Glossar Datenschutz
Begriff
|
Erläuterung |
Anonymisierung
|
Anonymisierung ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (§ 3 Abs. 6 BDSG).
|
Arbeitnehmerdatenschutz
|
Unter dem Begriff „Arbeitnehmerdatenschutz“ wird die Gesamtheit aller datenschutzrechtlichen Regelungen, die ein Dienst- oder Arbeitsverhältnis betreffen verstanden.
|
Auftragsdatenverarbeitung
|
Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten durch eine andere verantwortliche Stelle im Auftrag erhoben, verarbeitet oder genutzt werden (§ 11 BDSG).
Die andere Stelle muss dabei den Weisungen des Auftraggebers unterworfen sein und darf keine eigene Entscheidungsbefugnis darüber besitzen, wie sie mit den Daten umgeht (Gegensatz zur sog. Funktionsübertragung).
|
Auftragskontrolle |
Maßnahmen zur Gewährleistung, dass im Auftrag verarbeitete personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Anlage zu § 9 BDSG Nr. 6).
|
Auskunftei
|
Privatrechtlich organisiertes Unternehmen mit dem Zweck, wirtschaftlich relevante Daten, wie z. B. Informationen über Kreditwürdigkeit und Zahlungsfähigkeit von Privaten oder Unternehmen, zu sammeln und an anfragende Unternehmen oder sonstige Dritte weiterzugeben.
Regelungen finden sich in §§ 28a, 29 BDSG.
|
Automatisierte Einzelentscheidung
|
Es ist grundsätzlich verboten Entscheidungen, die für den Betroffenen eine rechtliche Folge gleich welcher Art nach sich ziehen oder ihn in der Entscheidung erheblich beeinträchtigen, ausschließlich auf eine automatisierte Verarbeitung oder Nutzung personenbezogener Daten zu stützen (§ 6a BDSG).
Z. B. Scoring-Verfahren der Kreditwirtschaft sind in der Regel automatisierte Einzelentscheidungen.
|
Automatisierte Verarbeitung
|
Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (§ 3 Abs. 2 BDSG).
|
Automatisiertes Abrufverfahren |
Verfahren, mit welchem automatisiert der Abruf von Daten und so deren Übermittlung ermöglicht wird (vgl. § 10 BDSG).
|
Besondere Arten personenbezogener Daten
|
Besonders sensible Arten von personenbezogenen Daten, die in § 3 Abs. 9 BDSG aufgelistet sind. Darunter fallen alle Angaben und Daten über:
• rassische oder ethnische Herkunft • politische Meinungen • religiöse oder philosophische Überzeugungen • Gewerkschaftszugehörigkeit • Gesundheit • Sexualleben
|
Bestandsdaten |
Personenbezogene Daten, welche für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen einem Nutzer und dem Diensteanbieter über die Nutzung von Telemediendiensten erforderlich sind (§ 14 Abs. 1 TMG).
|
Betroffener
|
Zentraler Begriff des Datenschutzrechtes. Betroffener ist die bestimmte oder bestimmbare Person, über die Daten vorliegen (§ 3 Abs. 1 BDSG).
|
Binding Corporate Rules (BCR)
|
Verbindliche Unternehmensregelungen, durch die ausreichende Garantien für Datentransfers in Drittländer hergestellt werden sollen, in denen ein angemessenes Datenschutzniveau nicht sichergestellt ist.
|
Codes of Conduct
|
Wohlverhaltenserklärungen, insbesondere in Großunternehmen, Datenschutzvorschriften und entsprechende Verträge einzuhalten.
|
Data Mining
|
Unter dem Begriff des „Data Mining“ (mining (engl.) = Bergbau) werden verschiedene Techniken verstanden, mit denen sich aus umfangreichen, sehr detaillierten und verteilten Datenbeständen bislang unerkannte Informationen und Zusammenhänge zwischen den einzelnen Daten extrahieren lassen (bspw. Erstellung von Kundenprofilen aus vorhandenen Bestell-, Adress-, Zahlungs- oder Reklamationsdateien).
|
Data Warehouse (auch: Datenlager) |
System zur zentralen Sammlung von Daten in einem Unternehmen oder einer sonstigen Organisation mit dem Ziel der Informationsintegration.
|
Datenerhebung
|
Datenerhebung ist das Beschaffen von Daten über den Betroffenen (§ 3 Abs. 3 BDSG).
|
Datenexport
|
Transfer von Daten ins Ausland.
|
Datenimport
|
Transfer von Daten ins Inland.
|
Datenlöschung
|
Datenlöschung ist die endgültige, nicht mehr rückgängig zu machende Vernichtung personenbezogener Daten, die dazu führt, dass die Informationen nicht mehr lesbar gemacht werden können.
|
Datenschutzrechtlicher Erforderlichkeitsgrundsatz
|
Das BDSG normiert an verschiedenen Stellen, dass Maßnahmen, die in die Rechte des Betroffenen eingreifen, unabdingbar sein müssen, um einen bestimmten Zweck zu erreichen, und keine gleichermaßen wirksame Maßnahme zur Zweckerreichung zur Verfügung steht.
|
Datensparsamkeit
|
Nach dem Grundsatz der Datensparsamkeit dürfen nicht mehr Informationen, als für den erstrebten Zweck erforderlich sind, erhoben und verwendet werden. Dieser Grundsatz wird durch die Pflicht, von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, geschützt.
|
Datenspeicherung
|
Datenspeicherung ist das Vorrätig-Halten von Daten in elektronischen Dateien und in Akten, soweit diese so angeordnet sind, dass ein gezielter Zugriff auf personenbezogene Daten möglich wird.
|
Datensperrung
|
Datensperrung führt dazu, dass Daten nicht mehr verarbeitet oder genutzt werden können. Um dies sicherzustellen, sind gesperrte Daten zu kennzeichnen (§ 3 Abs. 4 Nr. 4 BDSG).
Ein Anspruch auf Datensperrung durch den Betroffenen besteht beispielsweise dann, wenn die Richtigkeit von Daten umstritten ist (§ 20 Abs. 4 BDSG, § 35 Abs. 4 BDSG).
|
Datenübermittlung
|
Datenübermittlung ist die Weitergabe von personenbezogenen Daten von der speichernden Stelle an eine andere Stelle zum Zwecke der Weiterverarbeitung und/oder Nutzung durch diese. Die Übermittlung unterliegt den Vorschriften in §§ 16 bis 18 BDSG sowie §§ 28, 29 BDSG.
|
Datenveränderung
|
Datenveränderung ist jedes inhaltliche Umgestalten von gespeicherten Daten, z. B. das Hinzuspeichern weiterer Informationen („schlechte Zahlungsmoral“).
|
Datenverarbeitung
|
Datenverarbeitung (Abk.: DV) bezeichnet im weiteren Sinn jeden Prozess, bei dem Daten mit oder ohne technische Hilfsmittel erfasst (erhoben), gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden.
Die Datenverarbeitung ist von der Datennutzung abzugrenzen, die jede Verwendung von Daten umfasst, soweit es sich nicht bereits um eine Verarbeitung handelt (bspw. „Data Mining“).
|
Datenverarbeitungsanlage
|
Unter einer Datenverarbeitungsanlage (Abk.: DVA) ist ein elektronisches System zu verstehen, welches Daten annimmt, speichert, verarbeitet und abgibt (beispielsweise PC, aber auch große Rechenzentren).
|
Datenvermeidung |
Grundsatz des Datenschutzrechts, wonach möglichst wenig personenbezogene Daten erhoben, verarbeitet oder genutzt werden sollen (§ 3a Satz 1 BDSG).
|
Direkterhebung |
Erhebung von personenbezogenen Daten beim Betroffenen selbst.
|
Drittländer
|
Solche Staaten, die nicht dem EU-/EWR-Raum zugeordnet werden. Der Begriff wird in der Regel mit dem Datenim- und -export verwendet.
|
Funktionsübertragung
|
Eine Funktionsübertragung ist das „Gegenstück“ zur Auftragsdatenverarbeitung. Sie liegt nach der herrschenden Meinung vor, wenn
|
Geschäftsmäßige Datenerhebung
|
Eine geschäftsmäßige Datenerhebung liegt vor, wenn die Datenerhebung den Hauptzweck der Geschäftstätigkeit der verantwortlichen Stelle darstellt, diese also mit den Daten selbst einen Haupt- und nicht nur Nebenzweck verfolgt, beispielsweise die (entgeltliche) Weitergabe der gesammelten Daten an Dritte.
Rechtsgrundlagen der geschäftsmäßigen Datenerhebung finden sich in §§ 29, 30 und § 30 a BDSG.
|
IP-Adresse |
Auf dem Internetprotokoll ("IP") basierende Adresse eines einzelnen Rechners in netzgebundenen Systemen, welche den einzelnen Computer erreichbar macht.
|
Koppelungsverbot |
Im Datenschutzrecht bedeutet Koppelungsverbot grundsätzlich, dass die Erbringung von Leistungen nicht von der Einwilligung in die Verarbeitung oder Nutzung von Daten abhängig gemacht werden darf.
Das Koppelungsverbot gilt grds. nur dann, wenn dem Betroffenen kein anderer Zugang zu einer gleichwertigen vertraglichen Leistung offensteht oder zugemutet werden kann. Letztlich betrifft es also nur Unternehmen mit marktbeherrschender Stellung. Im Verstoßensfalle ist die Einwilligung des Kunden unwirksam.
|
Lettershopverfahren |
Beim Lettershopverfahren stellt das werbende Unternehmen sein Werbematerial (z. B. Prospekte) einem Dritten (sog. Lettershop) zur Verfügung. Der Lettershop bekommt von einem Dritten (z. B. einem Verlag) die Adressen von dessen Abonnenten bzw. Interessenten und versendet dann an diese das Werbematerial. Das werbende Unternehmen (Versandhaus) erhält nur und erst dann Kenntnis von der Adresse, wenn der angeschriebene mit einer Bestellung reagiert. Damit werden die Daten des Verlags für Zwecke der Werbung für fremde Angebote genutzt. Dies ist nach § 28 Abs. 3 S. 5 BDSG zulässig.
|
Listenprivileg
|
Das sog. Listenprivileg ist in § 28 Abs. 3 Satz 2 Nr. 1 BDSG geregelt. Es erlaubt die Übermittlung und/oder Nutzung von bestimmten listenmäßig zusammengestellten Daten über Angehörige einer Personengruppe.
|
Nicht-öffentliche Stellen
|
Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG). Hierunter fallen die GmbH, AG, KG, OHG, PartG, BGB-Gesellschaft, Vereine, Stiftungen, Parteien sowie natürliche Personen, etwa Einzelkaufleute und Freiberufler.
|
Öffentliche Stellen
|
Im Bereich der öffentlichen Stellen unterscheidet das BDSG die öffentlichen Stellen des Bundes (§ 2 Abs. 1 BDSG), die öffentlichen Stellen der Länder (§ 2 Abs. 2 BDSG) sowie die Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder (§ 2 Abs. 3 BDSG).
Hierunter fallen insbesondere Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der Länder und der Gemeinden.
Siehe auch: nicht-öffentliche Stellen
|
Personenbezogene Daten
|
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG)
Siehe auch: Besondere Arten personenbezogener Daten
|
PNR
|
= Passenger Name Records (engl. für Fluggastdaten). |
Pseudonymisierung
|
Pseudonymisierung ist eine Aktivität, im Rahmen derer Identifikationsmerkmale einer Person, vorrangig der Name, durch ein Kennzeichen ersetzt wird, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
|
Quik freeze (auch: quick freezing) |
Vorgang, bei welchem Daten im Verdachtsfall von Telekommunikationsdiensteanbietern oder Internet-Providern "eingefroren" werden, wenn ein darauf gerichtetes Begehren von Strafverfolgungsbehörden zulässig ist (Alternative zur Vorratsdatenspeicherung).
|
Safe-Harbor-Principles |
Vom Handelsministerium der Vereinigten Staaten von Amerika ausgearbeitete Grundsätze zum Schutze personenbezogener Daten durch dort ansässige Unternehmen. US-Unternehmen können sich diesen Prinzipien anschließen, um mit Blick auf den Erhalt von Daten aus der Europäischen Union bzw. ihren Mitgliedstaaten ein angemessenes Schutzniveau sicherzustellen.
|
Scoring
|
Scoring ist ein mathematisch-statistisches Verfahren, mit dem die Wahrscheinlichkeit für ein zukünftiges Verhalten des Betroffenen berechnet wird. Je höher der der Score-Wert, desto höher die Bonität.
|
Standardvertragsklauseln |
Von der EU-Kommission für privatwirtschaftliche Unternehmen entworfene Vertragsklauseln, durch welche der Schutz personenbezogener Daten bei einer Übermittlung in das Ausland sichergestellt werden soll, wo kein angemessenes Schutzniveau im Sinne des Art. 25 RiL 95/46/EG bzw. § 4b Abs. 2 BDSG besteht.
|
Standortdaten |
Personenbezogene Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geographischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben (Art. 2 lit. c RiL 2002/58/EG, vgl. § 3 Nr. 19 TKG).
|
SWIFT
|
= Society for Interbank Financial Telecommunications; Finanzdienstleister in Form einer Genossenschaft, deren Mitglieder Geldinstitute sind und die Nachrichten, z. B. solche betreffend Geldüberweisungen, an die Mitglieder weiterleitet.
|
Trennungsprinzip |
Grundsatz, demzufolge eine Verwaltungsstelle nur Zugriff auf solche personenbezogenen Daten haben darf, die zur Erfüllung der wahrzunehmenden Aufgabe jeweils erforderlich sind.
|
Verantwortliche Stelle
|
Die „verantwortliche Stelle“ ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG).
|
Verfügbarkeitskontrolle |
Maßnahmen, mit welchen gewährleistet werden soll, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Anlage zu § 9 BDSG Nr. 7).
|
Verkehrsdaten |
Personenbezogene Daten, welche zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung des Vorgangs verarbeitet werden (Art. 2 lit. b RiL 2002/58/EG, vgl. § 3 Nr. 30 TKG).
|
Vorabkontrolle |
Prüfung der Beherrschbarkeit neuer Datenerhebungs-, -verarbeitungs- und -nutzungsverfahren vor deren Einführung in einem Unternehmen oder einer Behörde. Zur Vorabkontrolle verpflichtet ist regelmäßig der Datenschutzbeauftragte.
|
Weitergabekontrolle |
Maßnahmen, mit welchen gewährleistet werden soll, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können; des Weiteren Maßnahmen, durch welche überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübermittlung vorgesehen ist (Anlage zu § 9 BDSG Nr. 4).
|
Zugangskontrolle |
Maßnahmen, mit welchen verhindert werden soll, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Anlage zu § 9 BDSG Nr. 2).
|
Zugriffskontrolle |
Maßnahmen, durch welche gewährleistet werden soll, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können; des Weiteren Maßnahmen, mit welchen sichergestellt werden soll, dass personenbezogene Daten bei der Verarbeitung und Nutzung wie auch nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Anlage zu § 9 BDSG Nr. 3).
|
Zutrittskontrolle |
Maßnahmen, mit welchen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet werden, verwehrt wird (Anlage zu § 9 BDSG Nr. 1).
|