Eine Auflistung von Schlagwörtern zum Thema Datenschutz und verschiedener Datenschutzbegriffe.

Eine Erklärung wichtiger Datenschutz-Begriffe

29. Mai 2020 | Datenschutz-Grundverordnung (EU DSGVO), Datenschutz, Personenbezogene Daten

Beim Datenschutz werden standardisierte Begriffe verwendet, welche vor allem durch die DSGVO in den Vordergrund rückten. Im Folgenden erhalten Sie eine Erklärung wichtiger Datenschutz-Begriffe.

Anonymisierung / Anonymisieren

Eine Anonymisierung gemäß der DSGVO verlangt, dass alle Verbindungen zwischen Daten und der betroffenen Person unwiderruflich getrennt werden. Dies bedeutet, dass Daten niemals rückverfolgbar sind.

Sobald ein Merkmal identifizierbar ist und somit einer spezifischen Person zugeordnet werden kann, spricht man von Pseudonymisierung bzw. pseudonymisieren.

 

Aufbewahrungspflichten

Dokumente im Datenschutz unterliegen gesetzlichen Aufbewahrungsfristen, welche von behördlicher Seite festgelegt werden. Innerhalb dieser Aufbewahrungsfristen dürfen diese Daten nicht gelöscht werden. Meist beträgt die gesetzliche Aufbewahrungsfrist von geschäftlichen Dokumenten 6 oder 10 Jahre.

Nach Ablauf dieser Aufbewahrungsfrist müssen die Daten aus Sicht des Datenschutzes gelöscht werden. Eine Ausnahme ist nur dann möglich, wenn eine andere rechtliche Grundlage besteht oder ein berechtigtes Interesse argumentiert werden kann. Welche Daten wann und wie zu löschen sind, wird im Löschkonzept definiert.

 

Auftragsverarbeiter

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

 

Berechtigtes Interesse

In einigen Vorgängen werden Verarbeitungstätigkeiten für personenbezogene Daten auf Basis eines berechtigten Interesses durchgeführt. Die gesetzliche Grundlage hierfür bietet in der DSGVO der Art. 6 Abs. 1 lit. f:

„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Viel entscheidender ist die Frage, was ein berechtigtes Interesse ist?  Dieses unterliegt immer einer Interessenabwägung zwischen dem Zweck der Verarbeitung und den Effekten der Verarbeitung auf die Betroffenen. Im Grunde geht es darum, inwiefern die Privatsphäre (Freiheitsrechte) des Betroffenen durch die Verarbeitung eingeschränkt wird und ob diese Einschränkung verhältnismäßig zum Zweck der Verarbeitung zu sehen ist. 

Beispiel: Ein Dachdecker ist verpflichtet, seine geschäftlichen Dokumente nach zehn Jahren zu löschen. Allerdings übersteigt die Lebensdauer der Dächer mit 15-25 Jahren die gesetzliche Aufbewahrungsfrist, sodass ein berechtigtes Interesse besteht. Zudem sind Effekte auf die Freiheitsrechte des Kunden/Betroffenen nicht zu befürchten.

 

Betroffene

Ein Betroffener ist laut DSGVO eine identifizierbare oder identifizierte natürliche Person.

 

Betroffene Person

Eine Betroffene Person ist gemäß DSGVO eine identifizierbare oder identifizierte natürliche Person. Häufig wird auch nur von „Betroffenen“ gesprochen.

 

Datenarten

Datenarten sind in der DSGVO die sogenannten Datenkategorien.

Teilweise werden auch Dokumente, die eine oder mehrere Datenkategorien enthalten, als Datenart bezeichnet. Bei dieser Definition kann es jedoch zu Begriffs-Missverständnissen kommen.

 

Datenkategorien

Datenkategorien fassen Arten von Daten zusammen. Die Kategorien müssen im Verzeichnis für Verarbeitungstätigkeiten, dem AV-Vertrag, der Selbstauskunft sowie der Information für Betroffene angegeben werden. 

Datenkategorien sind Anschriftendaten, Stammdaten, Daten von Bewerbern, Beschäftigtendaten, Leistungsdaten, Vertragsdaten, Führerscheindaten, Bestell-, Vertrags-, Abrechnungs- und Zahlungsdaten, Bankverbindungsdaten, Bilder für Firmenausweise und Videoüberwachungsbilder.

Zu den besonderen Datenkategorien zählen Gesundheitsdaten, genetische Daten, biometrische Daten, Angaben über die rassische und ethnische Herkunft, Angaben zu politischen Meinungen, Gewerkschaftszugehörigkeit und Sexualleben.

Je nach verwendeter Datenkategorie müssen die technischen und organisatorischen Maßnahmen (TOM) zum größtmöglichen Schutz gewählt werden.

 

Datenmerkmale

Datenmerkmale sind personenbezogene Daten wie zum Beispiel Name, Vorname, Straße, PLZ, Ort, Mobilnummer, Sozialversicherungsnummer, Online-Kennung, Personalausweisnummer und IP-Adresse. Einzeln oder in Kombination sind hiermit Personen identifizierbar.

Häufig wird anstatt von Datenmerkmalen auch nur von personenbezogenen Daten gesprochen.

 

Datenminimierung

Unter Datenminimierung versteht man die dem Zweck angemessene und auf das notwendige Maß beschränkte Verarbeitung von Daten. Das Ziel sollte sein, so wenig wie möglich personenbezogene Daten zu erheben und zu verarbeiten.

 

Einwilligung

Eine Einwilligung ist jede freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung.

Vorausgewählte Cookie-Einstellungen, sofern diese nicht essentiell sind, sind zum Beispiel keine freiwillige Einwilligung im Sinne des Betroffenen.

 

Gemeinsam Verantwortliche

Die DSGVO definiert im Artikel 26 Abs. 1 gemeinsam Verantwortliche wie folgt:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikel 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“

Gemeinsam Verantwortliche müssen die Zusammenarbeit und Wege zur Wahrnehmung der Betroffenenrechte in einem gemeinsamen Vertrag regeln. 

 

Löschklasse

In einer Löschklasse sind eine oder mehrere Datenraten zusammengefasst, die zu einer bestimmten Frist gelöscht werden müssen. Löschklassen werden durch Löschregeln umgesetzt.

 

Löschkonzept

Personenbezogene Daten müssen nach Art. 17 DSGVO gelöscht werden, wenn sie aus gesetzlichen Gründen nicht mehr aufbewahrt werden müssen oder wenn der Betroffene eine Löschung verlangt. Welche Daten wann und wie zu löschen sind, wird im Löschkonzept definiert.

Da es für die Umsetzung des Löschkonzeptes keine gesetzliche Vorgabe gibt, kann man entweder eigene Standards definieren oder sich auf die DIN 66398 beziehen. Bei der DIN-Norm handelt es sich um die „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“.

 

Löschregeln

Eine Löschregel definiert, wann und wie Daten gelöscht werden. 

 

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare Person. Zu diesen Informationen zählt zum Beispiel: Vorname, Nachname, Adresse, Geburtsdatum, Bankdaten, Standortdaten, IP-Adresse,…

Die DSGVO definiert im Art. 4 Abs. 1 die personenbezogenen Daten folgendermaßen:

„personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

 

Personendaten

Personendaten ist lediglich ein anderer Begriff für personenbezogene Daten.

 

EU/US-Privacy Shield

Das EU-US-Privacy Shield regelt(e) den datenschutzkonformen Transfer personenbezogener Daten zwischen der EU und den Vereinigten Staaten von Amerika. Es wurde am 16. Juli 2020 vom EUGH für unwirksam erklärt. Es empfiehlt sich, die eingesetzten US-Dienste zu hinterfragen und neben Alternativen auch bestehende Verträge zu überarbeiten.

 

Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte – bezogen auf eine natürliche Person – zu bewerten.

Insbesondere Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel sind hier zu nennen.

 

Pseudonymisierung / Pseudonymisieren

Unter Pseudonymisierung versteht man die Verarbeitung von personenbezogenen Daten in einer Weise, dass diese Daten nicht mehr ohne das Hinzuziehen von zusätzlichen Informationen einer spezifischen Person zugeordnet werden können.

Hierzu zählt zum Beispiel das Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen (z.B. Identifikationsnummer).

Pseudonymisierte Daten sind aufgrund der Rückverfolgbarkeit personenbezogene Daten und unterliegen den Bestimmungen der DSGVO im Hinblick auf Verzeichnisse und technische und organisatorische Maßnahmen.

 

Schutzbedürftige Betroffene

Die personenbezogenen Daten von schutzbedürftigen Betroffenen sind besonders geschützt. Hierzu zählen Kinder, behinderte Menschen oder andere Menschen, die es schwierig haben, ihre Persönlichkeitsrechte auszuüben.

Bei der Datenverarbeitung von Kindern unter 16 Jahren sieht die DSGVO im Art. 7 vor, das Eltern ihre Einwilligung erteilen müssen.

Zudem muss im Falle einer Datenverarbeitung bei schutzbedürftigen Betroffenen eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden.

 

Schutzziele

Schutzziele werden zum Erreichen bzw. Einhalten der Datenschutz-Verordnung und damit zum Schutz der personenbezogenen Daten definiert. Schutzziele sind Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit,…

 

Speicherbegrenzung

Die DSGVO besagt zur Speicherbegrenzung, dass Daten nur so lange verarbeitet werden dürfen, wie es für den Zweck erforderlich ist. Zwar dürfen die Zeiträume selbst definiert werden, jedoch muss stets das Prinzip der Datensparsamkeit berücksichtigt werden.

 

Verantwortliche Stelle

Dies ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

 

Verantwortlicher

Verantwortliche sind in Unternehmen die Geschäftsleitung oder der Geschäftsführer, in Behörden die Amtsleitung oder in Hochschulen die Hochschulleitung (Rektor, Präsident, Kanzler).  Damit sind dies alle Personen, die im Falle grober Fahrlässigkeit bei Managemententscheidungen persönlich haftbar gemacht werden können.

Die DSGVO regelt im Art. 4 Abs. 7 den Begriff folgendermaßen:

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“

 

Verantwortlicher Verarbeiter

Verantwortlicher Verarbeiter ist lediglich ein längerer Begriff für Verarbeiter.

 

Verarbeitung

Eine Verarbeitung ist – unabhängig ob manuell oder automatisiert – jeder Vorgang oder Vorgangsreihe, welche im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung steht.

Titelbild: © André Sandner – andre-sandner.com & stock.adobe.com

  1. Start
  2. /
  3. Datenschutz
  4. /
  5. Personenbezogene Daten
  6. /
  7. Eine Erklärung wichtiger Datenschutz-Begriffe