Glossar Datenschutz

Begriff

 

Erläuterung

Anonymisierung

 

Anonymisierung ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Arbeitnehmerdatenschutz

 

Unter dem Begriff „Arbeitnehmerdatenschutz“ wird die Gesamtheit aller datenschutzrechtlichen Regelungen, die ein Dienst- oder Arbeitsverhältnis betreffen verstanden.

 

Auftragsdatenverarbeitung

 

Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten im durch eine andere Stelle (z.B. Dienstleister) im Auftrag des Verantwortlichen erhoben, verarbeitet oder genutzt werden (Art. 4 Nr. 8 DSGVO).

 

Die andere Stelle muss dabei den Weisungen des Auftraggebers unterworfen sein und darf keine eigene Entscheidungsbefugnis darüber besitzen, wie sie mit den Daten umgeht.

 

Auftragskontrolle

Maßnahmen zur Gewährleistung, dass im Auftrag verarbeitete personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Entsprechendes findet sich im §64(2) Nr. 12 BDSG - Diese Bestimmung gehört zu Teil 3 des BDSG, welcher keine Gültigkeit für den nicht-öffentlichen Bereich hat.

 

Auskunftei

 

Privatrechtlich organisiertes Unternehmen mit dem Zweck, wirtschaftlich relevante Daten, wie z. B. Informationen über Kreditwürdigkeit und Zahlungsfähigkeit von Privaten oder Unternehmen, zu sammeln und an anfragende Unternehmen oder sonstige Dritte weiterzugeben.

 

Regelungen finden sich in §§ 30, 31 BDSG.

 

Automatisierte Einzelentscheidung

 

Es ist grundsätzlich verboten Entscheidungen, die für den Betroffenen eine rechtliche Folge gleich welcher Art nach sich ziehen oder ihn in der Entscheidung erheblich beeinträchtigen, ausschließlich auf eine automatisierte Verarbeitung oder Nutzung personenbezogener Daten zu stützen (Art. 22 DSGVO).

 

Z. B. Scoring-Verfahren der Kreditwirtschaft sind in der Regel automatisierte Einzelentscheidungen.

 

Automatisierte Verarbeitung

 

Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

 

 

 

 

Besondere Kategorien personenbezogener Daten

 

Besonders sensible personenbezogene Daten, die im Wesentlichen in Art. 9 DSGVO aufgelistet sind. Darunter fallen alle Angaben und Daten über:

 

  •  rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheit
  • Sexualleben und sexuelle Orientierung

 

Bestandsdaten

Personenbezogene Daten, welche für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen einem Nutzer und dem Diensteanbieter über die Nutzung von Telemediendiensten erforderlich sind (§ 14 Abs. 1 TMG).

 

Betroffener

 

Zentraler Begriff des Datenschutzrechtes. Betroffener ist die bestimmte oder bestimmbare Person, über die Daten vorliegen (Art. 4 Nr. 1 DSGVO).

 

Binding Corporate Rules (BCR)

 

Verbindliche Unternehmensregelungen, durch die ausreichende Garantien für Datentransfers in Drittländer hergestellt werden sollen, in denen ein angemessenes Datenschutzniveau nicht sichergestellt ist.

 

Codes of Conduct

 

Wohlverhaltenserklärungen, insbesondere in Großunternehmen, Datenschutzvorschriften und entsprechende Verträge einzuhalten.

 

Data Mining

 

Unter dem Begriff des „Data Mining“ (mining (engl.) = Bergbau) werden verschiedene Techniken verstanden, mit denen sich aus umfangreichen, sehr detaillierten und verteilten Datenbeständen bislang unerkannte Informationen und Zusammenhänge zwischen den einzelnen Daten extrahieren lassen (bspw. Erstellung von Kundenprofilen aus vorhandenen Bestell-, Adress-, Zahlungs- oder Reklamationsdateien).

 

Data Warehouse (auch: Datenlager)

System zur zentralen Sammlung von Daten in einem Unternehmen oder einer sonstigen Organisation mit dem Ziel der Informationsintegration.

 

Datenerhebung

 

Datenerhebung ist das Beschaffen von Daten über den Betroffenen.

 

Datenexport / Datenimport

 

Transfer von Daten ins Ausland. / Transfer von Daten ins Inland.

 

Datenschutzfolgenabschätzung

 

Mit der DSGVO eingeführte Nachfolgeregelung zur Vorabkontrolle. Folgt aus einer Form der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss vorab eine Abschätzung der Folgen durchgeführt werden. (Art. 35 DSGVO)

 

Datenlöschung

 

Datenlöschung ist die endgültige, nicht mehr rückgängig zu machende Vernichtung personenbezogener Daten, die dazu führt, dass die Informationen nicht mehr lesbar gemacht werden können.

 

Datenschutzrechtlicher Erforderlichkeitsgrundsatz

 

Die DSGVO normiert an verschiedenen Stellen, dass Maßnahmen, die in die Rechte des Betroffenen eingreifen, unabdingbar sein müssen, um einen bestimmten Zweck zu erreichen, und keine gleichermaßen wirksame Maßnahme zur Zweckerreichung zur Verfügung steht.

 

Datensparsamkeit

 

Nach dem Grundsatz der Datensparsamkeit dürfen nicht mehr Informationen, als für den erstrebten Zweck erforderlich sind, erhoben und verwendet werden. Dieser Grundsatz wird durch die Pflicht, von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, geschützt.

 

Datenspeicherung

 

Datenspeicherung ist das Vorrätig-Halten von Daten in elektronischen Dateien und in Akten, soweit diese so angeordnet sind, dass ein gezielter Zugriff auf personenbezogene Daten möglich wird.

 

Datensperrung / Einschränkung der Verarbeitung

 

Datensperrung führt dazu, dass Daten nicht mehr verarbeitet oder genutzt werden können.

 

Ein Anspruch auf Datensperrung durch den Betroffenen besteht beispielsweise dann, wenn die Richtigkeit von Daten umstritten ist (Art. 18 (1) DSGVO).

 

Datenübermittlung

 

Datenübermittlung ist die Weitergabe von personenbezogenen Daten von der speichernden Stelle an eine andere Stelle zum Zwecke der Weiterverarbeitung und/oder Nutzung durch diese.

Datenveränderung

 

Datenveränderung ist jedes inhaltliche Umgestalten von gespeicherten Daten, z. B. das Hinzuspeichern weiterer Informationen („schlechte Zahlungsmoral“).

 

Datenverarbeitung

 

Datenverarbeitung (Abk.: DV) bezeichnet im weiteren Sinn jeden Prozess, bei dem Daten mit oder ohne technische Hilfsmittel erfasst (erhoben), gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden (Art. 4 Nr. 2 DSGVO).

 

Die Datenverarbeitung ist von der Datennutzung abzugrenzen, die jede Verwendung von Daten umfasst, soweit es sich nicht bereits um eine Verarbeitung handelt (bspw. „Data Mining“).

 

Datenverarbeitungsanlage

 

Unter einer Datenverarbeitungsanlage (Abk.: DVA) ist ein elektronisches System zu verstehen, welches Daten annimmt, speichert, verarbeitet und abgibt (beispielsweise PC, aber auch große Rechenzentren).

 

Datenvermeidung / Datenminimierung

Grundsatz des Datenschutzrechts, wonach möglichst wenig personenbezogene Daten erhoben, verarbeitet oder genutzt werden sollen (Art. 5 (1) lit. c DSGVO).

 

Direkterhebung

Erhebung von personenbezogenen Daten beim Betroffenen selbst. Seit Einführung der DSGvo nicht mehr schriftlich fixiert. Dennoch wird hinsichtlich der Informationspflichten unterschieden, ob Daten beim Betroffenen selbst erhoben wurden oder aus einer Dritten Quelle stammen.

 

Drittländer

 

Solche Staaten, die nicht dem EU-/EWR-Raum zugeordnet werden. Der Begriff wird in der Regel mit dem Datenim- und -export verwendet.

 

Funktionsübertragung

 

Eine Funktionsübertragung ist das „Gegenstück“ zur Auftragsdatenverarbeitung. Sie liegt nach der herrschenden Meinung vor, wenn

 

  • der Datenverarbeiter eigene Entscheidungsbefugnisse hinsichtlich des „Wie“ der Datenverarbeitung und der Auswahl der Daten hat,
  • neben der Übertragung der Datenverarbeitung eine Übertragung der zu Grunde liegenden Aufgabe auf den Dienstleister erfolgt,
  • der Datenverarbeiter für die Zulässigkeit der Verarbeitung der Daten verantwortlich ist,
  • dem Datenverarbeiter Rechte zur Nutzung an den Daten für eigene Zwecke überlassen sind und
  • er ein eigenes Interesse an der Datenverwendung hat.

 

 

Geschäftsmäßige Datenerhebung

 

Eine geschäftsmäßige Datenerhebung liegt vor, wenn die Datenerhebung den Hauptzweck der Geschäftstätigkeit der verantwortlichen Stelle darstellt, diese also mit den Daten selbst einen Haupt- und nicht nur Nebenzweck verfolgt, beispielsweise die (entgeltliche) Weitergabe der gesammelten Daten an Dritte.

 

IP-Adresse

Auf dem Internetprotokoll ("IP") basierende Adresse eines einzelnen Rechners in netzgebundenen Systemen, welche den einzelnen Computer erreichbar macht.

 

Koppelungsverbot

Im Datenschutzrecht bedeutet Koppelungsverbot grundsätzlich, dass die Erbringung von Leistungen nicht von der Einwilligung in die Verarbeitung oder Nutzung von Daten abhängig gemacht werden darf (art. 7 (4) DSGVO).

 

Das Koppelungsverbot gilt grds. nur dann, wenn dem Betroffenen kein anderer Zugang zu einer gleichwertigen vertraglichen Leistung offensteht oder zugemutet werden kann. Letztlich betrifft es also nur Unternehmen mit marktbeherrschender Stellung. Im Verstoßensfalle ist die Einwilligung des Kunden unwirksam.

 

Lettershopverfahren

Beim Lettershopverfahren stellt das werbende Unternehmen sein Werbematerial (z. B. Prospekte) einem Dritten (sog. Lettershop) zur Verfügung. Der Lettershop bekommt von einem Dritten (z. B. einem Verlag) die Adressen von dessen Abonnenten bzw. Interessenten und versendet dann an diese das Werbematerial. Das werbende Unternehmen (Versandhaus) erhält nur und erst dann Kenntnis von der Adresse, wenn der angeschriebene mit einer Bestellung reagiert. Damit werden die Daten des Verlags für Zwecke der Werbung für fremde Angebote genutzt.

Das Lettershopverfahren kann unter den Voraussetzungen einer Auftragsverarbeitung zulässig sein.

 

Listenprivileg

 

Das sog. Listenprivileg war in § 28 Abs. 3 Satz 2  Nr. 1 BDSG-Alt geregelt. Es erlaubte die Übermittlung und/oder Nutzung von bestimmten listenmäßig zusammengestellten Daten über Angehörige einer Personengruppe. Das Listenprivileg ist mit Geltung der DSGVO weggefallen.

 Nicht-öffentliche Stellen

Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Hierunter fallen die GmbH, AG, KG, OHG, PartG, BGB-Gesellschaft, Vereine, Stiftungen, Parteien sowie natürliche Personen, etwa Einzelkaufleute und Freiberufler.

 

Öffentliche Stellen

 

Im Bereich der öffentlichen Stellen unterscheidet das BDSG die öffentlichen Stellen des Bundes, die öffentlichen Stellen der Länder sowie die Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder.

 

Hierunter fallen insbesondere Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der Länder und der Gemeinden.

 

Siehe auch: nicht-öffentliche Stellen

 

Personenbezogene Daten

 

Personenbezogene Daten sind alle Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Art. 4 Nr. 1 DSGVO)

 

Siehe auch: Besondere Kategorien personenbezogener Daten

 

Privacy Shield

 

Absprache zwischen der EU und den USA zum Schutz personenbezogener Daten, die aus einem EU-Mitgliedsstaat in die USA übertragen werden. Wurde durch Urteil des EuGH vom 16.07.2020 für ungültig erklärt.

Pseudonymisierung

 

Pseudonymisierung ist eine Aktivität, im Rahmen derer Identifikationsmerkmale einer Person, vorrangig der Name, durch ein Kennzeichen ersetzt wird, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (Art. 4 Nr. 5 DSGVO).

 

Quik freeze (auch: quick freezing)

Vorgang, bei welchem Daten im Verdachtsfall von Telekommunikationsdiensteanbietern oder Internet-Providern "eingefroren" werden, wenn ein darauf gerichtetes Begehren von Strafverfolgungsbehörden zulässig ist (Alternative zur Vorratsdatenspeicherung).

 

Safe-Harbor-Principles

Vom Handelsministerium der Vereinigten Staaten von Amerika ausgearbeitete Grundsätze zum Schutze personenbezogener Daten durch dort ansässige Unternehmen. US-Unternehmen können sich diesen Prinzipien anschließen, um mit Blick auf den Erhalt von Daten aus der Europäischen Union bzw. ihren Mitgliedstaaten ein angemessenes Schutzniveau sicherzustellen.

Wurde am 06.10.2015 vom EuGH für ungültig erklärt. (siehe zur Nachfolgeregelung „privacy shield“)

 

Scoring

 

Scoring ist ein mathematisch-statistisches Verfahren, mit dem die Wahrscheinlichkeit für ein zukünftiges Verhalten des Betroffenen berechnet wird. Je höher der der Score-Wert, desto höher die Bonität.

 

Standardvertragsklauseln

Von der EU-Kommission für privatwirtschaftliche Unternehmen entworfene Vertragsklauseln, durch welche der Schutz personenbezogener Daten bei einer Übermittlung in das Ausland sichergestellt werden soll, wo kein angemessenes Schutzniveau im Sinne des Art.44 DSGVO besteht.

 

Standortdaten

Personenbezogene Daten, die in einem elektronischen Kommunikationsnetz oder von einem elektronischen Kommunikationsdienst verarbeitet werden und die den geographischen Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen elektronischen Kommunikationsdienstes angeben (Art. 2 lit. c RiL 2002/58/EG, vgl. § 3 Nr. 19 TKG).

 

SWIFT

 

= Society for Interbank Financial Telecommunications; Finanzdienstleister in Form einer Genossenschaft, deren Mitglieder Geldinstitute sind und die Nachrichten, z. B. solche betreffend Geldüberweisungen, an die Mitglieder weiterleitet.

 

Trennungsprinzip

Grundsatz, demzufolge eine Verwaltungsstelle nur Zugriff auf solche personenbezogenen Daten haben darf, die zur Erfüllung der wahrzunehmenden Aufgabe jeweils erforderlich sind.

 

Verantwortlicher

 

Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

 

Verfügbarkeitskontrolle

Maßnahmen, mit welchen gewährleistet werden soll, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

 

Verkehrsdaten

Personenbezogene Daten, welche zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung des Vorgangs verarbeitet werden (Art. 2 lit. b RiL 2002/58/EG, vgl. § 3 Nr. 30 TKG).

 

Vorabkontrolle

Mit Gültigkeit der DSGVO entfallene Prüfung durch den Datenschutzbeauftragten.

Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche hat dieses schriftliche Verzeichnis über alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen.

Hier sind alle relevanten Informationen in einer Übersicht zusammenzustellen und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. (Art. 30 DSGVO)

Zugangskontrolle

Maßnahmen, mit welchen verhindert werden soll, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

 

Zugriffskontrolle

Maßnahmen, durch welche gewährleistet werden soll, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können; des Weiteren Maßnahmen, mit welchen sichergestellt werden soll, dass personenbezogene Daten bei der Verarbeitung und Nutzung wie auch nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

 

Zutrittskontrolle

Maßnahmen, mit welchen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet werden, verwehrt wird.