Anhang I: Glossar zu Datenschutz und Datensicherheit[Bearbeiten]

Datenschutz und Datensicherheit sind weitläufige Themengebiete. Zur leichteren Orientierung hier ein kleiner Streifzug durch wichtige Begriffe. Die Liste wird fortlaufend ergänzt.

A[Bearbeiten]

AGG

Das Allgemeine Gleichbehandlungsgesetz (AGG) ist seit August 2006 in Kraft und betrifft in einigen Bereichen auch den betrieblichen Datenschutz. Die Einrichtung einer entsprechenden Beschwerdestelle ist vorgeschrieben (§ 13 AGG). Darüber hinaus ist das Gesetz in geeigneter Weise der Belegschaft bekannt zu machen und mit geeigneten Maßnahmen Verstößen vorzubeugen oder solche zu ahnden.

Auftragsdatenverarbeitung

Übernimmt ein außenstehender Dienstleister die Verarbeitung personenbezogener Daten, bezeichnet man dies als Auftragsdatenverarbeitung. Für Personendaten, die im Rahmen einer solchen Geschäftsbeziehung weitergegeben werden, bleibt der Auftraggeber voll verantwortlich. Er hat sicherzustellen, dass die Daten geschützt, nur für den schriftlich vereinbarten Zweck genutzt und nicht anderweitig verwendbar sind.

B[Bearbeiten]

Besondere personenbezogene Daten

In § 3 Absatz 9 sind neben den "normalen" persönlichen Daten zusätzlich Informationen besonderer Art definiert, denen ein ausserordentliches Schutzbedürfnis zugeschrieben wird. Hierzu zählen besonders sensible Daten zu einer Person, wie etwa Rasse und ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeiten, Gesundheitsdaten und Sexualleben.

Bestellung eines Datenschutzbeauftragten

Im nicht-öffentlichen Bereich ist ein DSB zu bestellen, sobald mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben. Zu diesen vier Personen zählen auch Teilzeitkräfte, Aushilfen, Praktikanten und ehrenamtliche Helfer.

Bedenkt man, dass eine automatisierte Verarbeitung bereits eine gemeinsame Adressdatei auf dem Computer sein kann, bedeuted dies für viele kleinere Betriebe, Vereine und weitere Institutionen, dass sie längst einen DSB schriftlich bestellt haben müssen. Die Bestellung hat schriftlich zu erfolgen.

Bundesdatenschutzgesetz (BDSG)

Das BDSG regelt die automatisierte Verarbeitung personenbezogener Daten für die Bundesverwaltung, die Privatwirtschaft und für öffentliche Stellen, die am Wettbewerb teilnehmen. Es ist also zuständig für den automatisierten Umgang mit personenbezogenen Daten außerhalb der rein privaten Nutzung. Neben Rechten und Pflichten sind dort auch die Aufsichtszuständigkeiten, Strafen bei Missachtung der Vorschriften sowie die Unterschiede für den Öffentlichen Dienst und privatwirtschaftliche Einrichtungen und Unternehmen enthalten. Europaweit gilt die Richtlinie 95/46/EG, die das Datenschutzrecht in der EU vereinheitlicht.

D[Bearbeiten]

Datenschutz

Zum Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) ist jedes Unternehmen, jede Behörde, jede Institution, jeder Verein und jegliche andere Stelle, bei der mit Personendaten gearbeitet wird, gesetzlich verpflichtet. Datenschutz meint dabei sowohl den Schutz der persönlichen Privatsphäre und Selbstentfaltung jedes Menschen, als auch den technischen und organisatorischen Schutz digitaler oder karteiähnlich verfügbarer Informationen über natürliche Personen. Für den Verbraucher im Alltag geht es bei Datenschutz vor allem darum, nicht durch unkontrollierte "Sammelwut" seiner personenbezogenen Daten durchschaubar, also zum "gläsernen Menschen", zu werden.

Datenschutzbeauftragter (DSB)

Der DSB muss Fachkunde und Zuverlässigkeit besitzen, um die Qualität seiner Arbeit sicherstellen zu können. Sollten Sie einen DSB bestellen wollen, lassen Sie sich vorher zumindest seine Fachkunde und seine Praxiserfahrung nachweisen. In der Regel reicht hierfür ein nur wenige Tage umfassender Kurs kaum aus, um in der Praxis die angestrebte Rechtsicherheit zu erreichen.

Datensicherheit - "Schutz der Daten"

Ein effektives Datenschutzkonzept sollte nach dem Prinzip der "Dualen Sicherheit" aufgebaut sein: Der Schutz im automatisierten System (z.&Bnbsp;. ein Computer, ein Netzwerk) reicht nicht aus. Ebenso wichtig ist der Umgang mit den Daten außerhalb des digitalen Systems (z.B. Räumlichkeiten, Mitarbeiter, Müllentsorgung).

Datensparsamkeit

Zum Schutz personenbezogener Daten gehört nach dem Gesetz (§ 3a BDSG) auch das Prinzip der "Datensparsamkeit". Dies bedeutet, dass Informationen zu einer konkreten, natürlichen Person nur in dem Umfang erhoben (beschafft) werden dürfen, die für den Zweck, warum überhaupt Daten erhoben werden, dienen. Daten, die nicht unmittelbar erforderlich sind, dürfen gar nicht erst beschafft werden. Diese generelle Vermeidung von Daten sollte allerdings von der betroffenen Person selbst ebenfalls praktiziert werden: Wo Personendaten erst gar nicht herausgegeben werden, können sie später nicht auf Irrwegen missbraucht werden.

F[Bearbeiten]

Fachkunde

Der fachkundige Datenschutzbeauftragte im Sinne des BDSG benötigt eine breite Palette an Fachwissen: Neben Kenntnissen der betriebswirtschaftlichen und unternehmensökonomischen Abläufe, Prozesse und Regeln muss der DSB vor allem fundierte, praxisbezogene IT-Kenntnisse bezüglich gängiger und innovativer Computersysteme (Hard- und Software, Betriebssysteme, Sicherheitsmaßnahmen, Systemlücken), bezüglich aller gängigen Netzwerktopologien und ihrer spezifischen Eigenschaften, bezüglich der Möglichkeiten, schützenswerte Informationen unberechtigt abzugreifen oder zu modifizieren oder unbewusst zu gefährden, und schließlich bezüglich aller analogen wie digitalen Kommunikationsmedien besitzen und diese ständig auf einem akzeptablen aktuellen Wissensstand halten.

Darüber hinaus benötigt er umfassende Kenntnisse über das BDSG, die Landesdatenschutzgesetze, die europäische Gesetzgebung als Basis aller nationalen Rechtsprechung und zusätzlich mehr als 200 weiteren Gesetzen, Verordnungen, Regelungen und der aktuellen Rechtsprechung, sowie deren Umsetzung in die Praxis im Unternehmen, Verein oder der Behörde. Dieses Wissen ist erst abgerundet durch mehrjährige erfolgreiche Berufserfahrung wirklich als Fachkunde zu bewerten, da gerade die Umsetzung des Datenschutzes - orientiert an den spezifischen Bedürfnissen des einzelnen Kunden - Anwendungsroutine und damit eine souveränes Beratungsniveau erlauben.

Flugdatenübermittlung

USA-Reisende müssen seit einigen Monaten mehr persönliche Daten von sich preisgeben, als auch nur ansatzweise erforderlich wären. Diese Daten werden von den Fluggesellschaften in aller Welt (bis auf wenige Ausnahmen) bei den Flugpassagieren erhoben und müssen an US-Behörden weitergeleitet werden, noch bevor der gebuchte Flug gestartet ist.

H[Bearbeiten]

"Herr der Daten"

Als "Herr der Daten" gilt die Stelle, die personenbezogene Daten erhoben hat. Sie ist verantwortlich für angemessenen Schutz und die ordnungsgemäße zweckgebundene Nutzung dieser Daten. Der "Herr der Daten" trägt diese volle Verantwortung auch, wenn er die Personendaten zur eigenen weiteren geschäftsmäßigen Verarbeitung an einen externen Dienstleister weitergibt. Dies bezeichnet man als "Auftragsdatenverarbeitung".

I[Bearbeiten]

Informationelle Selbstbestimmung

Verankert im Grundgesetz der Bundesrepublik Deutschland, ist es eines der wichtigsten und grundsätzlichsten Rechte, die der Verbraucher haben kann. Hierzu gehört das Recht am eigenen Bild ebenso wie das Recht auf Information, wer wann personenbezogene Daten in welchem Umfang und zu welchem Zweck nutzt. Inbegriffen ist auch ein jederzeitiges Widerspruchsrecht hierfür.

K[Bearbeiten]

Kontrollorgane

Die praktische Umsetzung von Datenschutzmaßnahmen nach dem BDSG werden zunehmend kontrolliert. In Deutschland gilt das Prinzip der Selbstverwaltung, welches jedoch durch Aufsichtsbehörden unterstützt wird. Für die Einhaltung der gesetzlichen Vorgaben sind die behördlichen und betrieblichen Datenschutzbeauftragten zuständig. Übergeordnete Aufsichtsbehörden sind die Landesbeauftragten (LfDs) und der Bundesbeauftragte für den Datenschutz (BfD), in speziellen Bereichen gibt es hierzu Sonderregelungen.

Der BfD ist erreichbar unter: link_extern www.bundesdatenschutzbeauftragter.de. Eine Liste der LfDs finden Sie im Anhang II zu diesem Buch.

O[Bearbeiten]

Outsourcing

Anfallende Aufgaben werden an einen externen Anbieter abgegeben ("Auslagerung"), häufig handelt es sich dabei um Personalverwaltung oder Buchhaltungsaufgaben. Das Datenschutzgesetz unterscheidet hierbei zwei Fälle: Bei der "Auftragsdatenverarbeitung" gilt der externe Dienstleister als "verlängerter Arm" des Auftraggebers, die Verantwortung für den Datenschutz bleibt beim Auftraggeber. Eine Funktionsübertragung findet dann statt, wenn eine Aufgabe komplett und mit allen Verantwortlichkeiten an eine dritte Stelle abgeben wird. In diesem Fall geht auch die Verantwortung für den Schutz der personenbezogenen Daten auf den Auftragnehmer über.

P[Bearbeiten]

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren, natürlichen Person. Personenbezogene Daten sind nach dem BDSG Informationen über einen Menschen, die zum einen den Menschen als solchen betreffen (persönliche Verhältnisse), zum anderen seine Lebensumstände (sachliche Verhältnisse). Ausschließlich diese Daten werden durch das BDSG geschützt.

Privatsphäre

"Ich habe nichts zu verbergen." Irrtum! Der Gesetzgeber selbst hat entschieden, dass jeder Mensch eine schützenswerte Privatsphäre hat und stellt diese sogar unter gesetzlichen Schutz. Ein paar Beispiele: Arztgeheimnis, Postgeheimnis, Beichtgeheimnis und viele weitere...

R[Bearbeiten]

Rechte des Betroffenen

Der Einzelne hat nach dem BDSG klar definierte Rechte, wenn es um seine persönlichen Daten geht. Nach § 19 ist dem Betroffenen auf Antrag Auskunft zu erteilen über alle ihn betreffenden gespeicherten Daten und deren Herkunft, die Empfänger der Daten und der Zweck der Speicherung. Werden Daten ohne Kenntnis des Betroffenen gespeichert, ist er zumindest im Nachhinein darüber zu informieren.

Natürlich sind personenbezogene Daten zu berichtigen, sofern sie nicht zutreffend sind, unberechtigt verwendete Personendaten sind zu löschen - sofern dies technisch nicht zuverlässig möglich sein sollte, zumindest für eine weitere Nutzung zu sperren.

Letztlich hat der Betroffene jederzeit das Recht, der Verwendung seiner persönlichen Daten zu widersprechen - ohne Angabe von Gründen.

U[Bearbeiten]

Übermittlung personenbezogener Daten

Grundsätzlich geschieht eine Übermittlung von Daten geschieht nach dem BDSG immer dann, wenn eine Stelle personenbezogene Informationen an Dritte weitergibt oder zum Abruf verfügbar macht. Die Form der Weitergabe - also mündlich, schriftlich, per E-Mail, Fax oder Datenträger - spielt hierbei keine Rolle. Auch die Veröffentlichung von Personendaten, zum Beispiel im Internet, Leistungstabellen oder kirchlichen Nachrichten und in Aushängen, gilt als Übermittlung. Keine Datenübermittlung findet statt, wenn die personenbezogenen Daten im Rahmen einer Datenverarbeitung im Auftrag weitergegeben werden ("Auftragsdatenverarbeitung").

V[Bearbeiten]

Verantwortliche Stelle

Als verantwortliche Stelle bezeichnete man ursprünglich die Stelle, die Daten über eine Person zu eigenen Geschäftszwecken speichert. Sie wird in der Praxis auch als "Herr der Daten" bezeichnet. Allerdings wurde der Begriff mit der Novellierung des BDSG 2001 neu belegt, da auch Normadressaten, die eine Erhebung von Personendaten durchführen, auch schon in die Verantwortung für einen sorgsamen Umgang mit solch sensiblen Daten genommen werden sollen.

Verwendung personenbezogener Daten

Das BDSG unterscheidet einige Formen der Datenverwendung: Erhebung, Verarbeitung, Speicherung, Veränderung, Nutzung und Übermittlung.

Erhebung ist die Beschaffung personenbezogener Daten, diese hat in der Regel beim Betroffenen selbst zu erfolgen. Ist dies nicht möglich, ist er zumindest im Nachhinein zu informieren. Werden personenbezogene Daten von einer nicht-öffentlichen Stelle erhoben, so ist auch diese auf die Freiwilligkeit ihrer Angaben hinzuweisen.

Generell ist jegliche Verwendung nur zur Erfüllung einer konkreten Aufgabe bzw. nur für den Zweck, für den Personendaten erhoben wurden, zulässig. Auch hier muss üblicher Weise der Betroffene zugestimmt haben - mit wenigen Ausnahmen.

W[Bearbeiten]

Widerspruchsrecht

Der Betroffene kann jederzeit einer einmal gegebenen Einwilligung zur Nutzung seiner personenbezogenen Daten widersprechen, auch wenn die Daten ohne seine Einwilligung verwendet wurden. Ausnahme: Fälle, in denen die Daten aus gesetzlichen Gründen erforderlich sind, wie etwa in Strafverfolgungsangelegenheiten.

Whistleblowing

Der aus dem Amerikanischen eingeführte Begriff bezeichnet das Melden von innerbetrieblichen Verstößen gegen geltende Richtlinien, Arbeitsanweisungen und Betriebsvereinbarungen durch Kollegen. Es gilt als besonders heikles Thema im betrieblichen Datenschutz, da die Privatsphäre sowohl des beschuldigten Mitarbeiters als auch des meldenden Mitarbeiters - und darüber hinaus auch außenstehende Dritte angemessen zu schützen ist bei gleichzeitiger Vertretung der Betriebsinteressen.

Z[Bearbeiten]

Zweckbindung

Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt, so hat dies ausschließlich auf Grund einer klaren, vorher benannten Verwendung - dem Zweck - zu geschehen. Dieser Zweck muss der betroffenen Person mitgeteilt werden. Sollen diese Daten für einen weiteren Zweck genutzt werden, ist eine erneute Einwilligung der betroffenen Person einzuholen.

Merker: weitere Begriffe, die noch definiert werden müssen: Vorabkontrolle, Verfahrensverzeichnis, Ulmer Modell, GSHB u.v.w.