Datenschutz/ Definitionen und Begrifflichkeiten

Aus Wikibooks
Zur Navigation springen Zur Suche springen

Amtliche Definitionen der DS-GVO[Bearbeiten]

Die Datenschutz-Grundverordnung definiert zunächst einige Begriffe. Diese weichen wie häufig in Gesetzen von Umgangs- und anderen Fachsprachen ab.

Personenbezogene Daten[Bearbeiten]

Definition (Artikel 4 Nummer 1 DS-GVO)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verständnisfrage: Handelt es sich beim Twitter-Handle @JanAlbrecht um ein personenbezogenes Datum?

Ja. Es handelt sich um eine Online-Kennung, welche direkt Jan Philipp Albrecht - eine natürliche Person - eindeutig identifiziert.

Verständnisfrage: Handelt es sich beim Twitter-Handle @CNIL_en um ein personenbezogenes Datum?

Nein. Zwar handelt es sich um eine Online-Kennung, welche die Französische Datenschschutzbehörde direkt identifiziert; jedoch handelt es sich um eine juristische Person - diese ist von der Definition nicht umfasst.

Vertiefung

Personenbezogene Daten

Aufgaben

Personenbezogene Daten

Verarbeitung[Bearbeiten]

Definition (Artikel 4 Nummer 2 DS-GVO)

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verständnisfrage: Handelt es sich um einen Verarbeitungsvorgang, wenn der Name einer Bewerberin in eine Suchmaschine eingeben wird?

Ja. Einerseits wird der Name der Person an die Suchmaschine (einen Dritten) übermittelt, andererseits wird der Name der Bewerberin sicher begründet in die Suchmaschine eingegeben, nämlich um weitere Informationen, welche nicht in der Bewerbung angegeben wurden, zu erheben oder angegebene Daten abzugleichen.

Vertiefung

Verarbeitung

Aufgaben

Verarbeitung

Einschränkung der Verarbeitung[Bearbeiten]

Definition (Artikel 4 Nummer 3 DS-GVO)

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken

Profiling[Bearbeiten]

Definition (Artikel 4 Nummer 4 DS-GVO)

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Vertiefung

Profiling

Aufgaben

Profiling

Pseudonymisierung[Bearbeiten]

Definition (Artikel 4 Nummer 5 DS-GVO)

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Vertiefung

Pseudonymisierung

Aufgaben

Pseudonymisierung

Dateisystem[Bearbeiten]

Definition (Artikel 4 Nummer 6 DS-GVO)

Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Vertiefung

Dateisystem

Aufgaben

Dateisystem

Verantwortlicher[Bearbeiten]

Definition (Artikel 4 Nummer 7 DS-GVO)

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Vertiefung

Verantwortlicher

Aufgaben

Verantwortlicher

Auftragsverarbeiter[Bearbeiten]

Definition (Artikel 4 Nummer 8 DS-GVO)

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Vertiefung

Auftragsverarbeiter

Aufgaben

Auftragsverarbeiter


Empfänger[Bearbeiten]

Definition (Artikel 4 Nummer 9 DS-GVO)

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

Vertiefung

Empfänger

Aufgaben

Empfänger

Dritter[Bearbeiten]

Definition (Artikel 4 Nummer 10 DS-GVO)

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Vertiefung

Dritter

Aufgaben

Dritter

Einwilligung[Bearbeiten]

Definition (Artikel 4 Nummer 11 DS-GVO)

Einwilligung ist der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Vertiefung

Einwilligung

Aufgaben

Einwilligung

Verletzung des Schutzes personenbezogener Daten[Bearbeiten]

Definition (Artikel 4 Nummer 12 DS-GVO)

Verletzung des Schutzes personenbezogener Datenist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

genetische Daten[Bearbeiten]

Definition (Artikel 4 Nummer 13 DS-GVO)

Genetische Daten sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Vertiefung

genetische Daten

Aufgaben

genetische Daten

biometrische Daten[Bearbeiten]

Definition (Artikel 4 Nummer 14 DS-GVO)

Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Vertiefung

biometrische Daten

Aufgaben

biometrische Daten

Gesundheitsdaten[Bearbeiten]

Definition (Artikel 4 Nummer 15 DS-GVO)

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Vertiefung

Gesundheitsdaten

Aufgaben

Gesundheitsdaten

Hauptniederlassung[Bearbeiten]

Definition (Artikel 4 Nummer 16 DS-GVO)

Hauptniederlassung ist

  1. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung
  2. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.

Vertiefung

Hauptniederlassung

Aufgaben

Hauptniederlassung

Vertreter[Bearbeiten]

Definition (Artikel 4 Nummer 17 DS-GVO)

Vertreter ist eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.

Vertiefung

Vertreter

Aufgaben

Vertreter

Unternehmen[Bearbeiten]

Definition (Artikel 4 Nummer 18 DS-GVO)

Unternehmen ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.

Vertiefung

Unternehmen

Aufgaben

Unternehmen

Unternehmensgruppe[Bearbeiten]

Definition (Artikel 4 Nummer 19 DS-GVO)

Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

Vertiefung

Unternehmensgruppe

Aufgaben

Unternehmensgruppe

verbindliche interne Datenschutzvorschriften[Bearbeiten]

Definition (Artikel 4 Nummer 20 DS-GVO)

Verbindliche interne Datenschutzvorschriften sind Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.

Aufsichtsbehörde[Bearbeiten]

Definition (Artikel 4 Nummer 21 DS-GVO)

Aufsichtsbehörde ist eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle.

Vertiefung

Aufsichtsbehörde

Aufgaben

Aufsichtsbehörde

betroffene Aufsichtsbehörde[Bearbeiten]

Definition (Artikel 4 Nummer 22 DS-GVO)

Betroffene Aufsichtsbehörde ist eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil

  1. der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
  2. diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
  3. eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.

grenzüberschreitende Verarbeitung[Bearbeiten]

Definition (Artikel 4 Nummer 23 DS-GVO)

Grenzüberschreitende Verarbeitung ist entweder

  1. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
  2. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.


maßgeblicher und begründeter Einspruch[Bearbeiten]

Definition (Artikel 4 Nummer 23 DS-GVO)

Maßgeblicher und begründeter Einspruch ist ein Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen.

Dienst der Informationsgesellschaft[Bearbeiten]

Definition (Artikel 4 Nummer 23 DS-GVO)

Maßgeblicher und begründeter Einspruch ist ein Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen.

internationale Organisation[Bearbeiten]

Definition (Artikel 4 Nummer 23 DS-GVO)

Internationale Organisation ist eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

Andere Begriffe der DS-GVO[Bearbeiten]

besondere Kategorien personenbezogener Daten[Bearbeiten]

strafrechtliche Verurteilungen[Bearbeiten]

Beschäftigte[Bearbeiten]

Altinhalt, noch nicht verschoben[Bearbeiten]

Immaterielle Werte[Bearbeiten]

Daten und Informationen sind immaterielle Werte, ebenso wie etwa auch Software an sich kein Gegenstand ist. Der Schutz solcher immaterieller Werte ist besonders schwer umsetzbar, weil unsere Gesellschaft nur wenig Unrechtsbewusstsein besitzt im Bezug auf nicht Greifbares. "Die Software kopier ich mir einmal schnell", ist ebenso schnell gesagt wie getan. Die kriminelle Aktivität des Diebstahls ist für den Täter nur schwer nachvollziehbar. Ebenso schwierig ist es im gerichtlichen Verfahren, mit solchen Delikten umzugehen, was sich in der Strafverfolgung und teilweise widersprüchlichen Urteilen ablesen lässt.


Verbraucher und Datenverarbeiter[Bearbeiten]

Datenschutz betrifft grundsätzlich zwei Seiten der Gesellschaft: zum einen den Endverbraucher, zum anderen diejenige Stelle, die personenbezogene Daten verarbeitet. Das erste Datenschutzgesetz trat bereits 1974 in Kraft, seit 2001 wird an der von vielen Seiten geforderten Novellierung gearbeitet. Die aktuelle Fassung des BDSG umfasst drei Novellen, die zum 01.09.2009 bzw. 01.04.2010 in Kraft getreten sind. Derzeit wird an einem Entwurf für ein separates Beschäftigten-Datenschutzgesetz gearbeitet.

Definition "Datenschutz"[Bearbeiten]

"Datenschutz" meint grundsätzlich den Schutz personenbezogener Daten, also Informationen über eine bestimmte natürliche oder bestimmbare Person. Einzubeziehen sind dabei alle Daten, die nicht öffentlich verfügbar sind, z.B. in einem Telefonbuch. Zu schützen sind darüber hinaus personenbezogene Daten nur dann, wenn sie automatisiert verarbeitet werden. Automatisiert umfasst neben der elektronischen Verwendung durch EDV-Anwendungen auch die Abwicklung über mechanische Automatisierung, wie sie unter anderem in einem Karteikartensystem vorliegt.


Wirkungskreis "Datenschutz"[Bearbeiten]

In der Praxis wie in der Gesetzgebung ist Datenschutz weitaus mehr als das Wegsperren von Daten. Er erfordert in seiner praktischen Umsetzung die gleichberechtigte Berücksichtigung organisatorischer, technischer und wirtschaftlicher Aspekte sowohl bei der verarbeitenden Stelle als auch beim Betroffenen. Neben der Datensicherheit im Bezug auf die EDV gehören beispielsweise ebenso Faktoren wie Rechtssicherheit, Personalsensibilität, Wertschöpfung und Ressourcenerhalt zu einem guten Datenschutzkonzept.


Datensicherheit[Bearbeiten]

Nach Dierstein [ Dierstein, Rüdiger, Duale Sicherheit - IT-Sicherheit und ihre Besonderheiten, in: Müller, G.; Pfitzmann, A (Hrsg.) - Mehrseitige Sicherheit in der Kommunikationstechnik (Kolleg der Gottlieb Daimler und Karl Benz Stiftung), Verlag Addison-Wesley-Longman, Bonn - Reading (Mass.) 1997, p. 31-60, ISBN 3-8273-1116-0] geht es sowohl um die Sicherheit des Systems als auch die vor dem System. So nützt ein Virenscanner nichts, wenn dieser nicht in sinnvollen Abständen aktualisiert wird; auch ein Vermerk "Vertraulich" auf einem Dokument hat wenig Auswirkung, wenn sich die Mitarbeiter in der Kantine über eben jene schützenswerten Dokumente unterhalten, wo viele mithören können. Trotzdem geht die Datensicherheit im Sinne der IT-Security nicht unter. Der § 9 Bundesdatenschutzgesetz (BDSG) samt Anlage regelt diesen Schutzbereich sogar recht ausführlich.

Datennutzung und die Verpflichtung zum Datenschutz[Bearbeiten]

Datenschutz greift bei der "Erhebung, Verarbeitung und Nutzung personenbezogener Daten" durch öffentliche und nicht öffentliche Stellen, die solche Informationen nicht zu rein privaten Zwecken nutzen (vgl. § 1 Abs. 2 BDSG). Zur Umsetzung von nachhaltigen Maßnahmen zum Schutz von Personendaten sind in Folge daher auch Vereine und Verbände, Heilbehandlungseinrichtungen, religiöse und künstlerische Vereinigungen, die Medien und alle weiteren denkbaren Institutionen verpflichtet.

Versäumnisse, Verstöße sowie der Missbrauch personenbezogener Daten im Rahmen der geltenden rechtlichen Vorschriften kann neben Bußgeldern in Höhe von bis zu 300.000 Euro auch ein Verfahren nach dem Strafgesetzbuch (StGB) anhängig werden (vgl. §§ 43, 44 BDSG i.V.m. z.B. § 203 StGB). Neu ist ein Zusatz im BDSG, der die Höhe des Bußgeldes im Grund aufhebt: "Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden" (§ 43 Absatz 3 Satz 2 BDSG).

Die Verwendung schützenswerter Daten im Ausland ist zusätzlich geregelt.