Glossar
Begriffe aus dem Datenschutz für Sie kurz erklärt
1001 Begriffe aus dem Datenschutz finden Sie hier (noch) nicht, aber wir erläutern Ihnen kurz die Basisbegriffe, die Ihnen auf der Reise durch die Datenschutzwelt begegnen werden.
1001 Begriffe aus dem Datenschutz finden Sie hier (noch) nicht, aber wir erläutern Ihnen kurz die Basisbegriffe, die Ihnen auf der Reise durch die Datenschutzwelt begegnen werden.
Eine Arbeitsanweisung ist ein individuelles Dokument einer Organisation. Sie enthält konkrete Anleitungen dazu, wie Beschäftigte personenbezogenen Daten verarbeiten dürfen. Eine Arbeitsanweisung bezieht sich in der Regel auf einen bestimmten Umgang mit personenbezogenen Daten in einem bestimmten Arbeitsprozess.
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Bei einem Audit wird z. B. die Umsetzung einer Maßnahme oder eines Prozess überprüft. Wenn eine Vorgabe / ein Prozess nicht eingehalten wird oder eine Maßnahme nicht wirksam ist, macht ein Audit dies deutlich. Nun können gezielte Maßnahmen ergriffen werden, die die aufgezeigten Differenzen abmildern oder Lücken schießen können.
„Aufsichtsbehörde“ ist eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
„Betroffene Aufsichtsbehörde“ ist eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Beschäftigte im Sinne des Bundesdatenschutzgesetzes (§ 26 Abs. 8 BDSG) sind:
Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
„Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für den festgelegten Zweck erforderlich und angemessen sind. Sie müssen auf ein notwendiges Maß beschränkt sein.
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikoabschätzung bezüglich vorgesehener Verarbeitungsvorgänge mit einem hohen Risiko. Die Durchführung einer DSFA ist verpflichtend.
Es ist eine Risikobewertung vorzunehmen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere des hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Die Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.
Siehe Art. 35 DSGVO und Erwägungsgründe 84, 89, 90, 91, 92
Eine Datenschutz-Leitlinie ist ein individuelles Dokument einer Organisation. Sie enthält allgemeingültige Aussagen und Regelungen zur Umsetzung des Datenschutzes in einer Organisation bzw. im Unternehmen.
Eine Datenschutz-Richtlinie ist ein individuelles Dokument einer Organisation. Sie enthält Vorgaben dazu, wie die Beschäftigten einer Organisation den Datenschutz umsetzen und einhalten können.
Auch gerne Datenschutzerklärung genannt, dienen die Hinweise zum Datenschutz der Erfüllung von Informationspflichten und der Transparenz einer Verarbeitung. Betroffene Personen sollen sich ein Bild über die Verabeitung ihrer personenbezogenen Daten machen können. Die Bereitstellung von Informationen zur Verarbeitung ist eine Pflicht des Verantwortlichen.
„Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Länder außerhalb der EU/des EWR werden in der DSGVO als „Drittländer“ bezeichnet. Die DSGVO sieht für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU/des EWR besondere Regelungen vor. Diese Regelungen finden sich in den Artikeln 44-49 der DSGVO.
EU-Länder
EWR-Lander Island, Liechtenstein, Norwegen
Andere nicht EU oder EWR Länder sind gemäß der DSGVO als "Drittland" zu bezeichnen. Konkrete Beispiele sind die Schweiz, die USA, China, Russland oder seit dem Brexit auch Großbritannien.
Die Datenschutzkonferenz (DSK ) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.
„Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
„Einwilligung“ der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
„Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Systematischer Einsatz einer Methode, die dazu dient, die Erreichung eines vorab festgelegten Ziels einer Intervention (z. B. Ihre ergriffenen Maßnahmen zum Datenschutz) nach deren Durchführung zu überprüfen.
Der Europäische Wirtschaftsraum ist als Wirtschaftsraum eine vertiefte Freihandelszone zwischen der Europäischen Union und drei Ländern der Europäischen Freihandelsassoziation (EFTA).
Eine gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen (Artikel 26 Abs. 1 S. 1 DSGVO). Diese ist stets im Rahmen einer geschäftlichen Zusammenarbeit zu prüfen. Die gemeinsame Verantwortlichkeit ist abzugrenzen von der Aufragsverarbeitung (z. B Newsletter-Dienst) und einer eigenverantwortlichen Leistung des Vertragspartners (z. B. Rechtsanwalt, Steuerberatung).
Beispiele für eine gemeinsame Verantwortlichkeit: Joint-Venture, Entwickeln und Betreiben einer gemeinsamen Vertriebsplattform, gemeinsame Verwaltung zum Beispiel von „Stammdaten“ für bestimmte gleichlaufende Geschäftszwecke im Konzern, Social Media: Facebook-Fanpage
„Genetische Daten“ sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
„Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
„Grenzüberschreitende Verarbeitung“ ist entweder 1. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder 2. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.
Die CHARTA DER GRUNDRECHTE DER EUROPÄISCHEN UNION definiert in klarer und übersichtlicher Form die Rechte und Freiheiten der Menschen, die in der Europäischen Union leben. Für eine Interessenabwägung sind u.a. die Artikel 7, 8 und 11 der EU-Grundrechtecharta zu berücksichtigen. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:12012P/TXT
„Hauptniederlassung“ meint 1. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; 2. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.
Implementierungskosten sind in der DSGVO die Aufwände, welche für die Einrichtung von Datenschutzmaßnahmen erforderlich sind. Sie sind als Begrenzungsfaktior im Rahmen der Abwägung der Angemessenheit von Maßnahmen nach nach Art. 25 und 32 DSGVO zu berücksichtigen.
Bei einer datenschutzrechtlichen Interessenabwägung werden die Grundrechte und/oder Grundfreiheiten des Betroffenen mit dem berechtigten Interesse des Verantwortlichen gegeneinander abgewogen.
Stillschweigende Willenserklärung/Zustimmung durch ein schlüssiges Verhalten.
Erfolgt bei der Übertragung von Informationen innerhalb der Übertragungskette ein Wechsel des Mediums, so wird von einem Medienbruch gesprochen. Beispiel: Hinweis-Link zum Datenschutz auf einem Formular, einer Einladung → dieser führt auf die passende Stelle auf der Website
Beheben von Software-Fehlern und Verbesserungen in Software-Versionen durch das Einspielen von Programmen.
Eingehende Überprüfung der IT-Infrastruktur, Netzwerkstruktur oder einzelner Rechner auf mögliche Schwachstellen, welche durch Cyberkriminelle ausgenutzt werden könnten. Pentests werden in der Regel von IT-Fachleuten durchgeführt.
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
„Profiling“ meint jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
„Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Mit einer Rechtsgrundlage legitimieren Sie ein bestimmtes Handeln, in diesem Fall eine bestimmte Datenverarbeitung.
Eine Risikoanalyse dient der Bewertung und Beurteilung eines Risikos. Zuvor müssen die Risiken definiert sein. Die Risikoanalyse ist ein Teil des Risikomanagements.
Unter Schutzzielen versteht man im Allgemeinen Anforderungen an eine Verarbeitung, die der Sicherheit und dem Schutz der Verarbeitung dienen und erfüllt werden müssen.
Eine Schwellwertanalyse ist eine erste Risikoanalyse. Sie dient einer Bewertung und Beurteilung, ob eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen innehat und aufgrund dessen eine DSFA zu erfolgen hat.
Das Standard-Datenschutzmodell (SDM) ist eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele.
Der Begriff „sensible Daten“ ist kein bestimmter Begriff aus der DSGVO und kommt auch im BDSG nicht mehr vor. Er ist ein Sammelbegriff für Daten mit einem bestimmten Sensibilitätswert. Die „Sensibiliät“ von personenbezogenen Daten ergibt sich aus dem Kontext, nicht aus einer bestimmten Datenkategorie. Sie umfassen i. d. R. die Daten, die eine persönliche oder sachliche Aussage über eine Person treffen. Allgemein üblich sind u. a. folgende Daten gemeint: Telefonnummer, Geburtsdatum, Matrikelnummer, Personalausweisnummer, Sozialversicherungsnummer, Steueridentifikationsnummer, Gehaltsdaten, Kontodaten. Aber auch andere Kategorien wie Gesundheitsdaten, Artikel-9-Daten, Daten zur strafrechtlichen Verurteilungen und Straftaten gem. Art.10 DSGVO werden sensible Daten genannt.
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 DSGVO darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
„Unternehmen“ meint eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.
„Unternehmensgruppe“ meint eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
„Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
„Verbindliche interne Datenschutzvorschriften“ sind Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.
„Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Dies ist eine organisatorische Maßnahme, um den Beschäftigten bei Aufnahme des Arbeitsverhältnisses ihre Pflichten auf Einhaltung des Datenschutzes zu verdeutlichen und sie hierauf zu verpflichten. Dies wird durch Erklärung des Arbeitsgebers gegenüber den neuen Beschäftigten vorgenommen.
Die Verpflichtung sollte bei der Aufnahme der Tätigkeit erfolgen (erster Arbeitstag).
„Vertreter“ ist eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 DSGVO bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
die Zwecke der Verarbeitung;
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen grundsätzlich nicht zu anderen Zwecken verarbeitet werden. Eine Weiterverarbeitung zu anderen Zwecken ist nur in Ausnahmefällen möglich.