BGB)
### Bankverbindung / Gehaltsdaten
- IBAN, Gehalt, Zulagen, Praemien, Gehaltsabrechnungen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
- **Aufbewahrung:** 8 Jahre (§ 147 AO, seit 01.01.2025 von 10 auf 8 Jahre verkuerzt)
### Sozialversicherungsdaten
- SV-Nummer, Krankenkasse, Renten-/Pflegeversicherung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, § 28f SGB IV)
- **Aufbewahrung:** 5 Jahre (Beitragsnachweise), bis 30 Jahre (Versorgungsanwartschaften)
### Steuerdaten
- Steuer-ID, Steuerklasse, Lohnsteuerbescheinigungen
- **Achtung:** Kirchensteuermerkmal = Art.-9-Datum (religioese Ueberzeugung)!
- **Aufbewahrung:** 6 Jahre (§ 41 EStG)
### Leistungsdaten
- Beurteilungen, Zielvereinbarungen, Abmahnungen, Fortbildungsnachweise
- **Abmahnungen:** Loeschung nach ca. 2-3 Jahren ohne erneuten Vorfall (BAG-Rspr.)
### Bewerbungsdaten
- Lebenslauf, Zeugnisse, Anschreiben, Gehaltsvorstellungen
- **Loeschfrist bei Absage: max. 6 Monate** (2 Mon. AGG-Geltendmachung + 3 Mon. Klage + Puffer)
### Gesundheitsdaten (Art. 9!)
- AU-Bescheinigungen, BEM-Daten, Schwerbehinderung
- BEM-Akte **getrennt** von Personalakte fuehren
- AG darf keine Diagnose verlangen (LDI NRW)
## EuGH C-34/21 — § 26 BDSG europarechtswidrig
Der EuGH entschied am 30.03.2023, dass § 26 Abs. 1 S. 1 BDSG keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt, da er lediglich die DSGVO-Vorgaben wiederholt. **Konsequenz:** Direkte Anwendung von Art. 6 Abs. 1 DSGVO. Die bisherige Auslegung ist aber weitgehend uebertragbar.
## BeschDG — Referentenentwurf (08.10.2024)
Das geplante Beschaeftigtendatengesetz soll § 26 BDSG ersetzen (4 Kapitel, 30 Paragrafen). Kernpunkte:
- Konkretere Zulaessigkeitsregeln statt Generalklausel
- Fragerecht des AG in der Bewerbungsphase klar definiert
- Videoueberwachung nur zweckgebunden, max. 72h Speicherung
- KI-Einsatz unter Bezug auf den EU AI Act geregelt
- Verwertungsverbote bei rechtswidriger Datenerhebung
- **Inkrafttreten:** fruehestens 2026, 12 Monate Uebergangsfrist
## Praxis-Tipp
Erfassen Sie Beschaeftigtendaten im VVT nach Kategorien getrennt (Stamm-, Vertrags-, Steuerdaten etc.) und ordnen Sie pro Kategorie die korrekte Aufbewahrungsfrist zu.',
legal_refs = ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 88 DSGVO', '§ 26 BDSG', '§ 147 AO', '§ 28f SGB IV', '§ 41 EStG', '§ 195 BGB'],
tags = ARRAY['beschaeftigte', 'personal', 'stammdaten', 'lohnabrechnung', 'eugh', 'beschdg', 'aufbewahrungsfristen'],
source_urls = ARRAY[
'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
'https://www.cmshs-bloggt.de/arbeitsrecht/referentenentwurf-des-beschaeftigtendatengesetzes-was-arbeitgeber-wissen-muessen/',
'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
'https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf'
],
version = 2,
updated_at = NOW()
WHERE id = 'beschaeftigtendaten-umfang';
-- Arbeitszeiterfassung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.bundesarbeitsgericht.de/entscheidung/1-abr-22-21/',
'https://curia.europa.eu/juris/document/document.jsf?docid=214043&doclang=DE',
'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/'
],
version = 2,
updated_at = NOW()
WHERE id = 'arbeitszeiterfassung-pflicht';
-- HinSchG: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.gesetze-im-internet.de/hinschg/',
'https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Hinweisgeberschutz.html'
],
version = 2,
updated_at = NOW()
WHERE id = 'hinschg-grundlagen';
-- AVV Website: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.datenschutzkonferenz-online.de/media/oh/20191016_oh_auftragsverarbeitung.pdf',
'https://dsgvo-gesetz.de/art-28-dsgvo/'
],
version = 2,
updated_at = NOW()
WHERE id = 'avv-website-betrieb';
-- AVV Lohnbuchhaltung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.paychex.de/wissenswertes/lohnabrechnung-updates/datenschutz-pflichten-lohnabrechnung',
'https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/datenschutz-bei-der-gehaltsabrechnung/'
],
version = 2,
updated_at = NOW()
WHERE id = 'avv-lohnbuchhaltung';
-- Kontaktdaten: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
'https://comp-lex.de/dsgvo-im-b2b-bereich/'
],
version = 2,
updated_at = NOW()
WHERE id = 'kontaktdaten-ansprechpartner';
-- Gemeinsame Verantwortlichkeit: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=202543&doclang=DE',
'https://curia.europa.eu/juris/document/document.jsf?docid=216555&doclang=DE',
'https://dsgvo-gesetz.de/art-26-dsgvo/'
],
version = 2,
updated_at = NOW()
WHERE id = 'gemeinsame-verantwortlichkeit';
-- Qualifikationsdaten: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html'
],
version = 2,
updated_at = NOW()
WHERE id = 'qualifikationsdaten';
-- Religion Bewerbung: Quellen ergaenzen
UPDATE compliance_wiki_articles SET
source_urls = ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=201148&doclang=DE'
],
version = 2,
updated_at = NOW()
WHERE id = 'religion-bewerbung';
-- =============================================================================
-- 2. Neue Kategorien
-- =============================================================================
INSERT INTO compliance_wiki_categories (id, name, description, icon, sort_order) VALUES
('aufbewahrungsfristen', 'Aufbewahrungsfristen', 'Gesetzliche Aufbewahrungsfristen und Loeschpflichten nach DSGVO', 'Clock', 45),
('eugh-leiturteile', 'EuGH-Leiturteile', 'Wegweisende Entscheidungen des Europaeischen Gerichtshofs zum Datenschutz', 'Gavel', 25),
('dach-besonderheiten', 'DACH-Besonderheiten', 'Besonderheiten im Datenschutzrecht fuer Deutschland, Oesterreich und die Schweiz', 'Globe', 85)
ON CONFLICT (id) DO NOTHING;
-- =============================================================================
-- 3. Neue Artikel: EuGH-Leiturteile
-- =============================================================================
-- EuGH C-184/20: Weite Auslegung Art. 9
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c184-20-weite-auslegung', 'eugh-leiturteile',
'EuGH C-184/20 — Weite Auslegung von Art. 9 DSGVO',
'Der EuGH hat 2022 entschieden, dass Art. 9 DSGVO weit auszulegen ist: Auch indirekte Rueckschluesse auf sensible Daten loesen den besonderen Schutz aus.',
'## Sachverhalt
Ein litauischer Beamter musste eine Interessenerklaerung abgeben, in der der Name seines Lebenspartners offengelegt wurde. Die Veroffentlichung auf der Website der Ethikkommission offenbarte indirekt seine **sexuelle Orientierung**.
## Kernaussagen des EuGH (01.08.2022)
1. Art. 9 Abs. 1 DSGVO ist **weit auszulegen**: Es genuegt, dass besondere Kategorien **indirekt** aus den verarbeiteten Daten abgeleitet werden koennen ("gedankliche Kombination oder Ableitung").
2. Die Formulierung "aus denen ... hervorgeht" erfordert **keinen direkten Zusammenhang** zwischen Daten und sensiblen Informationen.
3. Eine **enge Auslegung** wuerde dem Schutzzweck von Art. 9 zuwiderlaufen.
## Bedeutung fuer die Praxis
Dieses Urteil hat die Landschaft grundlegend veraendert:
- **Fotos** koennen ethnische Herkunft offenbaren
- **Kantinenbestellungen** (halal/koscher) koennen Religion offenbaren
- **Behindertenparkplaetze** koennen Gesundheitszustand offenbaren
- **Lebenspartner-Angaben** koennen sexuelle Orientierung offenbaren
## Konsequenz
Vor jeder Datenverarbeitung pruefen: Koennen aus den erhobenen Daten — auch durch Kombination oder Ableitung — Rueckschluesse auf Art.-9-Kategorien gezogen werden?',
ARRAY['Art. 9 Abs. 1 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
ARRAY['eugh', 'art9', 'weite-auslegung', 'indirekt', 'leiturteil'],
'critical',
ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
'https://gdprhub.eu/index.php?title=CJEU_-_C-184/20_-_Vyriausioji_tarnybin%C4%97s_etikos_komisija',
'https://www.delegedata.de/2022/08/sensible-daten-ueberall-versuch-einer-irgendwie-handhabbaren-interpretation-des-eugh-urteils/',
'https://www.datenschutz-notizen.de/eugh-zur-auslegung-des-anwendungsbereichs-des-art-9-dsgvo-5737570/'
])
ON CONFLICT (id) DO NOTHING;
-- EuGH C-667/21: Kumulative Rechtsgrundlage
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c667-21-kumulative-rechtsgrundlage', 'eugh-leiturteile',
'EuGH C-667/21 — Kumulative Rechtsgrundlage bei Art. 9',
'Seit diesem Urteil steht fest: Fuer die Verarbeitung besonderer Kategorien braucht man ZWEI Rechtsgrundlagen — Art. 9 Abs. 2 UND Art. 6 Abs. 1 DSGVO.',
'## Sachverhalt
Ein Mitarbeiter des Medizinischen Dienstes Nordrhein verklagte seinen Arbeitgeber, weil dieser seine Gesundheitsdaten intern verarbeitet hatte. Das BAG legte die Frage dem EuGH vor.
## Kernaussage (21.12.2023)
Fuer die Verarbeitung von Gesundheitsdaten (und allen Art.-9-Daten) reicht ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO **allein nicht aus**. Zusaetzlich muss **kumulativ** eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegen.
Art. 9 Abs. 2 ist **keine eigenstaendige Rechtsgrundlage**, sondern hebt nur das Verarbeitungsverbot des Art. 9 Abs. 1 auf.
## Pruefungsschema (seit C-667/21)
```
1. Liegt ein Art.-9-Datum vor? → Verarbeitungsverbot
2. Greift Ausnahme nach Art. 9 Abs. 2 lit. a-j? → Verbot aufgehoben
3. Liegt ZUSAETZLICH Rechtsgrundlage nach Art. 6 Abs. 1 vor? → Verarbeitung zulaessig
```
## Praktische Auswirkung
Jedes VVT und jede DSFA muss bei Art.-9-Daten **beide** Rechtsgrundlagen dokumentieren. Beispiel:
- Art. 9 Abs. 2 lit. b (Arbeitsrecht) + Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)
- Art. 9 Abs. 2 lit. a (Einwilligung) + Art. 6 Abs. 1 lit. a (Einwilligung)',
ARRAY['Art. 9 Abs. 2 DSGVO', 'Art. 6 Abs. 1 DSGVO'],
ARRAY['eugh', 'art9', 'art6', 'rechtsgrundlage', 'kumulativ', 'leiturteil'],
'critical',
ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE',
'https://www.dr-datenschutz.de/eugh-verarbeitung-von-gesundheitsdaten/',
'https://www.seitzpartner.de/blog/eugh-rechtsgrundlage-nach-art-6-abs-1-dsgvo-auch-bei-vorliegen-eines-ausnahmetatbestandes-nach-art-9-abs-2-dsgvo-erforderlich/'
])
ON CONFLICT (id) DO NOTHING;
-- EuGH C-34/21: § 26 BDSG europarechtswidrig
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c34-21-par26-bdsg', 'eugh-leiturteile',
'EuGH C-34/21 — § 26 BDSG ist europarechtswidrig',
'Der EuGH hat 2023 entschieden, dass § 26 BDSG keine spezifischere Vorschrift i.S.v. Art. 88 DSGVO darstellt. Die Verarbeitung von Beschaeftigtendaten richtet sich nun direkt nach der DSGVO.',
'## Kernaussage (30.03.2023)
§ 26 Abs. 1 S. 1 BDSG ist europarechtswidrig, da er lediglich die DSGVO-Vorgaben **wiederholt** und keine "spezifischere Vorschrift" i.S.v. Art. 88 DSGVO darstellt. Nationale Vorschriften muessen ueber die DSGVO **hinausgehen** und die Anforderungen von Art. 88 Abs. 2 DSGVO erfuellen.
## Praktische Folge
Die Zulaessigkeit der Datenverarbeitung im Beschaeftigungskontext richtet sich nun unmittelbar nach:
- **Art. 6 Abs. 1 lit. b DSGVO** (Vertragserfuellung)
- **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtung)
- **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse)
Die bisherige Auslegung des § 26 BDSG ist aber **weitgehend uebertragbar**.
## DSK-Reaktion
Die DSK forderte am 11.05.2023 den Gesetzgeber dringend auf, ein eigenstaendiges Beschaeftigtendatengesetz zu schaffen. Ergebnis: Referentenentwurf BeschDG vom 08.10.2024.
## Praxis-Tipp
Im VVT bei Beschaeftigtendaten die Rechtsgrundlage auf Art. 6 Abs. 1 DSGVO umstellen — § 26 BDSG kann als ergaenzende nationale Regelung noch zitiert werden, ist aber nicht mehr tragende Rechtsgrundlage.',
ARRAY['Art. 88 DSGVO', '§ 26 BDSG', 'Art. 6 Abs. 1 DSGVO'],
ARRAY['eugh', 'par26', 'bdsg', 'beschaeftigte', 'europarechtswidrig', 'leiturteil'],
'critical',
ARRAY[
'https://legal.pwc.de/de/news/fachbeitraege/eugh-urteil-zum-beschaeftigtendatenschutz-europarechtswidrigkeit-paragraf-26-abs-1-s-1-bdsg',
'https://www.baden-wuerttemberg.datenschutz.de/faq-rechtsgrundlagen-bei-beschaeftigtendaten/',
'https://www.datenschutzkonferenz-online.de/entschliessungen.html'
])
ON CONFLICT (id) DO NOTHING;
-- EuGH C-634/21: SCHUFA-Scoring
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c634-21-schufa-scoring', 'eugh-leiturteile',
'EuGH C-634/21 — SCHUFA-Scoring und automatisierte Entscheidungen',
'Der EuGH hat 2023 das SCHUFA-Scoring als moeglicherweise unzulaessige automatisierte Entscheidung nach Art. 22 DSGVO eingestuft und die Speicherfristen fuer Restschuldbefreiungen beschraenkt.',
'## SCHUFA-Scoring (C-634/21, 07.12.2023)
Das SCHUFA-Scoring kann eine nach Art. 22 Abs. 1 DSGVO unzulaessige **automatisierte Entscheidung** darstellen, wenn der Score-Wert **massgeblich** fuer die Kreditvergabe ist. Die SCHUFA muss nach Art. 15 Abs. 1 lit. h DSGVO **aussagekraeftige Informationen ueber die involvierte Logik** offenlegen.
## Restschuldbefreiung (C-26/22 und C-64/22, 07.12.2023)
Die Speicherung von Restschuldbefreiungsdaten durch die SCHUFA ueber die **6-Monats-Frist** des Insolvenzregisters hinaus ist unzulaessig. Die Rechte der Betroffenen ueberwiegen.
**Folge:** SCHUFA verkuerzte freiwillig die Speicherfrist auf 6 Monate (seit Maerz 2023).
## Bedeutung fuer Unternehmen
- Kreditentscheidungen duerfen **nicht allein** vom SCHUFA-Score abhaengen
- Bei automatisierten Entscheidungen: Art. 22 DSGVO pruefen
- Betroffene haben Recht auf **Erklaerung der Scoring-Logik**
- Aufbewahrungsfristen fuer Bonitaetsdaten beachten',
ARRAY['Art. 22 DSGVO', 'Art. 15 Abs. 1 lit. h DSGVO', 'Art. 17 DSGVO'],
ARRAY['eugh', 'schufa', 'scoring', 'automatisiert', 'bonitaet', 'leiturteil'],
'important',
ARRAY[
'https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/wichtige-urteile-eugh-weist-schufa-scoring-massiv-in-die-schranken-70963/',
'https://www.noerr.com/de/insights/eugh-urteil-zum-schufa-score---was-unternehmen-jetzt-beachten-muessen',
'https://www.gleisslutz.com/de/know-how/eugh-begrenzt-verarbeitung-von-verbraucherdaten-durch-die-schufa'
])
ON CONFLICT (id) DO NOTHING;
-- EuGH C-582/14: IP-Adressen als personenbezogene Daten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('eugh-c582-14-ip-adressen', 'eugh-leiturteile',
'EuGH C-582/14 "Breyer" — IP-Adressen sind personenbezogene Daten',
'Der EuGH hat 2016 klargestellt, dass auch dynamische IP-Adressen personenbezogene Daten sind, wenn der Betreiber die Person theoretisch identifizieren koennte.',
'## Kernaussage (19.10.2016)
**Dynamische IP-Adressen** sind personenbezogene Daten, auch wenn der Website-Betreiber die Person nur mit Hilfe Dritter (z.B. Access-Provider) identifizieren **koennte**. Eine IP-Adresse ist nur dann kein personenbezogenes Datum, wenn die Identifizierung **praktisch unmoeglich** ist.
## Bedeutung fuer die Praxis
- **Server-Logs** mit IP-Adressen sind personenbezogene Daten
- **Hosting-Anbieter** brauchen einen AVV (Zugriff auf IP-Adressen)
- **CDN-Anbieter** (Cloudflare etc.) verarbeiten IP-Adressen
- **Analytics-Tools** ohne IP-Anonymisierung erfassen personenbezogene Daten
- Auch **temporaer** gespeicherte IP-Adressen fallen unter die DSGVO
## Konsequenz fuer VVT
Jede Verarbeitungstaetigkeit mit Internet-Bezug (Website, App, API) sollte "IP-Adressen" als Datenkategorie auffuehren und eine Rechtsgrundlage dokumentieren (meist Art. 6 Abs. 1 lit. f — berechtigtes Interesse an IT-Sicherheit).',
ARRAY['Art. 4 Nr. 1 DSGVO', 'Art. 6 Abs. 1 lit. f DSGVO'],
ARRAY['eugh', 'ip-adresse', 'personenbezogen', 'breyer', 'leiturteil'],
'important',
ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE',
'https://www.lto.de/recht/hintergruende/h/eugh-c-582-14-ip-adressen-personenbezogene-daten-verarbeitung-speicherung',
'https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/11_BGH_Breyer.html'
])
ON CONFLICT (id) DO NOTHING;
-- =============================================================================
-- 4. Neue Artikel: Art. 9 besondere Kategorien
-- =============================================================================
-- Biometrische Daten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('biometrische-daten-art9', 'art9-besondere',
'Biometrische Daten — Wann greift Art. 9?',
'Biometrische Daten fallen nur dann unter Art. 9 DSGVO, wenn sie zur eindeutigen Identifizierung verarbeitet werden. Ein einfaches Passfoto ist kein biometrisches Datum.',
'## Definition (Art. 4 Nr. 14 DSGVO)
Biometrische Daten sind mit **speziellen technischen Verfahren** gewonnene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen, die die **eindeutige Identifizierung** ermoeglichen: Fingerabdruecke, Gesichtsgeometrie, Iris-Scans, Stimmmuster, Ganganalyse.
## Entscheidende Einschraenkung
Art. 9 greift nur, wenn biometrische Daten **zur eindeutigen Identifizierung** verarbeitet werden (ErwGr. 51):
| Datum | Art. 9? | Grund |
|-------|---------|-------|
| Fingerabdruck zur Zutrittskontrolle | **Ja** | Zweck = Identifizierung |
| Gesichtserkennung (Face-ID) | **Ja** | Zweck = Authentifizierung |
| Einfaches Passfoto | **Nein** | Kein spezielles tech. Verfahren |
| Foto + Gesichtserkennungssoftware | **Ja** | Spezielles tech. Verfahren |
| Stimmaufnahme fuer Sprachassistent | Kommt drauf an | Nur wenn zur Identifizierung |
## EU AI Act (seit 02.02.2025)
- **Echtzeit-biometrische Fernidentifizierung** an oeffentlichen Orten ist **verboten**
- Ausnahmen: Suche nach Entfuehrungsopfern, Terrorabwehr, schwere Straftaten
- Ungezieltes Auslesen von Bildern fuer Gesichtserkennungs-DB ist **verboten**
## DSK-Positionspapier (05.04.2019)
Die DSK hat ein Positionspapier zu biometrischen Verfahren veroeffentlicht mit Empfehlungen fuer den Einsatz.
## Praxis-Tipp
Bei Zutrittskontrollsystemen mit Fingerabdruck/Gesichtserkennung: Immer eine **Alternative** anbieten (z.B. Chipkarte). Ausdrueckliche Einwilligung nach Art. 9 Abs. 2 lit. a oder Rechtsgrundlage nach § 22 BDSG pruefen.',
ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 14 DSGVO', 'ErwGr. 51 DSGVO', '§ 22 BDSG', 'EU AI Act'],
ARRAY['biometrie', 'art9', 'fingerabdruck', 'gesichtserkennung', 'ai-act'],
'important',
ARRAY[
'https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf',
'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
'https://dsgvo-gesetz.de/art-9-dsgvo/'
])
ON CONFLICT (id) DO NOTHING;
-- Art. 9 Pruefungsschema
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('art9-pruefungsschema', 'art9-besondere',
'Art. 9 DSGVO — Pruefungsschema und alle 8 Kategorien',
'Uebersicht ueber alle 8 besonderen Kategorien nach Art. 9 DSGVO mit dem aktuellen Pruefungsschema nach EuGH-Rechtsprechung.',
'## Die 8 Kategorien nach Art. 9 Abs. 1
1. **Rassische und ethnische Herkunft** — Nationalitaet, Hautfarbe, Migrationshintergrund; auch Fotos, die ethnische Herkunft offenbaren (nach EuGH C-184/20)
2. **Politische Meinungen** — Parteimitgliedschaft, politische Demonstrationen, Spenden an politische Organisationen
3. **Religioese/weltanschauliche Ueberzeugungen** — Konfession, Kirchensteuer, religioese Feiertage; auch Kantinenbestellung "halal/koscher"
4. **Gewerkschaftszugehoerigkeit** — Einzige Vereinsmitgliedschaft in Art. 9; Gewerkschaftsbeitrag auf Lohnabrechnung
5. **Genetische Daten** — DNA-Analysen, Chromosomenanalysen, Gentests; nicht: normales Blutbild
6. **Biometrische Daten** — Nur wenn zur **eindeutigen Identifizierung** (Fingerabdruck, Face-ID); nicht: einfaches Foto
7. **Gesundheitsdaten** — Sehr weit: Diagnosen, AU, Behinderung, Medikamente, Online-Arzneibestellung, Wearable-Daten
8. **Sexualleben / sexuelle Orientierung** — Auch indirekt (Name des gleichgeschlechtlichen Partners, EuGH C-184/20)
## Pruefungsschema (nach aktueller EuGH-Rspr.)
**Schritt 1:** Liegt ein Art.-9-Datum vor?
→ Weite Auslegung! Auch **indirekte** Ableitungen (C-184/20)
**Schritt 2:** Greift eine Ausnahme nach Art. 9 Abs. 2 lit. a-j?
→ Katalog ist **abschliessend** (numerus clausus)
**Schritt 3:** Liegt **zusaetzlich** eine Rechtsgrundlage nach Art. 6 Abs. 1 vor?
→ Kumulative Anforderung seit EuGH C-667/21
**Schritt 4:** Nationale Sonderregelung? (§ 22 BDSG / § 39 DSG-AT)
→ Zusaetzliche Schutzmassnahmen (Pseudonymisierung, Verschluesselung, Zugangskontrollen)
**Schritt 5:** DSFA erforderlich? (Art. 35 DSGVO)
→ Bei umfangreicher Verarbeitung besonderer Kategorien in der Regel **ja**
## 10 Ausnahmetatbestaende (Art. 9 Abs. 2)
| Lit. | Ausnahme | Praxis-Beispiel |
|------|----------|-----------------|
| a | Ausdrueckliche Einwilligung | Freiwillige Angabe der Religion in Mitarbeiterbefragung |
| b | Arbeits-/Sozialrecht | Kirchensteuer-Abfuehrung, SV-Meldungen |
| c | Lebenswichtige Interessen | Notfall: Allergieinfo an Rettungsdienst |
| d | Stiftungen/Vereinigungen | Gewerkschaft verarbeitet Mitgliederdaten |
| e | Offensichtlich oeffentlich | Person teilt Krankheit auf Social Media (eng! C-446/21) |
| f | Rechtsansprueche | Arbeitsgerichtsprozess mit Gesundheitsdaten |
| g | Erhebliches oeff. Interesse | Pandemiebekaempfung |
| h | Gesundheitsversorgung | Arzt verarbeitet Patientendaten |
| i | Oeffentliche Gesundheit | Infektionsschutz-Meldepflichten |
| j | Archiv/Forschung/Statistik | Medizinische Forschung mit Ethikvotum |
## Praxis-Tipp
Dokumentieren Sie im VVT bei **jedem** Art.-9-Datum beide Rechtsgrundlagen (Art. 9 Abs. 2 + Art. 6 Abs. 1) und die konkreten Schutzmassnahmen nach § 22 Abs. 2 BDSG.',
ARRAY['Art. 9 DSGVO', 'Art. 6 Abs. 1 DSGVO', '§ 22 BDSG', 'Art. 35 DSGVO'],
ARRAY['art9', 'besondere-kategorien', 'pruefungsschema', 'uebersicht'],
'critical',
ARRAY[
'https://www.lda.bayern.de/media/dsk_kpnr_17_besondere_kategorien.pdf',
'https://dsgvo-gesetz.de/art-9-dsgvo/',
'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
'https://curia.europa.eu/juris/document/document.jsf?docid=280768&doclang=DE'
])
ON CONFLICT (id) DO NOTHING;
-- =============================================================================
-- 5. Neue Artikel: Datenkategorien (vertieft)
-- =============================================================================
-- Aufbewahrungsfristen Uebersicht
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('aufbewahrungsfristen-uebersicht', 'aufbewahrungsfristen',
'Aufbewahrungsfristen — Vollstaendige Uebersicht',
'Welche Daten muessen wie lange aufbewahrt werden? Uebersicht aller relevanten gesetzlichen Fristen fuer Personalakten, Buchhaltung und weitere Bereiche.',
'## Personalakten & Beschaeftigtendaten
| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| Allgemeine Personalakte | 3 Jahre nach Austritt | § 195 BGB |
| Lohn-/Gehaltsabrechnungen | **8 Jahre** | § 147 AO (seit 01.01.2025, vorher 10 Jahre) |
| Lohnsteuerunterlagen | 6 Jahre | § 41 EStG |
| SV-Beitragsnachweise | 5 Jahre | § 28f SGB IV |
| SV-Meldungen (DEUEV) | 5 Jahre | § 28f SGB IV |
| Arbeitszeitdokumentation | 2 Jahre | § 16 Abs. 2 ArbZG |
| Bewerbungsunterlagen (Absage) | max. 6 Monate | AGG §§ 15, 21 |
| Betriebliche Altersvorsorge | **30 Jahre** | § 18a BetrAVG, § 199 Abs. 3 BGB |
| Unfallversicherungsunterlagen | 5 Jahre | § 28f SGB IV |
| Zeugnisse/Arbeitsbescheinigungen | 3 Jahre nach Austritt | § 195 BGB |
| Abmahnungen | 2-3 Jahre | BAG-Rspr. (keine gesetzl. Frist) |
| Mutterschutz-/Elternzeit | 2 Jahre nach Ende | § 27 MuSchG |
## Buchhaltung & Finanzen
| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| Rechnungen (ein-/ausgehend) | **8 Jahre** | § 147 AO (seit 2025) |
| Buchungsbelege | **8 Jahre** | § 147 AO |
| Jahresabschluesse | **8 Jahre** | § 147 AO |
| Handelskorrespondenz | 6 Jahre | § 257 HGB |
| Vertraege | 3 Jahre nach Beendigung | § 195 BGB + Aufbewahrung |
## Weitere Bereiche
| Datenkategorie | Frist | Rechtsgrundlage |
|---------------|-------|----------------|
| HinSchG-Meldungen | 3 Jahre nach Abschluss | § 11 Abs. 5 HinSchG |
| SEPA-Lastschriftmandate | 10 Jahre + 2 Jahre Pruefung | § 147 AO |
| Datenschutz-Einwilligungen | Dauer der Einwilligung + 3 Jahre | Nachweispflicht |
| VVT-Dokumentation | Dauerhaft (solange Verarbeitung laeuft) | Art. 30 DSGVO |
## Wichtige Neuerung
**Ab 01.01.2027:** Sozialversicherungsrelevante Entgeltunterlagen muessen **ausschliesslich digital** vorgehalten werden (Digitalisierungspflicht).
## Praxis-Tipp
Implementieren Sie ein **automatisches Loeschkonzept** mit konkreten Loeschfristen pro Datenkategorie. Nach Ablauf der Aufbewahrungsfrist besteht eine **Loeschpflicht** nach Art. 17 DSGVO — die Daten duerfen dann nicht mehr aufbewahrt werden.',
ARRAY['§ 147 AO', '§ 257 HGB', '§ 195 BGB', '§ 28f SGB IV', '§ 41 EStG', '§ 16 Abs. 2 ArbZG', 'Art. 17 DSGVO'],
ARRAY['aufbewahrung', 'loeschfristen', 'personalakte', 'buchhaltung', 'loeschkonzept'],
'critical',
ARRAY[
'https://www.haufe.de/personal/arbeitsrecht/digitale-personalakte-was-ist-rechtlich-zu-beachten/aufbewahrungsfristen-personalakten-und-loeschung_76_533160.html',
'https://www.lexware.de/wissen/mitarbeiter-gehalt/aufbewahrungsfristen-personalakte/',
'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
])
ON CONFLICT (id) DO NOTHING;
-- Videoueberwachung am Arbeitsplatz
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('videoueberwachung-arbeitsplatz', 'arbeitsrecht',
'Videoueberwachung am Arbeitsplatz — Rechtsrahmen und Grenzen',
'BAG-Rechtsprechung zur Verwertbarkeit von Videoaufzeichnungen im Kuendigungsschutzprozess und datenschutzrechtliche Grenzen der Ueberwachung.',
'## BAG 2 AZR 296/22 — Offene Videoueberwachung (29.06.2023)
**Sachverhalt:** Teamleiter wurde fristlos gekuendigt wegen Arbeitszeitbetrugs. Beweis: Aufzeichnung einer offenen Kamera, die laenger als die beschilderten 96 Stunden gespeichert wurde.
**Kernaussage:** **Kein generelles Verwertungsverbot** fuer Aufzeichnungen offener Videoueberwachung im Kuendigungsschutzprozess — selbst wenn die Ueberwachung nicht vollstaendig DSGVO-konform war. Bei vorsaetzlichem Vertragsbruch ueberwiegt das Aufklaerungsinteresse des Arbeitgebers. Verwertungsverbot nur bei **schwerwiegenden Grundrechtsverletzungen**.
## GPS-Tracking
- **Anlasslose GPS-Ueberwachung** ist stets rechtswidrig
- GPS-Tracking nur bei **konkretem Verdacht** auf schwere Pflichtverletzung und unter Verhaeltnismaessigkeit
- **DSFA** nach Art. 35 DSGVO zwingend erforderlich
- Speicherempfehlung: max. 7-30 Tage
- Heimliches Tracking: grundsaetzlich unzulaessig
## E-Mail-Ueberwachung (LAG Baden-Wuerttemberg, 12 Sa 56/21)
Verdeckte Einsichtnahme in moeglicherweise private E-Mails ist rechtswidrig, wenn keine Regelung zur Privatnutzung existiert. Schadensersatzanspruch des Arbeitnehmers wurde bejaht.
## BeschDG-Entwurf zur Videoueberwachung
Das geplante Beschaeftigtendatengesetz sieht vor:
- Videoueberwachung nur **zweckgebunden** und **erkennbar**
- Max. **72 Stunden** Speicherung
- Verdeckte Ueberwachung nur bei konkretem Straftatenverdacht
## Praxis-Tipp
Fuehren Sie ein **Videoueberwachungskonzept** mit Angabe der Zwecke, Speicherdauer und Zugriffsberechtigungen. Schilder mit Datenschutzhinweis (Art. 13 DSGVO) sind Pflicht. Betriebsrat hat Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).',
ARRAY['Art. 6 Abs. 1 lit. f DSGVO', 'Art. 35 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG', 'Art. 13 DSGVO'],
ARRAY['videoueberwachung', 'gps', 'ueberwachung', 'bag', 'arbeitsplatz'],
'important',
ARRAY[
'https://www.haufe.de/personal/arbeitsrecht/bag-zu-offener-videoueberwachung-und-verwertungsverbot_76_599850.html',
'https://www.dr-datenschutz.de/gps-ueberwachung-am-arbeitsplatz-und-der-datenschutz/',
'https://www.activemind.legal/de/guides/gps-ueberwachung-beschaeftigte/',
'https://www.compliance-insider.com/2023/09/18/lag-baden-wuerttemberg-privatnutzung-dienstlicher-kommunikationsgeraete-wann-droht-ein-verwertungsverbot/'
])
ON CONFLICT (id) DO NOTHING;
-- Kommunikationsdaten am Arbeitsplatz
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('kommunikationsdaten-arbeitsplatz', 'arbeitsrecht',
'E-Mail, Chat & Telefon — Fernmeldegeheimnis und DSGVO',
'Die Rechtslage bei dienstlicher und privater Kommunikation am Arbeitsplatz hat sich 2024 grundlegend geaendert: Das Fernmeldegeheimnis gilt fuer Arbeitgeber nicht mehr.',
'## Neue Rechtslage seit 2024
Mehrere Aufsichtsbehoerden (u.a. **LDI NRW, Juli 2024**) gehen davon aus, dass Arbeitgeber, die private E-Mail-/Internetnutzung erlauben oder dulden, seit dem TDDDG **nicht mehr** dem Fernmeldegeheimnis unterliegen. Stattdessen greift **vollumfaenglich die DSGVO**.
**Konsequenz:** Der Arbeitgeber ist nicht mehr als TK-Anbieter einzustufen. Er braucht fuer den Zugriff auf E-Mails eine DSGVO-Rechtsgrundlage (Art. 6), nicht mehr § 3 TDDDG.
## Fernmeldegeheimnis — Gesetzesgeschichte
- § 88 TKG → § 3 TTDSG (01.12.2021) → **§ 3 TDDDG** (Mai 2024)
- Inhaltlich unveraendert, aber die **Anwendung auf Arbeitgeber** hat sich gewandelt
## Regelungen zur Privatnutzung
| Regelung | Konsequenz |
|----------|-----------|
| Privatnutzung **verboten** | AG darf stichprobenartig auf dienstliche E-Mails zugreifen (Art. 6 Abs. 1 lit. f) |
| Privatnutzung **erlaubt/geduldet** | Seit 2024: DSGVO statt Fernmeldegeheimnis; trotzdem: Inhaltskontrolle nur mit Rechtsgrundlage |
| Keine Regelung vorhanden | Duldung wird angenommen → DSGVO-Pflichten beachten |
## Videokonferenzen (Teams, Zoom)
- AVV mit Anbieter ist **Pflicht** (Art. 28 DSGVO)
- Aufzeichnung nur mit **freiwilliger Einwilligung** aller Teilnehmer
- EU-US Data Privacy Framework (seit Juli 2023) ermoeglicht Transfer an zertifizierte US-Anbieter
## Praxis-Tipp
Erstellen Sie eine **klare Regelung zur Privatnutzung** dienstlicher Kommunikationsmittel (Dienstanweisung/Betriebsvereinbarung). Das vermeidet Rechtsunsicherheit und schafft Transparenz fuer Beschaeftigte.',
ARRAY['§ 3 TDDDG', 'Art. 6 Abs. 1 DSGVO', 'Art. 28 DSGVO', '§ 87 Abs. 1 Nr. 6 BetrVG'],
ARRAY['e-mail', 'fernmeldegeheimnis', 'tdddg', 'privatnutzung', 'videokonferenz'],
'important',
ARRAY[
'https://www.delegedata.de/2024/07/endlich-keine-anwendbarkeit-des-fernmeldegeheimnisses-fuer-arbeitgeber-bei-erlaubter-geduldeter-privater-nutzung-von-betrieblichen-e-mail-oder-internetdiensten-datenschutzbehoerde-nrw/',
'https://dsgvo-gesetz.de/tdddg/3-tdddg/',
'https://www.dr-datenschutz.de/fernmeldegeheimnis-am-arbeitsplatz-was-aendert-das-ttdsg/',
'https://sidit.de/blog/microsoft-teams-zoom-co-was-muessen-unternehmen-beim-einsatz-von-videokonferenz-tools-im-datenschutz-beachten/'
])
ON CONFLICT (id) DO NOTHING;
-- Finanzdaten & PCI DSS
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('finanzdaten-kreditkarten', 'datenkategorien',
'Finanzdaten, Kreditkarten und SEPA — Datenschutzanforderungen',
'Finanzdaten sind keine Art.-9-Kategorie, aber hochsensibel. PCI DSS ergaenzt die DSGVO bei Kreditkartendaten. SEPA-Mandate haben eigene Speicherfristen.',
'## Rechtliche Einordnung
Finanzdaten (IBAN, Kreditkarten, Gehalt) sind **keine** besondere Kategorie nach Art. 9 DSGVO, aber dennoch **hochsensibel** wegen des hohen Missbrauchspotenzials.
**Achtung:** Lohnabrechnungen enthalten regelmaessig **Art.-9-Daten** (Kirchensteuermerkmal = Religion, Krankmeldungen = Gesundheit, Gewerkschaftsbeitrag).
## Kreditkartendaten & PCI DSS
Der **PCI DSS** (Payment Card Industry Data Security Standard) ergaenzt die DSGVO mit 12 Sicherheitsanforderungen:
- Verschluesselung bei Uebertragung und Speicherung
- Zugangsbeschraenkung nach Need-to-Know-Prinzip
- Regelmaessige Sicherheitstests
- Keine Speicherung von CVV/CVC nach Autorisierung
Kreditkartendaten fallen als personenbezogene Daten auch unter die DSGVO.
## SEPA-Lastschrift
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung im SEPA-Mandat) oder lit. b (Vertragserfuellung)
- Gespeicherte Daten: Name, Adresse, Kreditinstitut, IBAN
- **Speicherdauer:** Mindestens 8 Jahre (§ 147 AO) + bis zu 2 Jahre Pruefungszeitraum = max. **10 Jahre**
## Gehaltsdaten
- Gehalt ist ein personenbezogenes Datum
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b, c DSGVO
- Bei externer Lohnabrechnung: AVV nach Art. 28 DSGVO zwingend
## Praxis-Tipp
Fuehren Sie Finanzdaten im VVT als eigene Datenkategorie. Bei Online-Zahlungen: PCI-DSS-Compliance des Payment-Providers pruefen und im AVV dokumentieren.',
ARRAY['Art. 6 Abs. 1 DSGVO', '§ 147 AO', 'Art. 28 DSGVO', 'Art. 32 DSGVO'],
ARRAY['finanzdaten', 'kreditkarte', 'sepa', 'pci-dss', 'bankverbindung'],
'info',
ARRAY[
'https://www.computerweekly.com/de/ratgeber/Datenschutz-bei-Bankdaten-und-Zahlungsverkehr',
'https://blog.ordix.de/sicherheit-fuer-kreditkartendatenbusiness-need-to-know-pci-dss-in-der-datenverarbeitung',
'https://kanzlei-lachenmann.de/datenschutz-bei-der-sepa-umstellung/'
])
ON CONFLICT (id) DO NOTHING;
-- Minderjaehrigendaten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('minderjaehrigendaten-art8', 'dsgvo-grundlagen',
'Minderjaehrige — Einwilligung ab 16 Jahren (Art. 8 DSGVO)',
'In Deutschland gilt eine starre Altersgrenze von 16 Jahren fuer die eigenstaendige Einwilligung bei Diensten der Informationsgesellschaft. Darunter braucht es die Zustimmung der Eltern.',
'## Art. 8 DSGVO — Einwilligung bei Kindern
- Minderjaehrige koennen ab **16 Jahren** eigenstaendig in die Verarbeitung einwilligen
- Unter 16: **Zustimmung der Erziehungsberechtigten** erforderlich
- Deutschland hat von der Oeffnungsklausel (Absenkung auf 13 Jahre) **keinen Gebrauch gemacht**
## Was ist ein "Dienst der Informationsgesellschaft"?
Elektronisch, im Fernabsatz, auf individuellen Abruf erbrachte Dienstleistung:
- Online-Shops, Apps
- Social Media (Instagram, TikTok)
- Lernplattformen, Schulportale
- Newsletter
## Ausserhalb von Art. 8
Fuer Datenverarbeitungen **ausserhalb** von Diensten der Informationsgesellschaft (z.B. schulinterne Verwaltung) gilt: Abstellung auf die **individuelle Einsichtsfaehigkeit** des Minderjaehrigen — keine starre Altersgrenze.
## ErwGr. 38 — Besonderer Schutz
Kinder verdienen **besonderen Schutz**, da sie sich der Risiken, Folgen und Schutzvorkehrungen weniger bewusst sind. Dies gilt insbesondere fuer Profiling und die Erhebung von Kinderdaten fuer Marketingzwecke.
## Praxis-Tipp
Bei Plattformen mit minderjaehrigen Nutzern: Altersverifikation implementieren, kindgerechte Datenschutzerklaerung bereitstellen, und bei unter 16-Jaehrigen die Einwilligung der Eltern einholen und dokumentieren.',
ARRAY['Art. 8 DSGVO', 'ErwGr. 38 DSGVO', 'Art. 6 Abs. 1 lit. a DSGVO'],
ARRAY['minderjaehrige', 'kinder', 'einwilligung', 'altersgrenze', 'art8'],
'important',
ARRAY[
'https://dsgvo-gesetz.de/art-8-dsgvo/',
'https://www.dr-datenschutz.de/datenschutz-bei-kindern-und-jugendlichen/',
'https://www.proliance.ai/blog/dsgvo-und-kinder-fragen-und-antworten-zum-thema-datenschutz-minderjahrige'
])
ON CONFLICT (id) DO NOTHING;
-- =============================================================================
-- 6. Neue Artikel: DACH-Besonderheiten
-- =============================================================================
-- Oesterreich DSG
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('oesterreich-dsg-besonderheiten', 'dach-besonderheiten',
'Oesterreich — DSG-Besonderheiten im Beschaeftigtendatenschutz',
'Oesterreich hat eigene Regeln zu Kontrollmassnahmen am Arbeitsplatz: Betriebsrat muss zustimmen, Menschenwuerde ist besonders geschuetzt.',
'## Rechtsrahmen
DSGVO + oesterreichisches **DSG** + **§ 96 ArbVG** + **§ 10 AVRAG**
## Kontrollmassnahmen (§ 96 Abs. 1 Z 3 ArbVG)
Kontrollmassnahmen und technische Systeme zur Kontrolle der Arbeitnehmer beduerfern der **Zustimmung des Betriebsrats** (erzwingbare Mitbestimmung). Massnahmen, die die **Menschenwuerde beruehren** (z.B. Videoueberwachung, GPS), erfordern eine Betriebsvereinbarung.
**In betriebsratslosen Betrieben:** Zustimmung des einzelnen Arbeitnehmers erforderlich, jederzeit widerruflich.
**Zustimmungspflichtige Beispiele:**
- Zeiterfassungssysteme
- Videoueberwachung
- Zugangskontrollen
- E-Mail-Ueberwachung
## Sozialversicherungsnummer (SVNR)
Die oesterreichische DSB hat entschieden: Die SVNR ist **kein Gesundheitsdatum**, da sie nur aus Laufnummer + Pruefziffer + Geburtsdatum besteht (DSB-D213.692/0001-DSB/2018, bestaetigt durch BVwG W245 2236756-1).
**Achtung:** Kontextabhaengig! Im Kontext einer Krankenhausbehandlung kann die Verarbeitung der SVNR dennoch als Gesundheitsdatenverarbeitung gelten.
## § 39 DSG — Besondere Kategorien
Oesterreich hat von der Moeglichkeit, die Einwilligung als Rechtsgrundlage fuer Art. 9 auszuschliessen, **keinen Gebrauch gemacht**. "Sensible Daten" = "besondere Kategorien" der DSGVO.',
ARRAY['DSGVO', '§ 96 ArbVG', '§ 10 AVRAG', '§ 39 DSG (AT)'],
ARRAY['oesterreich', 'dsg', 'betriebsrat', 'arbvg', 'svnr', 'dach'],
'important',
ARRAY[
'https://www.bvdnet.de/en/arbeitnehmerdatenschutz-in-oesterreich/',
'https://www.dataprotect.at/2019/05/24/dsb-sozialversicherungsnummer-ist-kein-gesundheitsdatum/',
'https://www.verlagoesterreich.at/bvwg-die-sv-nummer-ist-nach-wie-vor-kein-gesundheitsdatum/99.105005-jmg202304033601'
])
ON CONFLICT (id) DO NOTHING;
-- Schweiz revDSG
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('schweiz-revdsg-besonderheiten', 'dach-besonderheiten',
'Schweiz — revDSG seit 01.09.2023: Unterschiede zur DSGVO',
'Das revidierte Schweizer Datenschutzgesetz (revDSG) hat eigene Kategorien besonders schuetzenswerter Daten und kennt kein generelles Verarbeitungsverbot wie Art. 9 DSGVO.',
'## Besonders schuetzenswerte Personendaten (Art. 5 lit. c revDSG)
1. Religioese, weltanschauliche, politische, gewerkschaftliche Ansichten
2. Gesundheit, Intimsphaere, Rassen-/Ethniezugehoerigkeit
3. **Genetische Daten** (neu seit revDSG)
4. **Biometrische Daten** zur eindeutigen Identifizierung (neu)
5. **Verwaltungs- und strafrechtliche Verfolgungen/Sanktionen** (in DSGVO: Art. 10!)
6. **Massnahmen der sozialen Hilfe** (in DSGVO nicht separat erfasst)
## Wesentliche Unterschiede zur DSGVO
| Aspekt | DSGVO | revDSG |
|--------|-------|--------|
| Verarbeitungsverbot | Ja (Art. 9 Abs. 1) | **Nein** — Rechtfertigungsgrund erforderlich |
| Strafrecht-Daten | Eigener Art. 10 | Teil der besonders schuetzenswerten Daten |
| Soziale Hilfe | Nicht separat | Eigene Kategorie |
| Sexualleben | Eigene Kategorie | Unter "Intimsphaere" |
| Ausdrueckliche Einwilligung | Fuer Art. 9 erforderlich | Art. 6 Abs. 7 lit. a revDSG |
## Beschaeftigtendaten (Art. 328b OR)
Arbeitgeber duerfen nur Daten bearbeiten, die die **Eignung** des Arbeitnehmers betreffen oder fuer die **Durchfuehrung des Arbeitsvertrags** erforderlich sind.
## Ueberwachung (Art. 26 ArGV 3)
Ueberwachungssysteme, die das **Verhalten** der Arbeitnehmer ueberwachen sollen, sind **verboten**. Sachbezogene Ueberwachung (z.B. Sicherheit) ist zulaessig.
## BGer 4A_518/2020
Art. 328b OR ist kein absolutes Verbot, sondern ein **Bearbeitungsgrundsatz** (Verhaeltnismaessigkeitsprinzip).',
ARRAY['Art. 5 lit. c revDSG', 'Art. 328b OR', 'Art. 26 ArGV 3', 'Art. 6 Abs. 7 revDSG'],
ARRAY['schweiz', 'revdsg', 'dsg', 'besonders-schuetzenswert', 'dach'],
'important',
ARRAY[
'https://www.edoeb.admin.ch/de/datenbearbeitung-durch-den-arbeitgeber',
'https://www.pwc.ch/de/insights/regulierung/besonders-schuetzenswerte-personendaten.html',
'https://www.edoeb.admin.ch/de/basiswissen'
])
ON CONFLICT (id) DO NOTHING;
-- KI-Trainingsdaten
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('ki-trainingsdaten-datenschutz', 'branchenspezifisch',
'KI-Trainingsdaten und Datenschutz — DSGVO + AI Act',
'Personenbezogene Daten in KI-Trainingsdaten unterliegen vollumfaenglich der DSGVO. Der EU AI Act bringt zusaetzliche Anforderungen ab 2026.',
'## Grundsatz
Personenbezogene Daten in KI-Trainingsdaten unterliegen **vollumfaenglich der DSGVO**. Fuer besondere Kategorien (Art. 9) gibt es **keine zusaetzliche Rechtfertigung** — technische Massnahmen (Filtersoftware, Anonymisierung) sind zwingend.
## Rechtsgrundlagen fuer KI-Training
- **Art. 6 Abs. 1 lit. f** (berechtigtes Interesse) — haeufigste Grundlage
- **Art. 6 Abs. 1 lit. a** (Einwilligung) — bei sensiblen Daten bevorzugt
- LfDI Baden-Wuerttemberg hat Leitlinien veroeffentlicht
## EU AI Act — Relevante Fristen
| Datum | Regelung |
|-------|----------|
| 02.02.2025 | Verbotene KI-Praktiken (Art. 5) in Kraft |
| 02.08.2025 | Pflichten fuer KI-Modelle mit allgemeinem Verwendungszweck |
| 02.08.2026 | Art. 101 — General Purpose AI Regelungen |
## BeschDG-Entwurf und KI
Das geplante Beschaeftigtendatengesetz regelt den KI-Einsatz im Arbeitsverhaeltnis:
- **Profiling** nur in gesetzlich geregelten Faellen
- **Menschliche Aufsicht** erforderlich
- Bezugnahme auf den EU AI Act
## EU Digital Omnibus (geplant 2026)
Soll Regeln fuer KI-Trainingsdaten erweitern, insbesondere fuer oeffentlich zugaengliche Quellen. Ein **Opt-out-Recht** fuer Betroffene ist vorgesehen.
## Praxis-Tipp
Bei eigenem KI-Training: DSFA durchfuehren (Art. 35 DSGVO), Trainingsdaten auf Art.-9-Inhalte pruefen, Anonymisierung wo moeglich, und die AI-Act-Risikoklassifizierung dokumentieren.',
ARRAY['Art. 6 Abs. 1 DSGVO', 'Art. 9 DSGVO', 'Art. 35 DSGVO', 'EU AI Act Art. 5', 'EU AI Act Art. 101'],
ARRAY['ki', 'ai', 'trainingsdaten', 'ai-act', 'profiling'],
'important',
ARRAY[
'https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/',
'https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz',
'https://www.ihk-muenchen.de/ratgeber/recht/datenschutz/ki/'
])
ON CONFLICT (id) DO NOTHING;
-- "Aufgezwungene" besondere Kategorien
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('aufgezwungene-besondere-kategorien', 'art9-besondere',
'Aufgezwungene besondere Kategorien — Wenn man Art.-9-Daten nicht vermeiden kann',
'Der Hamburger Datenschutzbeauftragte hat 2024 das Problem behandelt, wenn Plattformen ueber APIs Art.-9-Daten erhalten, ohne dies kontrollieren zu koennen.',
'## Das Problem
Plattformbetreibern werden ueber automatisierte Schnittstellen (APIs) Daten uebermittelt, die **besondere Kategorien** enthalten, ohne dass der Empfaenger dies kontrollieren kann. Beispiele:
- Nutzer gibt in einem Freitext-Feld Gesundheitsinformationen ein
- App uebermittelt Daten, die indirekt Religion oder Ethnie offenbaren
- Kontaktformular enthaelt ungefragt sensible Informationen
## Rechtliche Bewertung
Auch **ungewollt erhaltene** Art.-9-Daten unterliegen den strengen Regeln des Art. 9 DSGVO. Der Empfaenger kann sich nicht darauf berufen, die Daten nicht angefordert zu haben.
## Loesungsansaetze
1. **Technische Filterung:** Automatische Erkennung und Sperrung/Pseudonymisierung sensibler Daten in Freitextfeldern
2. **Organisatorische Massnahmen:** Sofortige Loeschung identifizierter Art.-9-Daten, die nicht benoetigt werden
3. **Datenvermeidung:** Freitextfelder minimieren, strukturierte Eingaben bevorzugen
4. **Transparenz:** In Datenschutzerklaerung darauf hinweisen, keine sensiblen Daten einzugeben
## Praxis-Tipp
Pruefen Sie bei allen Eingabeformularen und APIs, ob unstrukturierte Daten (Freitext, Datei-Uploads) Art.-9-Daten enthalten koennten. Implementieren Sie technische und organisatorische Schutzmassnahmen.',
ARRAY['Art. 9 DSGVO', 'Art. 5 Abs. 1 lit. c DSGVO', 'Art. 32 DSGVO'],
ARRAY['art9', 'aufgezwungen', 'api', 'freitext', 'plattform'],
'info',
ARRAY[
'https://datenschutzbeauftragter-hamburg.de/2024/03/aufgezwungene-besondere-kategorien-personbezogener-daten/'
])
ON CONFLICT (id) DO NOTHING;
-- Indirekte Art.-9-Daten im Alltag
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('indirekte-art9-daten-alltag', 'art9-besondere',
'Indirekte Art.-9-Daten — Alltagsbeispiele und Abgrenzung',
'Seit EuGH C-184/20 koennen auch alltaegliche Daten wie Kantinenbestellungen, Parkplatz-Zuweisungen oder Dienstplaneintraege unter Art. 9 fallen.',
'## Ueberblick
Nach der **weiten Auslegung** des EuGH (C-184/20) genuegt es, wenn Art.-9-Informationen aus normalen Daten durch "gedankliche Kombination oder Ableitung" hervorgehen.
## Praxisbeispiele: Indirekte Art.-9-Daten
| Datum | Art.-9-Kategorie | Begruendung |
|-------|-----------------|-------------|
| Kantinenbestellung "halal"/"koscher" (personenbezogen) | Religion | Islamische/juedische Speisevorschriften offenbaren Glauben |
| Dienstplan mit Jom Kippur / Eid al-Fitr | Religion | Religioese Feiertage offenbaren Konfession |
| Parkplatz fuer Schwerbehinderte (zugeordnet) | Gesundheit | Behinderung = Gesundheitsdatum |
| Mitgliedschaft Herzsportverein | Gesundheit | Rueckschluss auf Herzerkrankung |
| Name gleichgeschlechtlicher Lebenspartner | Sexuelle Orientierung | EuGH C-184/20 direkt |
| Brillenverordnung / Sehhilfe | Gesundheit | Sehschwaeche = Gesundheitszustand |
| Allergiehinweis in Personalakte | Gesundheit | Allergie ist Gesundheitsinformation |
| Online-Bestellung OTC-Arzneimittel | Gesundheit | EuGH C-21/23 "Lindenapotheke" |
## Grenzfaelle (umstritten)
| Datum | Tendenz | Argument |
|-------|---------|----------|
| Raucher/Nichtraucher | Eher ja (nach weiter Auslegung) | Gesundheitsrisiko-Information |
| "Veganes Essen" Kantine | Eher nein (strittig) | Veganismus als Weltanschauung? |
| Brillentraeger auf Bewerbungsfoto | Eher nein | Zu mittelbar |
| Muttersprache/Akzent | Moeglich | Ethnische Herkunft ableitbar |
## Loesungsansatz: Anonymisierung
- Kantine: **Anonyme** Vorbestellung (nur Menge, keine Zuordnung)
- Dienstplan: Feiertage ohne Grund angeben
- Parkplaetze: Keine personenbezogene Zuordnung dokumentieren
## Praxis-Tipp
Vor jeder Datenerhebung die **Ableitung-Frage** stellen: "Koennte jemand aus diesem Datum auf Gesundheit, Religion, Ethnie, politische Meinung, Gewerkschafts-Zugehoerigkeit oder sexuelle Orientierung schliessen?" Wenn ja: Art. 9 beachten.',
ARRAY['Art. 9 DSGVO', 'Art. 4 Nr. 15 DSGVO', 'ErwGr. 35 DSGVO'],
ARRAY['art9', 'indirekt', 'kantine', 'alltag', 'abgrenzung', 'praxis'],
'important',
ARRAY[
'https://curia.europa.eu/juris/document/document.jsf?docid=263721&doclang=DE',
'https://curia.europa.eu/juris/document/document.jsf?docid=290696&doclang=DE',
'https://www.dr-datenschutz.de/skurrile-gesundheitsdaten/',
'https://www.dr-datenschutz.de/sensible-daten-nach-der-dsgvo-definition-beispiele/'
])
ON CONFLICT (id) DO NOTHING;
-- Kundendaten & CRM
INSERT INTO compliance_wiki_articles (id, category_id, title, summary, content, legal_refs, tags, relevance, source_urls) VALUES
('kundendaten-crm-tdddg', 'datenkategorien',
'Kundendaten im CRM — DSGVO-Anforderungen und Speicherfristen',
'Die DSGVO unterscheidet nicht zwischen B2B und B2C — auch Daten von Unternehmensvertretern sind personenbezogen. Das TDDDG definiert Bestands-, Nutzungs- und Inhaltsdaten.',
'## TDDDG-Datenkategorien (seit Mai 2024)
| Kategorie | Definition | Beispiel |
|-----------|-----------|---------|
| **Bestandsdaten** (§ 21 TDDDG) | Fuer Vertragsbegruendung/-aenderung erforderlich | Name, Adresse, Vertragsdaten |
| **Nutzungsdaten** (§ 24 TDDDG) | Fuer Nutzungsermittlung/-abrechnung | Login-Zeiten, genutzte Dienste |
| **Inhaltsdaten** | Die uebermittelten Inhalte selbst | E-Mail-Text, Chat-Nachrichten |
## B2B-Kontaktdaten
Die DSGVO unterscheidet **nicht** zwischen B2B und B2C. Auch Daten von Unternehmensvertretern (Name, E-Mail, Telefon) sind **personenbezogen**.
- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — typisch fuer geschaeftliche Kontaktdaten
- **Informationspflicht:** Art. 13 DSGVO gilt vollumfaenglich, auch bei B2B
- **Widerspruchsrecht:** Muss stets respektiert werden
## Kaufhistorie & Zahlungsdaten
- **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b (Vertragserfuellung)
- **Speicherfrist:** Rechnungsdaten 8 Jahre (§ 147 AO); Bestelldaten ohne Kundenkonto nach ca. 6 Monaten loeschen
- **Grundsatz der Datenminimierung:** Nur so viele Daten wie noetig
## Praxis-Tipp
Fuehren Sie im VVT separate Verarbeitungstaetigkeiten fuer "Kundenmanagement (CRM)" und "Buchhaltung". Dokumentieren Sie pro Datenkategorie die Speicherfrist und Rechtsgrundlage.',
ARRAY['§ 21 TDDDG', '§ 24 TDDDG', 'Art. 6 Abs. 1 lit. f DSGVO', 'Art. 13 DSGVO', '§ 147 AO'],
ARRAY['kundendaten', 'crm', 'b2b', 'tdddg', 'kaufhistorie', 'speicherfrist'],
'info',
ARRAY[
'https://dsgvo-gesetz.de/tdddg/21-tdddg/',
'https://www.dr-datenschutz.de/rechtsgrundlage-fuer-die-weitergabe-von-kontaktdaten-im-b2b-bereich/',
'https://dsgvo-vorlagen.de/dsgvo-und-der-umgang-mit-kundendaten',
'https://www.proliance.ai/blog/aufbewahrungsfristen-loschfristen-nach-dsgvo'
])
ON CONFLICT (id) DO NOTHING;
Reference in New Issue View Git Blame Copy Permalink