Datenschutzglossar

A

Ein Auftragsverarbeiter ist nach Artikel 28  DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Wichtig hierbei ist, dass der Auftragsverarbeiter nur „im Auftrag“ der verantwortlichen Stelle tätig wird und folglich nur nach den Anweisungen der verantwortlichen Stelle handelt.

In einigen Fällen verarbeiten Auftragsverarbeiter die Daten nicht selbst, sondern binden eventuell Unterauftragsnehmer ein. Dies hängt vom Verarbeitungsvertrag mit der verantwortlichen Stelle ab.

Eine ADV regelte die Übermittlung und Verarbeitung personenbezogener Daten vor dem Inkrafttreten der DSGVO im Jahr 2019. Danach wurde die ADV von dem AVV abgelöst.

Anonymisieren ist das Verändern personenbezogener Daten, damit die Einzelangaben über persönliche
und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig großem Aufwand von Zeit, Kosten
und Arbeitskraft einer natürlichen Person zugeordnet werden kann.

Der Unterscheid von Anonymisieren zu Pseudonymisieren, finden Sie unter dem Punkt „Pseudonymisieren“.

Dieser AVV soll die Übermittlung von personenbezogener Daten (von einem Verantwortlichen an einen Auftragsverarbeiter) und die Verwendung und/oder Bearbeitung dieser Daten absichern. Er sollte bestimmte Mindestanforderungen erfüllen, die in Artikel 28 DSGVO geregelt sind.
 

Die Aufsichtsbehörden, auch Datenschutz-Aufsichtsbehörden genannt, sind unabhängige Stellen in jedem EU-Land. Ihre Aufgabe ist es, für die Einhaltung der Datenschutzgesetze zu sorgen.

Sie dürfen Kontrollen durchführen, Bußgelder verhängen und sollen für Anfragen als kostenlose Hilfe zur Seite stehen.

B

Hier geht es um sensible Daten, konkret geht es dabei um die folgenden Daten:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Das Bundesdatenschutzgesetz (BDSG) ist am 27. Januar 1977 mit seiner ersten Fassung in Deutschland in Kraft getreten.
Seit dem 25.05.2018 ist das BDSG mit seiner dritten Fassung in Kraft getreten. Diese Fassung ist heute auch unter dem Namen BDSG-neu bekannt und ergänzt die in Europa geltende DSGVO.

Die EDSA hat eine neue Leitlinie zur Bußgeldberechnung herausgebracht, um die Berechnungsmethoden europaweit zu vereinheitlichen. 

Die allgemeine Bedingungen für die Verhängung von Geldbußen sind in Art. 83 DSGVO geregelt.

D

Für den Begriff „Data Protection by Default“ wird oft auch „Privacy by Default“ verwendet.

Data Protection by Default (Datenschutzfreundliche Voreinstellungen) bedeutet, dass beim Öffnen eines Betriebssystems, einer Software, bei der Installation einer App oder auch beim Öffnen einer Website / eines Online-Shops keine Massnahmen zum Schutz der eigenen Daten getroffen werden müssen. Die Anwendung muss per se datenschutzfreundlich gestaltet sein.

Lapidar gesagt, handelt es sich bei „…by Default“ um das Frontend (den sichtbaren Bereich).

Für den Begriff „Data Protection by Design“ wird oft auch „Privacy by Design“ verwendet.

Data Protection by Design (Datenschutz durch Technik) umfasst alle funktionellen, inhaltlichen (Erklärungen, Hinweise) und technischen (Programmierung) Massnahmen zum Schutz von personenbezogenen Daten bei der Programmierung. 

Der Begriff «Design» ist hier etwas irreführend, da es nichts mit dem Aussehen eines Produktes zu tun hat, sondern das hier der Begriff „Design“ auf  „Produkt-Design“ zurück zu führen ist, welcher aus der Software-Entwicklung stammt. 

Lapidar gesagt, handelt es sich bei „…by Design“ um das Backend (die Programmierung).

Hier ist der Grundsatz, keine unnötigen Daten abzufragen oder zu speichern, die nicht für den jeweiligen Zweck nötig sind.

Grundsätze für die Verarbeitung personenbezogener Daten
Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung)

Datenminimierung sollte nach Art. 25 Abs. 1 DSGVO zum Zeitpunkt der Erhebung und der Verarbeitung mit den zur Verfügung stehenden technischen Mitteln ermöglicht werden, z. B. durch Pseudonymisierung und/oder Anonymisierung der personenbezogener Daten.

In Art. 35 DSGVO steht alles über eine Datenschutz-Folgeabschätzung.

Nach Art. 35 Abs. 4 DSGVO muss die Datenschutz Landesbehörde eine Liste erstellen, zu welchen Verarbeitungsvorgängen eine Datenschutz-Folgeabschätzung auf jeden Fall notwendig ist:

Liste von Baden-Württemberg
(Beispiele zu zu den Verarbeitungsvorgängen sind am Ende des Dokuments aufgeführt)

Der DMA (Gesetzgebungsvorschlag der EU-Kommission) stellt den wettbewerbsrechtlichen Teil der Regulierung digitaler Märkte dar.

Mit dem DSA (Gesetzgebungsvorschlag der EU-Kommission) will die EU-Kommission den Schutz der Verbraucher und ihrer Grundrechte im Internet verbessern, einen transparenten und klaren Rechtsrahmen für Online-Plattformen schaffen und Innovation, Wachstum und Wettbewerbsfähigkeit im Binnenmarkt fördern. Adressat der Regelungen des DSA sind:

  • Online-Vermittlerdienste, wie Internetzugriffsanbieter, Domänennamen-Registrare;
  • Hosting-Dienste wie Cloud- und Webhosting-Dienste;
  • Online-Plattformen, die Verkäufer und Verbraucher wie Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen zusammen- bringen.

Im Gegensatz zu unserer in Europa geltenden Datenschutz-Grundverordnung (DSGVO oder auch DS-GVO) gibt es in anderen Ländern vereinfacht das Datenschutzgesetz, also abgekürzt, das DSG. 

Beispiele: Schweiz und Fürstentum Lichtenstein

Die DSGVO oder auch die EU-DSGVO, ist die europäische Datenschutzgrundverordnung, die seit dem 25. Mai 2018 in Europa Gültigkeit hat. 

Ergänzt wird die DSGVO in den einzelnen europäischen Ländern mit nationalen Gesetzen, wie hier in Deutschland mit dem BDSG-neu.

DSS ist oft eine Abkürzung für „Datenschutzstelle“ in vielen Ländern, vergleichbar auch mit der (nationalen) Aufsichtsbehörde in anderen Ländern.

Eine Datenschutz Repräsentanz ist immer dann für Unternehmen notwendig, wenn sie von außerhalb der EU/EWR regelmäßig Geschäfte innerhalb der EU/EWR machen.

Das gilt auch für die Schweiz oder die UK. Nachfolgend sind die Szenarien aufgelistet in denen eine Datenschutz Repräsentanz in den jeweiligen Ländern benötigt wird:

EU/EWR -> UK
EU/EWR -> Schweiz

Schweiz -> EU/EWR
Schweiz -> UK

UK -> EU/EWR
UK -> Schweiz

Der Datenschutz Repräsentant ist die Ansprechperson in dem Land, an den sich Betroffene und die Behörden wenden können. Der  Datenschutz Repräsentant ist auch verantwortlich für die in dem Land geltenden Fristen, die hier einzuhalten sind.

E

Der EDSA ist eine unabhängige europäische Einrichtung. Er kümmert sich in erster Linie um die einheitliche Anwendung der Datenschutzvorschriften aus der DSGVO in der gesamten Europäischen Union. Seine Aufgaben ergeben sich aus Art. 70 DSGVO.

F

Unter dem Begriff Franchise versteht man in der Wirtschaft ein Vertriebssystem, dass den Franchisenehmer in ein Dauerschuldverhältnis zum Franchisegeber bringt. Beide Parteien profitieren hieraus. 

Bezugnehmend auf den Datenschutz ist es wichtig, ob der Franchisegeber als z. B. IT-Dienstleister auftritt und der Franchisenehmer damit weisungsgebunden ist oder nicht. Ist der Franchisenehmer weisungsgebunden, kann vieles über einen AVV (oder auch SCC) geregelt werden.

Bei einem solchen Franchise-Modell ist es aber auf jeden Fall zu empfehlen, einen Datenschutzbeauftragten zur Beratung heranzuziehen, um die Situation genaue zu beurteilen und entsprechende Maßnahmen einzuleiten.

Die DSGVO sieht keine Vorgabe vor, wie die Anfrage zu stellen ist. Theoretisch ginge so eine Anfrage sogar durch einen einfachen Anruf.

Der Grund, weswegen diese Art der Anfrage von den meisten Firmen abgelehnt wird, ist zum einen die Nachweispflicht, dass es eine Anfragen gegeben hat und zum anderen, dass bei einem Anruf die Identifikation der betroffenen Person nur sehr schwer ermittelt werden kann.

Daher sollte eine Anfrage zumindest via E-Mail mit den nötigen Daten zur Identifikation eingereicht werden, um eine zügige Erfüllung der Anfrage zu gewährleisten.

G

Google Fonts ist die heutige Bezeichnung der 2010 von Google LLC (früher noch Google Inc.) gestarteten Google Web Fonts. 

Google Fonts ist ein sogenanntes interaktives Online Verzeichnis von über 1.000 verschiedener lizenzfreier (SIL Open Font License und Apache-Lizenz) Schriftarten, die frei verwendet werden dürfen.

In den Fokus der DSGVO kam Google Fonts durch das Urteil vom Landgericht München I im Januar 2022. Der Inhalt dieses Urteils wurde oftmals zu sehr generalisiert und bekam dadurch die Aussage, dass die Verwendung von Google Fonts nach der DSGVO nicht datenschutzkonform ist. Tatsächlich ist mit dem Urteil nur die herkömmliche Verwendung von Google Fonts gemeint, in dem der User beim Aufrufen der Internetseite eine Schrift vom Google Server herunterlädt. Eine weitere Verwendung der Google Fonts ist ohne weiteres möglich. Hierbei muss die Programmierung nur dafür sorgen, dass die gewünschte Schrift auf den eigenen Server geladen wird und der User somit bei Aufruf der Internetseite die Schrift von diesem Server herunterlädt.

L

Die Verwendung lit. ist die Abkürzung für das lateinische Wort littera, was Buchstabe bedeutet. Lit. wird oft in der Rechtswissenschaft verwendet, um einen bestimmten Punkt von nach Buchstaben gegliederten Aufzählungen zu zitieren, wie z. B. Art. 6 Abs. 1 lit. f DSGVO.

Unternehmen müssen sämtliche Daten löschen, die sie nicht mehr benötigen und für die es keine Aufbewahrungspflichten gibt. Nach Art. 24 Abs. 1 DSGVO muss die Geschäftsführung für das Löschen eine verantwortliche Person benennen oder geeignete Maßnahmen treffen. Nach Art. 5 Abs. 2 DSGVO muss das in einer nachweisbaren Form geschehen. Eine Überprüfung dieser Löschvorgänge sollte nach Erwägungsgrund 39 (Grundsätze der Datenverarbeitung) regelmäßige erfolgen.

Eine gesetzliche Notwendigkeit für ein schriftliches Löschkonzept gibt es nicht, allerdings für den Nachweis, dass es ein Löschkonzept gibt, ist eine Schriftform zu wählen.

P

Hier geht es um Daten, deren Information einer natürlichen Person zugeordnet werden kann.

Pseudonymisieren ist das Ersetzen von personenbezogener  Identifikationsmerkmale durch ein Kennzeichen zu
dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. 

„Pseudonym“ kommt aus dem Griechischen und bedeutet so viel wie „unter falschem Namen auftreten“.

Der Unterscheid von Pseudonymisieren zu Anonymisieren, finden Sie unter dem Punkt „Anonymisieren“.

S

Diese Standardvertragsklauseln sind sogenannte „Musterverträge“, die zur Darlegung einer geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in sichere/unsichere Drittstaaten verwendet werden können.

SEA ist die englische Abkürzung für Suchmaschinenwerbung und ein Teil von SEM  (Suchmaschinenmarketing).

Diese Marketing Maßnahmen für Suchmaschinen lassen sich in SEO (Suchmaschinenoptimierung) und SEA (Suchmaschinenwerbung) unterteilen.

SEO ist die englische Abkürzung für Suchmaschinenoptimierung und ein Teil von SEM  (Suchmaschinenmarketing).

Social Media Marketing (SMM) ist ein Teil des Online-Marketings. Hier werden soziale Medien wie z.B. Facebook, Twitter oder Instagram genutzt, um bestimmte Botschaften an ausgewählte Zielgruppen zu kommunizieren. SMM beinhaltet taktische und strategische Planung für die Kommunikation von Unternehmensbotschaften, Produktinformationen, Interaktion mit Nutzern und Generierung von Besuchern für die eigene Website.

Abkürzung für die schweizer ‚Staatspolitischen Kommission des Nationalrats‚.

Die SPK ist eine Sachbereichskommission des schweizer Parlaments, dass sich um die folgenden Sachbereiche kümmert:

  • Organisation und Verfahren der Regierung und der Bundesverwaltung
  • Parlamentsrecht (unter Vorbehalt der besonderen Themen/Kompetenzen der Büros)
  • Gewaltenteilung, Kompetenzverteilung zwischen den Bundesbehörden (inkl. Verfassungsgerichtsbarkeit)
  • Bundespersonal
  • Beziehungen zwischen Bund und Kantonen (allg. und institutionelle Fragen, Gewährleistung der kantonalen Verfassungen)
  • Politische Rechte
  • Rolle des Staates bei der Meinungsbildung
  • Bürgerrecht
  • Ausweisschriften
  • Ausländerrecht
  • Asylrecht
  • Datenschutz
  • Beziehungen zwischen Staat und Religion

T

TOMs sind die nach Art. 32 DSGVO vorgeschriebenen Maßnahmen, die der Verantwortliche und/oder der Auftragsverarbeiter treffen muss, um die Sicherheit der personenbezogenen Daten während der Datenverarbeitung zu gewährleisten.

Transparenz im Sinne der DSGVO bedeutet, dass der Betroffene bei jeder Verarbeitung seiner personenbezogenen Daten durch die verarbeitende Stelle informiert werden muss. Nur so kann der Betroffene auch seine in der DSGVO verankerten Rechte wahrnehmen.

V

Eine Verarbeitung von personenbezogenen Daten kann manuell oder automatisiert sein. Als Verarbeitung gilt folgendes:

  • das Erheben von Daten
  • das Erfassen von Daten
  • die Organisation von Daten
  • das Ordnen von Daten
  • die Speicherung von Daten
  • die Anpassung oder Veränderung von Daten
  • das Auslesen von Daten
  • das Abfragen von Daten
  • die Verwendung von Daten
  • die Offenlegung durch Übermittlung von Daten
  • die Verbreitung oder eine andere Form der Bereitstellung von Daten
  • den Abgleich oder die Verknüpfung von Daten
  • die Einschränkung von Daten
  • das Löschen oder die Vernichtung von Daten

W

Hier können Sie ein Muster für einen Widerruf der von Ihnen erteilte Einwilligung zur Nutzung Ihrer personenbezogener Daten zu einem bestimmten Zweck herunterladen:

➟ Widerruf Einwilligung.docx (Word-Dokument 23 KB)