Glossar Datenschutz

Begriff

 

Erläuterung

Anonymisierung

 

Anonymisierung ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (§ 3 Abs. 6 BDSG).

 

Arbeitnehmerdatenschutz

 

Unter dem Begriff „Arbeitnehmerdatenschutz“ wird die Gesamtheit aller datenschutzrechtlichen Regelungen, die ein Dienst- oder Arbeitsverhältnis betreffen verstanden.

 

Auftragsdatenverarbeitung

 

Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten durch eine andere verantwortliche Stelle im Auftrag erhoben, verarbeitet oder genutzt werden (§ 11 BDSG).

 

Die andere Stelle muss dabei den Weisungen des Auftraggebers unterworfen sein und darf keine eigene Entscheidungsbefugnis darüber besitzen, wie sie mit den Daten umgeht (Gegensatz zur sog. Funktionsübertragung).

 

Auftragskontrolle

Maßnahmen zur Gewährleistung, dass im Auftrag verarbeitete personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Anlage zu § 9 BDSG Nr. 6).

 

Auskunftei

 

Privatrechtlich organisiertes Unternehmen mit dem Zweck, wirtschaftlich relevante Daten, wie z. B. Informationen über Kreditwürdigkeit und Zahlungsfähigkeit von Privaten oder Unternehmen, zu sammeln und an anfragende Unternehmen oder sonstige Dritte weiterzugeben.

 

Regelungen finden sich in §§ 28a, 29 BDSG.

 

Automatisierte Einzelentscheidung

 

Es ist grundsätzlich verboten Entscheidungen, die für den Betroffenen eine rechtliche Folge gleich welcher Art nach sich ziehen oder ihn in der Entscheidung erheblich beeinträchtigen, ausschließlich auf eine automatisierte Verarbeitung oder Nutzung personenbezogener Daten zu stützen (§ 6a BDSG).

 

Z. B. Scoring-Verfahren der Kreditwirtschaft sind in der Regel automatisierte Einzelentscheidungen.

 

Automatisierte Verarbeitung

 

Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (§ 3 Abs. 2 BDSG).

 

Automatisiertes Abrufverfahren

Verfahren, mit welchem automatisiert der Abruf von Daten und so deren Übermittlung ermöglicht wird (vgl. § 10 BDSG).

 

Besondere Arten personenbezogener Daten

 

Besonders sensible Arten von personenbezogenen Daten, die in § 3 Abs. 9 BDSG aufgelistet sind. Darunter fallen alle Angaben und Daten über:

 

           rassische oder ethnische Herkunft

           politische Meinungen

           religiöse oder philosophische Überzeugungen

           Gewerkschaftszugehörigkeit

           Gesundheit

           Sexualleben

 

 

Bestandsdaten

Personenbezogene Daten, welche für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen einem Nutzer und dem Diensteanbieter über die Nutzung von Telemediendiensten erforderlich sind (§ 14 Abs. 1 TMG).

 

Betroffener

 

Zentraler Begriff des Datenschutzrechtes. Betroffener ist die bestimmte oder bestimmbare Person, über die Daten vorliegen (§ 3 Abs. 1 BDSG).

 

Binding Corporate Rules (BCR)

 

Verbindliche Unternehmensregelungen, durch die ausreichende Garantien für Datentransfers in Drittländer hergestellt werden sollen, in denen ein angemessenes Datenschutzniveau nicht sichergestellt ist.

 

Codes of Conduct

 

Wohlverhaltenserklärungen, insbesondere in Großunternehmen, Datenschutzvorschriften und entsprechende Verträge einzuhalten.

 

Data Mining

 

Unter dem Begriff des „Data Mining“ (mining (engl.) = Bergbau) werden verschiedene Techniken verstanden, mit denen sich aus umfangreichen, sehr detaillierten und verteilten Datenbeständen bislang unerkannte Informationen und Zusammenhänge zwischen den einzelnen Daten extrahieren lassen (bspw. Erstellung von Kundenprofilen aus vorhandenen Bestell-, Adress-, Zahlungs- oder Reklamationsdateien).

 

Data Warehouse (auch: Datenlager)

System zur zentralen Sammlung von Daten in einem Unternehmen oder einer sonstigen Organisation mit dem Ziel der Informationsintegration.

 

Datenerhebung

 

Datenerhebung ist das Beschaffen von Daten über den Betroffenen (§ 3 Abs. 3 BDSG).

 

Datenexport

 

Transfer von Daten ins Ausland.

 

Datenimport

 

Transfer von Daten ins Inland.

 

Datenlöschung

 

Datenlöschung ist die endgültige, nicht mehr rückgängig zu machende Vernichtung personenbezogener Daten, die dazu führt, dass die Informationen nicht mehr lesbar gemacht werden können.

 

Datenschutzrechtlicher Erforderlichkeitsgrundsatz

 

Das BDSG normiert an verschiedenen Stellen, dass Maßnahmen, die in die Rechte des Betroffenen eingreifen, unabdingbar sein müssen, um einen bestimmten Zweck zu erreichen, und keine gleichermaßen wirksame Maßnahme zur Zweckerreichung zur Verfügung steht.

 

Datensparsamkeit

 

Nach dem Grundsatz der Datensparsamkeit dürfen nicht mehr Informationen, als für den erstrebten Zweck erforderlich sind, erhoben und verwendet werden. Dieser Grundsatz wird durch die Pflicht, von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, geschützt.

 

Datenspeicherung

 

Datenspeicherung ist das Vorrätig-Halten von Daten in elektronischen Dateien und in Akten, soweit diese so angeordnet sind, dass ein gezielter Zugriff auf personenbezogene Daten möglich wird.

 

Datensperrung

 

Datensperrung führt dazu, dass Daten nicht mehr verarbeitet oder genutzt werden können. Um dies sicherzustellen, sind gesperrte Daten zu kennzeichnen (§ 3 Abs. 4 Nr. 4 BDSG).

 

Ein Anspruch auf Datensperrung durch den Betroffenen besteht beispielsweise dann, wenn die Richtigkeit von Daten umstritten ist (§ 20 Abs. 4 BDSG, § 35 Abs. 4 BDSG).

 

Datenübermittlung

 

Datenübermittlung ist die Weitergabe von personenbezogenen Daten von der speichernden Stelle an eine andere Stelle zum Zwecke der Weiterverarbeitung und/oder Nutzung durch diese. Die Übermittlung unterliegt den Vorschriften in §§ 16 bis 18 BDSG sowie §§ 28, 29 BDSG.

 

Datenveränderung

 

Datenveränderung ist jedes inhaltliche Umgestalten von gespeicherten Daten, z. B. das Hinzuspeichern weiterer Informationen („schlechte Zahlungsmoral“).

 

Datenverarbeitung

 

Datenverarbeitung (Abk.: DV) bezeichnet im weiteren Sinn jeden Prozess, bei dem Daten mit oder ohne technische Hilfsmittel erfasst (erhoben), gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden.

 

Die Datenverarbeitung ist von der Datennutzung abzugrenzen, die jede Verwendung von Daten umfasst, soweit es sich nicht bereits um eine Verarbeitung handelt (bspw. „Data Mining“).

 

Datenverarbeitungsanlage

 

Unter einer Datenverarbeitungsanlage (Abk.: DVA) ist ein elektronisches System zu verstehen, welches Daten annimmt, speichert, verarbeitet und abgibt (beispielsweise PC, aber auch große Rechenzentren).

 

Datenvermeidung

Grundsatz des Datenschutzrechts, wonach möglichst wenig personenbezogene Daten erhoben, verarbeitet oder genutzt werden sollen (§ 3a Satz 1 BDSG).

 

Direkterhebung

Erhebung von personenbezogenen Daten beim Betroffenen selbst.

 

Drittländer

 

Solche Staaten, die nicht dem EU-/EWR-Raum zugeordnet werden. Der Begriff wird in der Regel mit dem Datenim- und -export verwendet.

 

Funktionsübertragung

 

Eine Funktionsübertragung ist das „Gegenstück“ zur Auftragsdatenverarbeitung. Sie liegt nach der herrschenden Meinung vor, wenn

 

  • der Datenverarbeiter eigene Entscheidungsbefugnisse hinsichtlich des „Wie“ der Datenverarbeitung und der Auswahl der Daten hat,
  • neben der Übertragung der Datenverarbeitung eine Übertragung der zu Grunde liegenden Aufgabe auf den Dienstleister erfolgt,
  • der Datenverarbeiter für die Zulässigkeit der Verarbeitung der Daten verantwortlich ist,
  • dem Datenverarbeiter Rechte zur Nutzung an den Daten für eigene Zwecke überlassen sind und
  • er ein eigenes Interesse an der Datenverwendung hat.

 

 

Geschäftsmäßige Datenerhebung

 

Eine geschäftsmäßige Datenerhebung liegt vor, wenn die Datenerhebung den Hauptzweck der Geschäftstätigkeit der verantwortlichen Stelle darstellt, diese also mit den Daten selbst einen Haupt- und nicht nur Nebenzweck verfolgt, beispielsweise die (entgeltliche) Weitergabe der gesammelten Daten an Dritte.

 

Rechtsgrundlagen der geschäftsmäßigen Datenerhebung finden sich in §§ 29, 30 und § 30 a BDSG.

 

IP-Adresse

Auf dem Internetprotokoll ("IP") basierende Adresse eines einzelnen Rechners in netzgebundenen Systemen, welche den einzelnen Computer erreichbar macht.

 

Koppelungsverbot

Im Datenschutzrecht bedeutet Koppelungsverbot grundsätzlich, dass die Erbringung von Leistungen nicht von der Einwilligung in die Verarbeitung oder Nutzung von Daten abhängig gemacht werden darf.

 

Das Koppelungsverbot gilt grds. nur dann, wenn dem Betroffenen kein anderer Zugang zu einer gleichwertigen vertraglichen Leistung offensteht oder zugemutet werden kann. Letztlich betrifft es also nur Unternehmen mit marktbeherrschender Stellung. Im Verstoßensfalle ist die Einwilligung des Kunden unwirksam.

 

Lettershopverfahren

Beim Lettershopverfahren stellt das werbende Unternehmen sein Werbematerial (z. B. Prospekte) einem Dritten (sog. Lettershop) zur Verfügung. Der Lettershop bekommt von einem Dritten (z. B. einem Verlag) die Adressen von dessen Abonnenten bzw. Interessenten und versendet dann an diese das Werbematerial. Das werbende Unternehmen (Versandhaus) erhält nur und erst dann Kenntnis von der Adresse, wenn der angeschriebene mit einer Bestellung reagiert. Damit werden die Daten des Verlags für Zwecke der Werbung für fremde Angebote genutzt. Dies ist nach § 28 Abs. 3 S. 5 BDSG zulässig.

 

Listenprivileg

 

Das sog. Listenprivileg ist in § 28 Abs. 3 Satz 2  Nr. 1 BDSG geregelt. Es erlaubt die Übermittlung und/oder Nutzung von bestimmten listenmäßig zusammengestellten Daten über Angehörige einer Personengruppe.

 

Nicht-öffentliche Stellen

 

Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG). Hierunter fallen die GmbH, AG, KG, OHG, PartG, BGB-Gesellschaft, Vereine, Stiftungen, Parteien sowie natürliche Personen, etwa Einzelkaufleute und Freiberufler.

 

Öffentliche Stellen

 

Im Bereich der öffentlichen Stellen unterscheidet das BDSG die öffentlichen Stellen des Bundes (§ 2 Abs. 1 BDSG), die öffentlichen Stellen der Länder (§ 2 Abs. 2 BDSG) sowie die Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder (§ 2 Abs. 3 BDSG).

 

Hierunter fallen insbesondere Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der Länder und der Gemeinden.

 

Siehe auch: nicht-öffentliche Stellen

 

Personenbezogene Daten

 

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG)

 

Siehe auch: Besondere Arten personenbezogener Daten

 

PNR

 

= Passenger Name Records (engl. für Fluggastdaten).

Pseudonymisierung

 

Pseudonymisierung ist eine Aktivität, im Rahmen derer Identifikationsmerkmale einer Person, vorrangig der Name, durch ein Kennzeichen ersetzt wird, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

 

Quik freeze (auch: quick freezing)

Vorgang, bei welchem Daten im Verdachtsfall von Telekommunikationsdiensteanbietern oder Internet-Providern "eingefroren" werden, wenn ein darauf gerichtetes Begehren von Strafverfolgungsbehörden zulässig ist (Alternative zur Vorratsdatenspeicherung).

 

Safe-Harbor-Principles

Vom Handelsministerium der Vereinigten Staaten von Amerika ausgearbeitete Grundsätze zum Schutze personenbezogener Daten durch dort ansässige Unternehmen. US-Unternehmen können sich diesen Prinzipien anschließen, um mit Blick auf den Erhalt von Daten aus der Europäischen Union bzw. ihren Mitgliedstaaten ein angemessenes Schutzniveau sicherzustellen.

 

Scoring

 

Scoring ist ein mathematisch-statistisches Verfahren, mit dem die Wahrscheinlichkeit für ein zukünftiges Verhalten des Betroffenen berechnet wird. Je höher der der Score-Wert, desto höher die Bonität.

 

Standardvertragsklauseln

Von der EU-Kommission für privatwirtschaftliche Unternehmen entworfene Vertragsklauseln, durch welche der Schutz personenbezogener Daten bei einer Übermittlung in das Ausland sichergestellt werden soll, wo kein angemessenes Schutzniveau im Sinne des Art. 25 RiL 95/46/EG bzw. § 4b Abs. 2 BDSG besteht.

 

Standortdaten

Personenbezogene Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geographischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben (Art. 2 lit. c RiL 2002/58/EG, vgl. § 3 Nr. 19 TKG).

 

SWIFT

 

= Society for Interbank Financial Telecommunications; Finanzdienstleister in Form einer Genossenschaft, deren Mitglieder Geldinstitute sind und die Nachrichten, z. B. solche betreffend Geldüberweisungen, an die Mitglieder weiterleitet.

 

Trennungsprinzip

Grundsatz, demzufolge eine Verwaltungsstelle nur Zugriff auf solche personenbezogenen Daten haben darf, die zur Erfüllung der wahrzunehmenden Aufgabe jeweils erforderlich sind.

 

Verantwortliche Stelle

 

Die „verantwortliche Stelle“ ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).

 

Verfügbarkeitskontrolle

Maßnahmen, mit welchen gewährleistet werden soll, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Anlage zu § 9 BDSG Nr. 7).

 

Verkehrsdaten

Personenbezogene Daten, welche zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung des Vorgangs verarbeitet werden (Art. 2 lit. b RiL 2002/58/EG, vgl. § 3 Nr. 30 TKG).

 

Vorabkontrolle

Prüfung der  Beherrschbarkeit neuer Datenerhebungs-, -verarbeitungs- und -nutzungsverfahren vor deren Einführung in einem Unternehmen oder einer Behörde. Zur Vorabkontrolle verpflichtet ist regelmäßig der  Datenschutzbeauftragte.

 

Weitergabekontrolle

Maßnahmen, mit welchen gewährleistet werden soll, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können; des Weiteren Maßnahmen, durch welche überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübermittlung vorgesehen ist (Anlage zu § 9 BDSG Nr. 4).

 

Zugangskontrolle

Maßnahmen, mit welchen verhindert werden soll, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Anlage zu § 9 BDSG Nr. 2).

 

Zugriffskontrolle

Maßnahmen, durch welche gewährleistet werden soll, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können; des Weiteren Maßnahmen, mit welchen sichergestellt werden soll, dass personenbezogene Daten bei der Verarbeitung und Nutzung wie auch nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Anlage zu § 9 BDSG Nr. 3).

 

Zutrittskontrolle

Maßnahmen, mit welchen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet werden, verwehrt wird (Anlage zu § 9 BDSG Nr. 1).