Glossar

s. Auftragsverarbeitung/Auftragsdatenverarbeitung

Geht der gesamte Nachlass eines Erblassers lediglich auf eine einzelne Person über, bezeichnet man diese als Alleinerben. Dieser Fall tritt beispielsweise ein, wenn der Erblasser in seinem Testament verfügt hat, dass diese Person sein gesamtes Vermögen erhält. Der Alleinerbe muss sich also nicht mit anderen Personen einer Erbengemeinschaft auseinandersetzen, wenngleich Vermächtnisnehmer ihr Vermächtnis und Pflichtteilsberechtigte Ansprüche auf Ihren Pflichtteil geltend machen können.

Unternehmer sind verpflichtet, gewisse Unterlagen für bestimmte Zeiträume aufzubewahren. Für viele geschäftliche Unterlagen gilt aus dem Steuerrecht heraus eine zehnjährige Aufbewahrungsfrist, die jedoch erst mit Schluss des Kalenderjahres beginnt, in dem der Jahresabschluss erstellt wurde. Gibt es keine gesetzlichen Aufbewahrungsfristen gilt der Grundsatz, dass personenbezogene Daten umgehend zu löschen sind, sobald der vereinbarte Nutzungszweck erfüllt worden ist. Meldet sich ein Kunde etwa vom Newsletter ab, sind seine zur Versendung des Newsletters erhobenen Daten umgehend zu löschen.

Der frühere Begriff Auftragsdatenverarbeitung (kurz ADV) wurde mit der DSGVO durch den Begriff Auftragsverarbeitung (kurz AVV) ersetzt. Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher personenbezogene Daten an einen Dienstleister übermittelt, der die Daten nur nach Weisung und nicht zu eigenen Zwecken verarbeiten darf. Es gilt eine entsprechende Vereinbarung zur Auftragsverarbeitung zwischen Unternehmen und Dienstleister zu schließen, wie es auch die DSGVO vorgibt.

Als Betroffener hat man das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, besteht die Pflicht über die Einzelheiten der Verarbeitung umfassend Auskunft zu erteilen. Die DSGVO macht dabei genaue Angaben, welche Informationen darin enthalten sein müssen. Zudem sollte der Verantwortliche auch eine Kopie der personenbezogenen Daten zur Verfügung stellen. Die Auskunft muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats, erteilen. Bei der Erteilung der Auskunft ist es wichtig, darauf zu achten, dass Rechte und Freiheiten des Verantwortlichen oder eines Dritten nicht beeinträchtigt werden. So darf der Verantwortliche beispielsweise personenbezogene Daten von Dritten oder Geschäftsgeheimnisse in Dokumenten schwärzen.

2015 veröffentlichte die OECD 15 Maßnahmen gegen Gewinnkürzungen und Gewinnverlagerungen, das sogenannte Base Erosion and Profit Shifting, kurz BEPS. Ziel ist das Vorgehen gegen schädlichen Steuerwettbewerb sowie aggressive Steuergestaltungen international tätiger Unternehmen, die durch unzureichend aufeinander abgestimmte Steuerrechtssysteme der einzelnen Länder ermöglicht werden. So sollen beispielsweise Steuerschlupflöcher für multinational agierende Unternehmen gestopft werden, die kleineren Unternehmen nicht zur Verfügung stehen. Die Ergebnisse des BEPS-Aktionsplans sind in den vergangenen Jahren bereits in vielen Ländern gesetzlich umgesetzt worden.

s. Bundesdatenschutzgesetz

s. Base Erosion and Profit Shifting

Das berechtigte Interesse ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Nicht immer ist es notwendig, die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa dann nicht, wenn anzunehmen ist, dass die Verarbeitung dieser Daten im Rahmen des berechtigten Interesses stattfindet. Hierzu sind drei Voraussetzungen notwendig: Der für die Verarbeitung der Daten Verantwortliche hat ein berechtigtes Interesse an der Datenverarbeitung, die Verarbeitung ist zu dessen Wahrung erforderlich (es gibt also keine weniger einschneidende Maßnahme, mit der das berechtigte Interesse in gleicher Weise gefördert wird) und bei einer Abwägung mit den Interessen der betroffenen Person überwiegen nicht deren Interessen. Dies abzuwägen ist immer ein Drahtseilakt aber auch eine Chance. Im Zweifelsfall berät Sie Ihr Datenschutzverantwortlicher oder der für Sie tätige externe Datenschutzbeauftragte.

In einem Berechtigungskonzept wird festgehalten, welche Zugriffsregeln auf Datensätze für die einzelnen Benutzergruppen gelten. Zudem werden hierin alle Prozesse detailliert erläutert, die dessen Umsetzung betreffen, z.B. das Anlegen oder Löschen von Nutzern und deren personenbezogene Daten. Hierzu ist es erforderlich, Rollen und die ihnen zugeordneten Aufgaben und Funktionen zu definieren. Ihnen können Berechtigungen erteilt oder entzogen werden. Die Pflege eines derartigen Berechtigungskonzepts wird empfohlen, zumal es ein Pflichtbestandteil zur ordnungsgemäßen Umsetzung der DSGVO ist und – nicht nur im Zweifelsfall – Auskunft darüber gibt, welche Mitarbeiter Zugriff auf personenbezogene Daten haben.

Stellt sich nachträglich heraus, dass eine beim Finanzamt eingereichte Steuererklärung unrichtig ist, muss diese korrigiert werden. Die Abgrenzung zwischen einer einfachen Berichtigung (zur Korrektur eines Fehlers) und einer strafbefreienden Selbstanzeige (zur „Heilung“ einer Steuerhinterziehung) sind oftmals fließend. Wenn das Unternehmen ein funktionsfähiges innerbetriebliches Kontrollsystem zur Befolgung aller steuerlichen Pflichten (Tax Compliance Management System) eingerichtet hat, wertet die Finanzverwaltung dies als Indiz gegen das Vorliegen von Vorsatz bzw. grober Fahrlässigkeit. Strafrechtliche Konsequenzen lassen sich damit vermeiden.

Ehegatten können gemeinsam ein Testament errichten. Eine in der Praxis häufige Sonderform ist das Berliner Testament. Hier setzen sich diese gegenseitig zu Alleinerben ein und bestimmen, dass mit dem Tod des zuletzt Verstorbenen der Nachlass an einen Dritten, zu Beispiel gemeinsame Kinder, fallen soll. So werden die Abkömmlinge des Verstorbenen zunächst von der Erbfolge ausgeschlossen.

Betriebsprüfung oder steuerliche Außenprüfung bezeichnet die Kontrolle der steuerlichen Verhältnisse und der Buchhaltung eines Betriebs durch das Finanzamt. Sämtliche Steuerarten können einer Betriebsprüfung unterliegen; die Umsatzsteuer und die Lohnsteuer können beispielsweise Gegenstand spezieller Prüfungen sein. Die Vorbereitung auf und das Management von steuerlichen Prüfungen gehört zu den zentralen Elementen eines Tax Compliance Management Systems.

Die DSGVO hat europaweit die Rechte der betroffenen Personen gestärkt. So stehen ihnen folgende Rechte zu: - Auskunftsrecht - Recht auf Berichtigung - Recht auf Löschung bzw. „Recht auf Vergessenwerden“ - Recht auf Einschränkung der Verarbeitung - Recht auf Datenübertragbarkeit - Widerspruchsrecht

Das Bundesdatenschutzgesetz (kurz BDSG) trat am 27. Januar 1977 in Deutschland in Kraft und hatte seitdem die Aufgabe, Einzelpersonen vor Datenmissbrauch zu schützen. Diese Aufgabe übernimmt nun weitestgehend die DSGVO. Dennoch trat am 25. Mai 2018 und damit dem Tag der Geltung der DSGVO, eine neue Fassung des BDSG in Kraft. Mit den Regelungen des BDSG macht Deutschland von den Öffnungsklauseln in der DSGVO Gebrauch, die es den Mitgliedstaaten ermöglichen gewisse nationale Regelungen zu treffen.

Bei einem Verstoß gegen die DSGVO drohen betroffenen Unternehmen Bußgelder von bis zu 20 Millionen € bzw. bis zu 4 % des weltweiten Jahresumsatzes. Die Behörden haben die Höhe der Bußgelder dabei so zu wählen, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Dabei nennt die DSGVO auch eine Menge Kriterien, die berücksichtigt werden sollten, etwa die Art, Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und das Ausmaß des erlittenen Schadens, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, frühere Verstöße, die Kooperationsbereitschaft des Unternehmens etc.

Unter dem Begriff Compliance versteht man die Aufforderung an Unternehmen, Regelungen und Richtlinien einzuhalten und sich gesetzeskonform zu verhalten. Darunter können auch unternehmenseigene ethische Standards fallen. Alle Regeln sowie die damit einhergehenden Einstellungen und Verhaltensweisen müssen von der Unternehmensleitung an die Mitarbeiter kommuniziert und von ihnen eingehalten werden. Werden diese Regelungen vom Unternehmen nicht eingehalten, drohen Strafen und es kann zu einem Ordnungswidrigkeitsverfahren kommen.

Seit 2016 ist die Pflicht zur Erstellung und Mitteilung von länderbezogenen Berichten – das sogenannte Country-by-Country-Reporting, kurz CbCR – im deutschen Steuerrecht verankert. Das CbCR ist ein Ergebnis der BEPS-Initiative der OECD. Ein solches Reporting müssen alle inländischen Gesellschaften vorlegen, die einen Konzernabschluss aufstellen oder in einen solchen einbezogen sind, der mindestens ein ausländisches Unternehmen umfasst. Zudem müssen die konsolidierten Umsätze des Vorjahres mindestens bei 750 Mio. € liegen. Ziel des CbCR ist es, der Steuerverwaltung eine standardisierte länderbezogene Berichterstattung darüber zu liefern, wo Umsätze und Gewinne erzielt, Mitarbeiter beschäftigt und Steuern gezahlt werden.

Ein effizientes Datenmanagement ist ein entscheidender Faktor für den Unternehmenserfolg. Dies gilt auch im Bereich der Steuern. Mithilfe eines Tax Compliance Management Systems können Sie eine Vielzahl von Daten nach unterschiedlichen Kriterien filtern und für steuerliche Zwecke analysieren (z. B. für Zwecke der Umsatzsteuer, der Lohnsteuer und der Dokumentation von Verrechnungspreisen). Dies trägt zur Abstimmung der Steuerstrategie bei und zahlt letztendlich auf die Erreichung der Unternehmensziele ein. Zudem unterstützt Sie ein Tax CMS dabei, in kürzester Zeit alle relevanten Daten für wichtige Meetings oder etwa Außenprüfungen bereitzustellen.

Eine Datenpanne liegt immer dann vor, wenn Dritte unbefugt Zugriff auf Daten erhalten. Auch die bloße Möglichkeit, dass Dritte Zugriff erhalten haben könnten, ist schon eine meldepflichtige Gefährdung. Übersehen wird häufig, dass auch die Vernichtung, der Verlust und die Veränderung von personenbezogenen Daten meldepflichtige Datenpannen sein können. Die Betroffenen können nicht nur dadurch gefährdet werden, dass Unbefugte ihre Daten erhalten, sondern etwa auch dadurch, dass den Befugten die Daten nicht mehr zur Verfügung stehen.

Der Datenschutz dient dem Zweck, Bürger vor der unbefugten Verarbeitung ihrer persönlichen Daten zu schützen. Der Datenschutz ist in der Grundrechte-Charta der EU als Grundrecht anerkannt und als Teil des Rechts auf informationelle Selbstbestimmung auch in Deutschland grundrechtlich garantiert. Jeder Bürger darf demnach selbst bestimmen, was mit seinen Daten geschieht und in welcher Form diese weiterverarbeitet werden. Dies bezieht sich auf alle Gebiete und Arten, in denen Daten verarbeitet werden können, wie beispielsweise Unternehmen, die mit Kundendaten arbeiten. Da dies ein breit gefächertes Aufgabengebiet ist, ziehen viele Unternehmen einen externen Datenschutzbeauftragten für die ordnungsgemäße Umsetzung dieser Aufgaben hinzu.

Die Datenschutz-Aufsichtsbehörde berät und kontrolliert öffentliche und private Stellen in Angelegenheiten des Datenschutzes. Der Bund und jedes Bundesland haben eine eigene Aufsichtsbehörde, an die sich auch jeder Betroffene mit seiner Beschwerde richten kann. Wenn bei einer Überprüfung der nicht ordnungsgemäße Umgang mit personenbezogenen Daten aufgedeckt wird, erteilt die zuständige Aufsichtsbehörde Bußgelder und Weisungen, bis hin zum Verbot einer Datenverarbeitung.

Jedes Unternehmen ist dazu angehalten, eine eigene Datenschutzrichtlinie zu implementieren; sie hilft beim erforderlichen Nachweis einer angemessenen Datenschutzorganisation. Ziel ist der Mitarbeiter-übergreifend einheitliche Umgang mit personenbezogenen Daten und den weiteren datenschutzrechtlich relevanten Sachverhalten. Diese Richtlinie stellt den zentralen Teil der Datenschutzorganisation dar und ist für alle Mitglieder des Unternehmens bindend. Sie wird vom Datenschutzbeauftragten in Zusammenarbeit mit der Geschäftsführung aufgesetzt und beinhaltet vor allem Angaben zur Datenschutzorganisation im Unternehmen, dem Umgang mit personenbezogenen Daten sowie Aufgaben im Rahmen der Meldepflicht.

In Deutschland braucht jedes Unternehmen, welches mehr als neun Mitarbeiter für die Verarbeitung von personenbezogenen Daten beschäftigt, einen Datenschutzbeauftragten, der sich um die Einhaltung der Vorgaben der DSGVO im Unternehmen kümmert. Daneben besteht die Pflicht für Unternehmen, die Daten geschäftsmäßig verarbeiten, um sie (anonymisiert) zu übermitteln oder für Marktforschungszwecke zu verwenden, einen Datenschutzbeauftragten zu bestellen. Diese Datenverarbeitung muss dabei einen eigenständigen Zweck der geschäftlichen Tätigkeit ausmachen, z.B. wie bei Auskunfteien oder Bewertungsplattformen. Die Aufgabe des Datenschutzbeauftragten wird entweder von einem Mitarbeiter des Unternehmens oder einem externen Datenschutzbeauftragten übernommen. Ein wichtiger Bestandteil seiner Aufgaben liegt in der Überwachung des fairen und ordnungsgemäßen Umgangs mit personenbezogenen Daten innerhalb des Unternehmens. Auch wenn keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, sind die Unternehmen verpflichtet, den Datenschutz umzusetzen, sodass die Benennung eines Verantwortlichen oder die Einholung externer Beratung auch für diese sinnvoll sind.

Die Datenschutzerklärung muss auf jeder Webseite bereitgestellt werden. Sie enthält die Pflichtinformationen (siehe auch Informationspflicht) für die Betroffenen. Wichtig: Es ist erforderlich, dass die Datenschutzerklärung alle Verarbeitungsprozesse auf der Webseite darstellt sowie von jeder Unterseite aus erreichbar ist. Eine Datenschutzerklärung gilt dabei auch als Aushängeschild für ein Unternehmen, da Sie von jedermann eingesehen wird.

Um die Vorgaben der Europäischen Datenschutz-Grundverordnung ordnungsgemäß umzusetzen, bedarf es der Implementierung einer Datenschutzorganisation im Unternehmen. Verantwortlich für die Einführung einer solchen Datenschutzorganisation ist die Geschäftsführung. Mithilfe von Mitarbeitern und dem Datenschutzbeauftragten gilt es, Prozesse zur Wahrung des Datenschutzes festzulegen, umzusetzen und stetig zu kontrollieren. Bestandteile der Datenschutzorganisation sind beispielsweise ein Berechtigungskonzept sowie ein Verarbeitungsverzeichnis.

Hierbei handelt es sich um alle Mitarbeiter eines Unternehmens, die Zugriff auf personenbezogene Daten haben und diese sehen, bearbeiten oder löschen können. Im Zuge der DSGVO ist es sehr wichtig, diese Mitarbeiter im Sinne der Datenschutz-Richtlinie des Unternehmens zu schulen und für Dokumentationspflichten und Informationspflichten zu sensibilisieren. Um sicher zu stellen, welcher Mitarbeiter welche Rolle bei der Datenverarbeitung hat, ist die Implementierung eines Berechtigungskonzepts erforderlich. Zudem verpflichtet sich jeder datenverarbeitende Mitarbeiter auf Vertraulichkeit, auch für die Zeit nach Beendigung des Beschäftigungsverhältnisses.

Grundsätzlich gilt, dass personenbezogene Daten nur für die Dauer der Erfüllung des ursprünglichen Speicherungszwecks aufbewahrt werden dürfen. Ist der Zweck erfüllt, sieht die DSGVO vor, dass das betroffene Unternehmen diese Daten wieder löscht. Die Dauer der Speicherung richtet sich also nach dem Zweck, für den die Daten erhoben worden sind. Jedoch gilt es auch in diesem Rahmen, die gesetzlich vorgeschriebenen Aufbewahrungsfristen zu beachten. So sehen Handels- und Steuerrecht beispielsweise mehrjährige Aufbewahrungsfristen vor. Es ist daher wichtig ein Löschkonzept zu implementieren, in dem solche Speicherfristen berücksichtigt werden, um die Löschung aufbewahrungspflichtiger Daten zu verhindern.

Die DSGVO verpflichtet Unternehmen zur Dokumentation, d.h. es ist erforderlich, dass Unternehmen nachweisen können, wann, auf welche Weise und zu welchem Zweck personenbezogene Daten erhoben werden. Deswegen sollten derartige Informationen geschützt abgelegt werden. Wichtig ist auch, zu dokumentieren, welche Mitarbeiter Zugriff auf sensible Daten haben und in welcher Weise diese zur Bearbeitung berechtigt sind. Im besten Fall hält die Datenschutzrichtlinie derartige Prozesse für alle Mitarbeiter fest.

s. Datenschutzbeauftragter

s. Europäische Datenschutz-Grundverordnung

Als mögliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt eine Einwilligung in Betracht. Eine solche Einwilligung muss freiwillig und ausdrücklich erteilt werden und kann jederzeit widerrufen werden. Da im Zweifel der Verantwortliche nachweisen muss, dass der Betroffene tatsächlich in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, sollte die Einwilligung schriftlich eingeholt oder auf andere Weise dokumentiert und sicher gespeichert werden.

Der Ausschluss bestimmter Personen von der Erbfolge kann auf zwei Arten erreicht werden. Das komplette Nachlass kann durch ein Testament auf andere Personen verteilt werden, die zu alleinigen Erben werden. Alternativ kann durch ein Negativtestament lediglich bestimmt werden, dass bestimmte Personen von der Erbschaft ausgeschlossen, also enterbt werden. Dagegen kann der Pflichtteil, falls er für die jeweilige Person gesetzlich vorgesehen ist, nur unter engen gesetzlich bestimmten Voraussetzungen entzogen werden.

Das Erbe (oder auch der Nachlass) ist das Vermögen, das vom Erblasser auf den Erben übergeht. So können auch Unternehmen vererbt werden. Unternehmensnachfolge ist also Teil der Vermögensnachfolge.

Erben sind Personen, denen im Erbfall, bedingt durch den Tod des Erblassers, der Nachlass (oder auch das Erbe) des Verstorbenen als Gesamtrechtsnachfolger zusteht. Der Nachlass kann einer einzelnen Person oder auch einer Erbengemeinschaft zustehen. Zum Erben wird man entweder durch die gesetzliche Erbfolge oder z.B. durch ein Testament des Erblassers.

Eine Erbengemeinschaft ist eine Gruppe von Personen, denen – bedingt durch die Erbfolge oder ein Testament – gemeinschaftlich das Erbe des Erblassers zusteht. Im Unterschied zum Alleinerben werden diese Personen dann als Miterben bezeichnet. In der Erbengemeinschaft wird der gesamte Nachlass gemeinschaftlich und ungeteilt verwaltet, was häufig zu Streitigkeiten der Miterben führt. In solchen Fällen bedarf es einer strukturierten Auseinandersetzung, in der die Erbengemeinschaft aufgelöst und die Erbmasse aufgeteilt wird.

Hat der Erblasser kein Testament hinterlassen, greift die gesetzliche Erbfolge. Diese gibt vor, dass lediglich die Angehörigen als Erben zugelassen werden. Hierbei wird die Reihenfolge durch die Erbenordnung bestimmt, die sich am Verwandtschaftsverhältnis der einzelnen Erben zum Erblasser orientiert. An erster Stelle stehen alle Abkömmlinge des Erblassers (Kinder, Enkelkinder), gefolgt von den Eltern und deren Abkömmlingen, also auch etwaige Geschwister, Nichten und Neffen. Die dritte und vierte Ordnung betrifft Großeltern und Urgroßeltern des Verstorbenen sowie deren Abkömmlinge. An letzter Stelle stehen dann weiter entfernte Verwandte. Jedenfalls hat der überlebende Ehegatte ein gesetzliches Erbrecht.

Als Erblasser bezeichnet man eine verstorbene Person, die ihren Hinterbliebenen ein Erbe (Vermögenswerte, Unternehmen etc.) hinterlässt. In der Regel greift im Erbfall die gesetzliche Erbfolge, die zunächst die engsten Angehörigen umfasst. Der Erblasser kann diese Reihenfolge aber durch das Verfassen eines Testaments ändern und sein Erbe so verteilen, wie er es für richtig hält. So werden z.B. entferntere Verwandte begünstigt oder engere Verwandte vom Erbe ausgeschlossen. In letzterem Fall gilt es jedoch zu beachten, dass bestimmten für das Erbe berechtigten Personen, nämlich Ehegatten oder Kindern, stets ein gesetzlicher Pflichtteil zusteht.

Das Erbrecht umfasst Rechtsnormen, die privatrechtliche Folgen des Todes eines Menschen regeln, soweit keine abweichenden letztwilligen Verfügungen getroffen wurden. Dies umfasst die Rangfolge gesetzlicher Erben, die Haftung der Erben und vieles mehr. Der Fortbestand des privaten Eigentums im Wege der Rechtsnachfolge wird so sichergestellt. Oft entsprechen die gesetzlichen Regelungen jedoch nicht der Interessenlage der Beteiligten, so dass eine abweichende Regelung getroffen werden muss. Dabei sind Vorschriften des Gesellschaftsrechts, des Steuerrechts sowie weiterer Rechtsgebiete zu berücksichtigen.

Die Erbschaftsteuer fällt an, wenn ein Vermögen von einem verstorbenen Erblasser auf den Erben oder Vermächtnisnehmer übergeht. Voraussetzung ist, dass es sich beim Erblasser um eine natürliche Person handelt, denn juristische Personen können nicht sterben. Rechtsgrundlage ist das Erbschaftsteuer- und Schenkungssteuergesetz.

Wer Erbe ist und welchen Verfügungsbeschränkungen er unterliegt, wird durch ein amtliches Zeugnis, Erbschein, für den Rechtsverkehr feststellt. Es enthält dagegen keine Angaben über den Umfang des Nachlasses.

Neben dem Testament kann die Verteilung des Erbes auch im Wege eines Erbvertrages zu Lebzeiten geregelt werden. Der Hauptunterschied besteht darin, dass der Erbvertrag bindend ist und nicht ohne Zustimmung des Vertragspartners aufgelöst oder geändert werden kann. Ein Erbvertrag kann nur zur Niederschrift eines Notars bei Anwesenheit beider Parteien wirksam geschlossen werden.

Die Abkürzung „ERP“ steht für „Enterprise-Ressource-Planning“ und bezeichnet Software zur Ressourcenplanung eines Unternehmens in einer zentralen Datenbank. Hier werden sämtliche Geschäftsprozesse des Unternehmens verarbeitet und gespeichert, z.B. Einkauf, Logistik, Produktion, Controlling, Marketing, Vertrieb, sodass die Planung der Prozesse abteilungsübergreifend möglich ist. Auch im Bereich der Steuern kann dies ein nützliches Tool sein, da hier zentral alle relevanten Informationen eingepflegt werden können, die für die ordnungsgemäße Buchhaltung sowie Abführung von Steuern notwendig sind. Ein Tax Compliance Management System greift regelmäßig auf eine Vielzahl von Daten aus dem ERP-System zu.

s. Europäische Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union und den zusätzlichen Ländern des Europäischen Wirtschaftsraums (Island, Lichtenstein und Norwegen). Sie sorgt dafür, dass personenbezogene Daten in diesen Ländern einheitlich geschützt werden. Betriebe und Behörden stehen in der Pflicht, sich an die Grundverordnung zu halten, ansonsten riskieren sie Bußgelder. Insgesamt sorgt die Europäische Datenschutz-Grundverordnung dafür, dass den Betroffenen mehr Kontrollrechte über ihre Daten eingeräumt werden und sie leichter nachvollziehen können, wie ihre personenbezogenen Daten verarbeitet werden.

Die Europäische Erbrechtsverordnung (EuErbVO) gilt für alle Erbfälle in den Mitgliedstaaten der EU (ausgenommen Dänemark, Irland und dem Vereinigten Königreich) und legt fest, welches Erbrecht auf einen internationalen Erbfall anzuwenden ist. Abzustellen ist danach grundsätzlich auf den Staat, in dem der Erblasser zuletzt seinen gewöhnlichen Aufenthalt hatte.

Unternehmen, die mindestens zehn Mitarbeiter für die Verarbeitung von Daten beschäftigen, kommen nicht umhin, einen Datenschutzbeauftragten zu ernennen. Dieser ist entweder bereits im Unternehmen angestellt oder kann als Außenstehender für die Position des Datenschutzbeauftragten hinzugezogen werden. In diesem Fall handelt es sich um einen sogenannten externen Datenschutzbeauftragten. Die Aufgabe des Datenschutzbeauftragten besteht darin, den fairen und ordnungsgemäßen Umgang mit personenbezogenen Daten innerhalb des Unternehmens zu kontrollieren und bei der Umsetzung zu beraten.

Gerade bei Familienunternehmen wünscht sich der Inhaber oftmals, dass der Nachwuchs das Geschäft übernimmt. Doch nicht immer geht dieser Wunsch in Erfüllung. Die Gründe hierfür sind unterschiedlich. Wenn sich auch in der eigenen Belegschaft kein passender Mitarbeiter für die zu übergebende Position findet, bedarf es eines externen Nachfolgers. Häufig wird in solchen Fällen auch ein Fremd-Geschäftsführer eingesetzt.

Hierbei handelt es sich um einen auf das Gebiet Erbrecht spezialisierten Rechtsanwalt, der für diesen Titel eine gesonderte Prüfung abgelegt hat. Er berät Mandanten in allen Fragen des Erbrechts, beispielsweise in puncto Erbfolge, Testamentsgestaltung, Erbschaftsteuer, Schenkungsteuer, aber auch bezüglich Unternehmensnachfolge und Testamentsvollstreckung.

Übergibt der Inhaber eines Familienunternehmens dieses an seine Kinder oder sonstige in der Firma tätigen Verwandten, spricht man von Familiennachfolge. Diese Form der Unternehmensnachfolge wird von den meisten Familienunternehmen favorisiert. Ist dies jedoch nicht möglich, muss der Inhaber sich auf die Suche nach einem externen Nachfolger machen. Dieser kann z.B. auch in Form eines Fremd-Geschäftsführers gefunden werden.

Ein Familienunternehmen wird in der Regel von einer Familie gegründet und geführt. Die Größe ist hierfür nicht maßgeblich, aber oft handelt es sich bei Familienunternehmen um kleine und mittlere Unternehmen (KMU). Im Zuge der Unternehmensnachfolge legen viele Inhaber Wert darauf, dass der Betrieb in Familienhand bleibt und ein Nachfolger in den eigenen Reihen gefunden wird (sogenannte Familiennachfolge). Ist dies nicht der Fall, muss ein externer Nachfolger gesucht werden. In beiden Fällen bedarf es eines Nachfolgefahrplans, um das Unternehmen strukturiert in die Hände des Nachfolgers zu übergeben. Doch auch auf Extremsituationen wie einen Unfall oder den plötzlichen Tod des Unternehmers können und sollten sich Familienunternehmen mit einem sogenannten Notfallplan vorbereiten.

Birgt eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durch. In diese Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzubeziehen. An eine solche Folgenabschätzung stellt die DSGVO eindeutige Anforderungen. Die Datenschutzbehörden haben sogenannte „Black-Lists“ bzw. „White-Lists“ veröffentlicht, aus denen sich Prozesse ergeben, in denen eine Folgenabschätzung durchzuführen ist oder nicht benötigt wird. Eine solche Folgenabschätzung gehört zu den Dokumentationspflichten des Verantwortlichen und eine Nichtdurchführung stellt einen Datenschutzverstoß dar.

Ein sogenannter Fremd-Geschäftsführer ist eine besondere Form des externen Nachfolgers. Er ist zwar befugt, das Unternehmen rechtlich zu vertreten, jedoch ist er kein Gesellschafter und kann jederzeit von der Gesellschafterversammlung abberufen werden.

Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Am 14.11.2014 wurden diese Anforderungen an IT-gestützte Systeme mit dem Schreiben des Bundesfinanzministeriums formuliert und festgelegt. Diese Regelungen betreffen Aufzeichnungen aller Art bezüglich steuerrelevanter Daten. Zwischenzeitlich wird die Einhaltung der GoBD in vielen Betriebsprüfungen kontrolliert, z. B. durch Anforderung einer Verfahrensdokumentation. Ein effektives Tax Compliance Management Systems muss auch dafür Sorge tragen, dass das Unternehmen die GoBD erfüllt.

Die gesetzlichen Vertreter eines Unternehmens (z. B. Geschäftsführer, Vorstände) tragen die Verantwortung dafür, dass das Unternehmen seinen gesetzlichen Verpflichtungen nachkommt und keine Verbote verletzt. Kommt es doch zu Gesetzesverstößen, können die gesetzlichen Vertreter hierfür zur Verantwortung gezogen werden. So richtet sich der Vorwurf der Hinterziehung betrieblicher Steuern immer gegen den jeweiligen Geschäftsführer bzw. Vorstand, der eine falsche Steuererklärung abgegeben oder Steuern nicht ordnungsgemäß entrichtet hat. Ein Tax Compliance Management System ist ein wichtiges Instrument, um steuerliche Haftungsrisiken zu reduzieren.

s. Internes Kontrollsystem

Wenn personenbezogene Daten erhoben werden, sieht es die Datenschutz-Grundverordnung vor, dass die betroffene Person, eine Information darüber erhält. Das Unternehmen, das diese Daten erhebt, muss die Person unter anderem über den Verwendungszweck sowie über den Umgang mit den Daten aufklären. Wichtig ist auch, dass die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten an dieser Stelle übermittelt werden, damit sich betroffene Personen bei Fragen oder im Falle eines Widerrufs an einen Ansprechpartner wenden können. Diese und weitere Angaben sind gesetzlich ausdrücklich vorgeschrieben. Wird die Information nicht oder unvollständig erteilt, liegt ein Datenschutzverstoß vor, den die Behörden mit einem Bußgeld ahnden können. Eine solche Informationspflicht trifft Sie nicht nur, wenn Sie die Daten selbst beim Betroffenen erheben, sondern auch dann, wenn Sie die Daten von einem Dritten erhalten.

Um vertrauliche Daten zu schützen, müssen gewisse Sicherheitsvorkehrungen getroffen werden. In Hinblick auf die Datensicherheit im IT-Bereich ist es ratsam, ein Informationssicherheitsmanagement (kurz ISMS) im Unternehmen zu implementieren, welches als ergänzende Maßnahme zur ordnungsgemäßen Umsetzung der DSGVO dienen kann. Mithilfe des ISMS lassen sich Schwachstellen im Unternehmen aufdecken, die es dann im Rahmen der Datenschutzorganisation zu beheben gilt. Im weiteren Verlauf kann das ISMS bei der Erstellung von Richtlinien und Leitfäden unterstützen und dient später u.a. als Überwachungsinstrument zur Einhaltung der DSGVO.

Ein internes Kontrollsystem besteht aus systematisch gestalteten technischen und organisatorischen Maßnahmen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden. Ein solches Kontrollsystem betrifft regelmäßig sämtliche Unternehmensbereiche. Der Teilbereich des IKS, der auf die Einhaltung aller steuerlichen Pflichten gerichtet ist, wird auch als Tax Compliance Management System bezeichnet. Nach der Interpretation der Finanzverwaltung kann ein funktionierendes Steuer-IKS Unternehmen und ihre Organe im Fall von Fehlern in einer Steuererklärung vor strafrechtlicher Verfolgung schützen

Die Datenschutz-Aufsichtsbehörden kontrollieren Vereine, Unternehmen und andere datenverarbeitende Stellen in Bezug auf die ordnungsgemäße Umsetzung der Europäischen Datenschutz-Grundverordnung. Hierbei setzen die Behörden vorwiegend auf Vor-Ort-Kontrollen, Fragebögen und automatisierte Online-Audits. Sollte sich in diesem Rahmen herausstellen, dass sich ein Betrieb nicht an die Vorgaben der DSGVO hält, drohen teils hohe Bußgelder.

Wenn die Parteien auf eine strukturierte, aber einvernehmliche Beilegung ihres Konfliktes besonderen Wert legen, kommt für sie eine Mediation in Frage. Ihre wesentlichen Vorteile sind die Vertraulichkeit und die Freiwilligkeit. Deshalb ist die Mediation oft auch in Familienunternehmen eine bessere Option als eine gerichtliche Lösung. Der von den Parteien gewählte Mediator agiert als eine neutrale und unabhängige Person. Ihm steht jedoch keine Entscheidungsbefugnis zu. Stattdessen fördert er durch die gezielte Verhandlung und Kommunikation mit den Parteien ihre gemeinsame und eigenverantwortliche Lösung des Konfliktes.

Bei einer Verletzung des Schutzes personenbezogener Daten ist es erforderlich, dass der Verantwortliche dies innerhalb von 72 Stunden bei der zuständigen Datenschutz-Aufsichtsbehörde meldet. Meldet er den Verstoß erst später, muss er diese Verzögerung begründen. Andernfalls riskiert er Bußgelder. Neben der Behörde und dem Datenschutzbeauftragten, wird auch der Betroffene informiert, wenn die Verletzung ein hohes Risiko für seine Rechte und Freiheiten zur Folge hat. Wenn ein solcher Fall eintritt, sollte die Datenschutzrichtlinie zur Verfügung stehen, damit die Mitarbeiter über das Vorgehen bei einer solchen Datenpanne informiert sind.

Gerade im Mittelstand mit seinen vielen Familienunternehmen ist das Thema Nachfolge von großer Bedeutung. In den nächsten Jahren sollen mehrere Zehntausend Unternehmen übergeben werden, doch für viele ist noch kein Nachfolger in Aussicht. Ein Grund hierfür ist, dass sich die Inhaber erst sehr spät mit dem Thema Unternehmensnachfolge auseinandersetzen und entsprechend auch keinen Nachfolgefahrplan erstellt haben. Ein weiterer Grund ist, dass die Kinder der Inhaber eine Familiennachfolge immer häufiger ablehnen und so ein Fremd-Geschäftsführer gefunden werden muss, bei dessen Auswahl sich die Inhaber sehr schwertun. Empfehlenswert ist es deshalb, sich mit dem Thema Nachfolge bereits recht früh zu befassen und die Sache mithilfe eines auf mehrere Jahre ausgelegten Nachfolgefahrplans strukturiert anzugehen.

Um eine Unternehmensnachfolge strukturiert und für alle Parteien zufriedenstellend umzusetzen, bedarf es eines Nachfolgefahrplans. Dabei gibt es kein allgemeingültiges Muster, vielmehr werden alle Punkte individuell zwischen Inhaber und Nachfolger geklärt und festgehalten. Ist der Status quo geklärt, wird der Plan für die nächsten Jahre aufgestellt und definiert, in welchem Umfang Unternehmensvermögen und Führungsverantwortung vom Nachfolger übernommen werden. Hierzu wird ein Maßnahmenkatalog erstellt.

Als Nachfolger wird eine Person bezeichnet, die ein Familienunternehmen vom bisherigen Geschäftsführer übernimmt. Dies ist im Mittelstand häufig der Fall. Als Nachfolger kommen entweder Verwandte in Betracht (sogenannte Familiennachfolge) oder ein externer Nachfolger, also ein Fremd-Geschäftsführer, wird eingesetzt.

s. Erbe

Die Aufgaben eines Notars sind vielfältig und reichen von der Beglaubigung und Beurkundung von Rechtsgeschäften oder Unterschriften bis hin zu Hinterlegung von Vermögenswerten. Im Gegensatz zu einem Rechtsanwalt ist ein Notar zur Unparteilichkeit verpflichtet. Neben dem Grundstücksrecht und dem Gesellschaftsrecht zählen auch das Familienrecht sowie das Erbrecht zu seinen Kernfeldern. So beurkundet er u.a. Testamente und Erbverträge sowie Vorsorgevollmachten. Im Rahmen einer Vermögensnachfolge oder einer Unternehmensnachfolge ist der Notar häufig unverzichtbar zur Beurkundung und Beglaubigung von Vorgängen und Dokumenten.

Fällt der Geschäftsführer eines Familienunternehmens aus, müssen die anderen Führungskräfte das Geschäft übernehmen. Um auf eine solche Notsituation gut vorbereitet zu sein, empfiehlt sich das frühzeitige Anlegen eines Notfall-Koffers, der alle notwendigen Unterlagen und Informationen beinhaltet, die zur reibungslosen Fortführung des Alltagsgeschäfts notwendig sind. Auf diesen greifen die übrigen Mitarbeiter im Ernstfall zu. Ein gut bestückter Notfall-Koffer sollte folgende Informationen beinhalten: Gesellschaftsvertrag, eine Aufgabenauflistung für die Geschäftsführung, Vollmachten bei Banken, Ansprechpartner bei Kunden und Lieferanten, Codes, Schlüssel, Kennwörter und auch Betriebsgeheimnisse wie bestimmte Rezepturen oder spezielle Verfahren.

Um eine Unternehmensnachfolge oder eine Vermögensnachfolge strukturiert durchzuführen, bedarf es eines Nachfolgefahrplans. In diesem Zuge ist es sinnvoll auch einen Notfallplan zu erstellen, der dann greift, wenn der Inhaber eines Unternehmens verunfallt oder gar verstirbt. Gerade in kleinen und mittelständischen Familienbetrieben lenkt der Inhaber oft alle Geschäfte, ohne weitere Mitarbeiter hierin einzubeziehen. Dann empfiehlt sich die Einrichtung eines sogenannten Notfall-Koffers, der wichtige Dokumente und Informationen, die zur reibungslosen Fortführung des Unternehmens wichtig sind, umfasst.

In einer schriftlichen Patientenverfügung hält der Verfasser fest, welche medizinischen Maßnahmen bei ihm durchgeführt bzw. unterlassen werden sollen, sofern er selbst nicht mehr entscheidungsfähig ist. Auch dies ist ein Dokument, das im Rahmen des Nachfolgefahrplans erstellt und im Notfall-Koffer aufbewahrt wird. Neben der Unternehmensnachfolge und der Vermögensnachfolge sollte auch das Private nicht vernachlässigt werden. Ebenso wie im Notfallplan für das Unternehmen festgelegt ist, wie dieses im Ernstfall fortzuführen ist, steht in der Patientenverfügung, wie der Betroffene behandelt werden möchte, wenn er außer Stande ist, dies selbst zu äußern.

Unter die personenbezogenen Daten fallen all die Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Das können zum Beispiel Name und Anschrift einer Person sein genauso wie Geburtsdaten, Bankdaten oder auch Onlinedaten wie IP-Adresse oder Standortdaten. Besonderen Schutz sieht die DSGVO für die besonderen Kategorien personenbezogener Daten vor. Dies sind Angaben über die rassische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Diese Daten müssen nicht nur besonders geschützt werden, sondern dürfen auch nur unter strengeren Voraussetzungen überhaupt zur Verarbeitung genutzt werden. Auch für Daten über strafrechtliche Verurteilungen oder Straftaten gibt es solche Besonderheiten.

Der Pflichtteil steht Ehegatten und Kindern zu, die zwar gemäß gesetzlicher Erbfolge zum Empfang eines Erbes berechtigt wären, durch das Testament des Erblassers jedoch hiervon ausgeschlossen werden. Das Erbrecht sieht vor, dass diesen Personen die Hälfte ihres gesetzlichen Erbteils zusteht.

Gemäß Art. 16 DSGVO hat jeder Betroffene das Recht, von dem Verantwortlichen eine Berichtigung der ihn betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unternehmen sind dazu verpflichtet, umgehend die fehlerhaften Angaben zu korrigieren und fehlende Angaben nachzuarbeiten.

Jede Person, deren personenbezogene Daten von einer Behörde oder einem Unternehmen verarbeitet werden, hat ein Recht auf Löschung, insbesondere wenn: - die personenbezogenen Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind, - der Betroffene seine Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung vorliegt, - der Betroffene einen wirksamen Widerspruch gegen die Verarbeitung eingelegt hat oder - die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Kommt der Verantwortliche dieser Bitte nicht ordnungsgemäß nach, kann die Person den Vorfall bei der Datenschutz-Aufsichtsbehörde melden. In solch einem Fall drohen Bußgelder.

s. Recht auf Löschung

Im Gegensatz zur Erbschaftsteuer wird die Schenkungsteuer auf den unentgeltlichen Übertrag von Vermögenswerten zu Lebzeiten des Schenkenden erhoben. Rechtsgrundlage ist das Erbschaftsteuer- und Schenkungsteuergesetz.

Wer keine Erben hat oder sein Vermögen dazu nutzen möchte, bestimmte Projekte zu fördern, kann eine Stiftung gründen. Dies erfreut sich in den letzten Jahren großer Beliebtheit. So vielfältig die Motive zur Gründung einer Stiftung sind, so unterschiedlich sind jedoch auch die Ausgestaltungen. Nicht nur deswegen bedarf die Stiftungsgründung einer guten Planung. Zur Gründung bedarf es eines sogenannten Stiftungsgeschäfts und einer staatlichen Anerkennung durch die Stiftungsaufsichtsbehörde.

Der Wille des Erblassers für den Fall seines Todes wird in seinem Testament festgehalten. Der Erblasser kann mit dem Testament seine Erben bestimmen, Personen enterben, Vermächtnisse, Auflagen, Testamentsvollstreckung anordnen oder Teilungsanordnungen treffen. Das Testament kann vom Erblasser eigenhändig (handschriftlich) verfasst werden. Seine eigenhändige Unterschrift aus Vor- und Familiennamen muss dabei die Urkunde abschließen. Des Weiteren kann ein öffentliches Testament vor dem Notar errichtet werden, indem der Erblasser dem Notar seinen letzten Willen erklärt oder ihm eine Schrift mit der Erklärung übergibt, dass die Schrift seinen letzten Willen enthalte. Die Schrift muss in diesem Fall nicht von dem Erblasser selbst geschrieben sein.

Für die tatsächliche Umsetzung des Willens des Erblassers nach seinem Tod wird in Rahmen der Testamentsvollstreckung gesorgt. Der Erblasser kann einen oder mehrere Testamentsvollstrecker für die Verwaltung und Verteilung des Nachlasses anordnen. Alternativ kann die Bestimmung des Testamentsvollstreckers auch einem Dritten oder dem Nachlassgericht überlassen werden. Dafür kommt eine neutrale Person in Betracht, die das Nachlass verwaltet, ggf. Schulden eintreibt, die Einhaltung von Auflagen überwacht, das Vermögen entsprechend dem Testament verteilt. Besonders wichtig ist die Bestimmung eines Testamentsvollstreckers in den Fällen, wo ein Erbe minderjährig oder behindert ist, oder die Erben aufgrund des umfangreichen Nachlasses bei der Umsetzung des Willen des Erblassers entlastet werden sollen.

Unternehmen, Behörden und andere Stellen, die personenbezogene Daten verarbeiten, sind gesetzlich dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMS) zu ergreifen, um ein angemessenes Schutzniveau sicher zu stellen. Zu den technischen Maßnahmen zählen beispielsweise Passwortnutzung, Protokolldateien und eindeutige Benutzerkonten. Unter die organisatorischen Maßnahmen fallen Aspekte wie das Vier-Augen-Prinzip, Arbeitsanweisungen und festgelegte Intervalle zur Überprüfung der Einhaltung sämtlicher datenschutzrechtlicher Anforderungen. Bei der Wahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und das Risiko für die betroffene Person zu berücksichtigen.

Die Bewertung eines Unternehmens (oder von Teilen dessen) ist ein entscheidender Punkt beim Thema Nachfolge, sofern geplant ist, das Unternehmen zu verkaufen. In der Regel wird ein Gutachter beauftragt, der den Unternehmenswert bestimmt, auf dessen Grundlage Inhaber und Nachfolger sich dann auf einen Kaufpreis einigen.

Das Thema Nachfolge unterteilt sich grundsätzlich in Unternehmensnachfolge und die übrige Vermögensnachfolge. Beides spielt vor allem bei Unternehmern im Mittelstand eine große Rolle und wird hier – gerade, wenn es sich um ein Familienunternehmen handelt – oft miteinander verknüpft. Die Unternehmensnachfolge beschreibt den Prozess des personellen Wechsels in der Unternehmensführung. Dabei können Nachfolger Familienangehörige (sogenannte Familiennachfolge) oder Familienfremde (sogenannter externer Nachfolger) sein. Wird eine Familiennachfolge angestrebt, geht hiermit oftmals auch die übrige Vermögensnachfolge einher, die in einem Testament geregelt sein sollte. Übernimmt ein externer Nachfolger das Unternehmen, wird zunächst eine Unternehmensbewertung vorgenommen. Ist der Unternehmenswert für beide Parteien zufriedenstellend, kommt es zum Kauf, also zur Übergabe des Familienunternehmens.

Soll das Unternehmen verkauft werden, ist der Unternehmenswert zentraler Verhandlungspunkt zwischen Inhaber und potenziellem Käufer. Um auf einen Nenner zu kommen, einigen sich beide Parteien auf ein Verfahren zur Unternehmensbewertung und lassen die Firma dann von einem Gutachter bewerten. Stimmt das Ergebnis für beide Parteien, kommt es zum Kauf. Der Wert eines Unternehmens setzt sich aus verschiedenen Aspekten zusammen: Ertragskraft, Branche, Mitarbeiterzahl, Standorte etc.

Verantwortlicher ist, wer über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortliche können natürliche und juristische Personen, Behörden, Einrichtungen und andere Stellen sein. Verarbeitet ein Unternehmen also beispielsweise Kundendaten, ist das Unternehmen selbst (nicht die Geschäftsführung oder Mitarbeiter) der Verantwortliche.

Unternehmen mit mehr als 250 Mitarbeitern sind dazu verpflichtet, den Prozess der Verarbeitung von personenbezogenen Daten in einem Verzeichnis zu dokumentieren. Dies ist ein Bestandteil der Datenschutzorganisation und eng mit dem Berechtigungskonzept innerhalb eines Unternehmens verbunden. Die zuständige Datenschutz-Aufsichtsbehörde kann zu jedem Zeitpunkt Einsicht verlangen und die Verarbeitungstätigkeiten überprüfen.

Unternehmen oder Einrichtungen haben laut DSGVO die Pflicht, ein sogenanntes Verarbeitungsverzeichnis zu führen, in dem sie alle Prozesse mit denen personenbezogene Daten verarbeitet werden, aufzeigen. Dies geschieht durch die Auflistung aller Verarbeitungstätigkeiten, -systeme und -verfahren und ist Bestandteil einer gut aufgestellten Datenschutzorganisation. Ausnahmen von dieser Pflicht gibt es unter weiteren Voraussetzungen nur für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern.

Alle materiellen und immateriellen Sachen und Rechte fallen in das Vermögen des Erblassers. Davon ausgeschlossen sind jedoch höchstpersönliche Rechte wie etwa Nießbrauch, Vereinsmitgliedschaften, Unterhaltsansprüche etc. Wurde die Vermögensnachfolge von dem Erblasser zu Lebzeiten nicht geregelt, greift die gesetzliche Erbfolge. Aus dieser ergibt sich eine Rangfolge gesetzlicher Erben. Sofern eine davon abweichende Regelung der Vermögensnachfolge gewünscht ist, kann diese durch ein Testament oder durch einen Erbvertrag erreicht werden. Dagegen greift man zu einem Vermächtnis, das im Rahmen eines Testaments angeordnet wird, um einer bestimmten Person einzelne Vermögenswerte zukommen zu lassen, ohne sie als Erben zu bestimmen.

Zum Schutz von Daten sind diese oftmals verschlüsselt. Dies funktioniert folgendermaßen: Ein sogenannter „Klartext“ wird in einen „Geheimtext“ umgewandelt. Eine zweite Person kann den „Geheimtext“ wiederum transformieren, indem sie den geeigneten Schlüssel verwendet. Eine Datenverschlüsselung wendet man häufig bei der Übermittlung von Nachrichten an, wenn sie vertrauliche Inhalte enthalten. Mit dem richtigen Schlüssel kann der Empfänger die Nachricht dann lesen. Dass personenbezogene Daten ausschließlich verschlüsselt übermittelt werden dürfen, besagt die DSGVO nicht ausdrücklich, es ist jedoch eine technische Sicherungsmaßnahme, die in der Regel für einen angemessenen Schutz eingesetzt werden muss. Zweck ist es, dass unbefugte Dritte auf dem Weg der Übermittlung keine Klardaten abgreifen können.

Wird nur ein Teil der pflichtteilsberechtigten Erben (Miterben) durch den Erblasser zu testamentarischen Erben bestimmt, können die übrigen (sog. weichenden) Miterben anstelle eines Anteils am Erbe einen Anspruch auf Abfindung in Geld gegen den Erben erhalten. Besondere Rolle spiel das bei Unternehmen im Nachlass. Für die Höhe der Abfindung ist dann der Wert des Unternehmens im Zeitpunkt des Erbfalls abzüglich Nachlassverbindlichkeiten von Bedeutung.

Jeder Betroffene, der in der Vergangenheit in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, kann diese Zustimmung mittels Widerrufs zurückziehen und auf die Löschung seiner Daten bestehen. Weder an die Form noch an den Inhalt eines solchen Widerrufs sind dabei besondere Voraussetzungen gestellt. Es muss nur erkennbar sein, dass der Betroffene mit der Verwendung in Zukunft nicht mehr einverstanden ist. Gibt es keine andere Rechtsgrundlage, die die Verarbeitung der personenbezogenen Daten rechtfertigt, sind die Daten unverzüglich zu löschen.

Verarbeitet der Verantwortliche die Daten aufgrund eines berechtigten Interesses oder eines öffentlichen Interesses, kann der Betroffene dieser Verarbeitung widersprechen. Dieser Widerspruch ist grundsätzlich von dem Betroffenen zu begründen. Der Verantwortliche darf trotz Widerspruch die Daten weiterverarbeiten, wenn seine zwingenden schutzwürdigen Gründe die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ohne Begründung und weitere Prüfung dürfen personenbezogene Daten nach einem Widerspruch aber nicht weiter verarbeitet werden, um Direktwerbung zu betreiben.

Da personenbezogene Daten zu einem sensiblen Thema geworden sind und bei der Datenverarbeitung ein sicherer und vertrauensvoller Umgang wichtig ist, können sich Unternehmen für einen besonders guten Datenverarbeitungsprozess mit einem Gütesiegel auszeichnen lassen und diese Zertifizierung als Aushängeschild nach außen hin nutzen, so dass Kunden leichter Vertrauen fassen. Dazu werden der Datenschutz und die Datensicherheit im Unternehmen gemäß strengen Vorgaben geprüft.