Datenschutzglossar
A
Eine ADV regelte die Übermittlung und Verarbeitung personenbezogener Daten vor dem Inkrafttreten der DSGVO im Jahr 2019. Danach wurde die ADV von dem AVV abgelöst.
Beim Kauf eines Aktenvernichters gilt es ein paar Punkte zu beachten. Zum Einen gilt es, die Schutzklasse des Dokuments bzw. der Daten nach DIN 66399 zu beachten. Und zum Anderen werden alle Aktenvernichter in der DIN 66399 nach Sicherheitsstufen eingestuft.
Anonymisieren ist das Verändern personenbezogener Daten, damit die Einzelangaben über persönliche
und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig großem Aufwand von Zeit, Kosten
und Arbeitskraft einer natürlichen Person zugeordnet werden kann.
Der Unterscheid von Anonymisieren zu Pseudonymisieren, finden Sie unter dem Punkt „Pseudonymisieren“.
Die Aufsichtsbehörden, auch Datenschutz-Aufsichtsbehörden genannt, sind unabhängige Stellen in jedem EU-Land. Ihre Aufgabe ist es, für die Einhaltung der Datenschutzgesetze zu sorgen.
Sie dürfen Kontrollen durchführen, Bußgelder verhängen und sollen für Anfragen als kostenlose Hilfe zur Seite stehen.
Ein Auftragsverarbeiter ist nach Artikel 28 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Wichtig hierbei ist, dass der Auftragsverarbeiter nur „im Auftrag“ der verantwortlichen Stelle tätig wird und folglich nur nach den Anweisungen der verantwortlichen Stelle handelt.
In einigen Fällen verarbeiten Auftragsverarbeiter die Daten nicht selbst, sondern binden eventuell Unterauftragsnehmer ein. Dies hängt vom Verarbeitungsvertrag mit der verantwortlichen Stelle ab.
B
Hier geht es um sensible Daten, konkret geht es dabei um die folgenden Daten:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Das Bundesdatenschutzgesetz (BDSG) ist am 27. Januar 1977 mit seiner ersten Fassung in Deutschland in Kraft getreten.
Seit dem 25.05.2018 ist das BDSG mit seiner dritten Fassung in Kraft getreten. Diese Fassung ist heute auch unter dem Namen BDSG-neu bekannt und ergänzt die in Europa geltende DSGVO.
Die EDSA hat eine neue Leitlinie zur Bußgeldberechnung herausgebracht, um die Berechnungsmethoden europaweit zu vereinheitlichen.
Die allgemeine Bedingungen für die Verhängung von Geldbußen sind in Art. 83 DSGVO geregelt.
C
Die CNIL ist die nationale Datenschutzbehörde Frankreichs.
D
Seit dem 10 Juli 2023 existiert ein neues Vertragswerk, das den Datenverkehr zwischen den USA und der EU zulässt.
Um aktuell die Rechtssicherheit zu erlangen, muss das europäische Unternehmen, dass personenbezogene Daten an ein US-Unternehmen senden möchte, nur prüfen, ob dieses Unternehmen sich einem Selbstzertifizierungsverfahren unterzogen hat (Einsicht auf der Webseite des US-Handelsministeriums) und die richtigen Datenkategorien in dem Zertifikat vermerkt sind. Dann müssen die Betroffenen darüber informiert werden, dass die Daten in die USA mit dem entsprechenden Schutz übertragen werden, und die neue Rechtsgrundlage muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.
Hier finden Sie Angemessenheitsentscheidung für den EU-US-Datenschutzrahmen. ->
Für den Begriff „Data Protection by Default“ wird oft auch „Privacy by Default“ verwendet.
Data Protection by Default (Datenschutzfreundliche Voreinstellungen) bedeutet, dass beim Öffnen eines Betriebssystems, einer Software, bei der Installation einer App oder auch beim Öffnen einer Website / eines Online-Shops keine Massnahmen zum Schutz der eigenen Daten getroffen werden müssen. Die Anwendung muss per se datenschutzfreundlich gestaltet sein.
Lapidar gesagt, handelt es sich bei „…by Default“ um das Frontend (den sichtbaren Bereich).
Für den Begriff „Data Protection by Design“ wird oft auch „Privacy by Design“ verwendet.
Data Protection by Design (Datenschutz durch Technik) umfasst alle funktionellen, inhaltlichen (Erklärungen, Hinweise) und technischen (Programmierung) Massnahmen zum Schutz von personenbezogenen Daten bei der Programmierung.
Der Begriff «Design» ist hier etwas irreführend, da es nichts mit dem Aussehen eines Produktes zu tun hat, sondern das hier der Begriff „Design“ auf „Produkt-Design“ zurück zu führen ist, welcher aus der Software-Entwicklung stammt.
Lapidar gesagt, handelt es sich bei „…by Design“ um das Backend (die Programmierung).
Hier ist der Grundsatz, keine unnötigen Daten abzufragen oder zu speichern, die nicht für den jeweiligen Zweck nötig sind.
Grundsätze für die Verarbeitung personenbezogener Daten
Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung)
Datenminimierung sollte nach Art. 25 Abs. 1 DSGVO zum Zeitpunkt der Erhebung und der Verarbeitung mit den zur Verfügung stehenden technischen Mitteln ermöglicht werden, z. B. durch Pseudonymisierung und/oder Anonymisierung der personenbezogener Daten.
Klar, ein Datenschutzgenerator erstellt mit wenig Kenntnisse über den Datenschutz einen Datenschutzhinweistext, den Sie online verwenden können.
Aber wie genau er funktioniert und auf was hier zu achten ist, das erfahren Sie in einem Artikel unter News & Wissen bei uns.
Eine Datenschutz Repräsentanz ist immer dann für Unternehmen notwendig, wenn sie von außerhalb der EU/EWR regelmäßig Geschäfte innerhalb der EU/EWR machen.
Das gilt auch für die Schweiz oder die UK. Nachfolgend sind die Szenarien aufgelistet in denen eine Datenschutz Repräsentanz in den jeweiligen Ländern benötigt wird:
EU/EWR -> UK
EU/EWR -> Schweiz
Schweiz -> EU/EWR
Schweiz -> UK
UK -> EU/EWR
UK -> Schweiz
Der Datenschutz Repräsentant ist die Ansprechperson in dem Land, an den sich Betroffene und die Behörden wenden können. Der Datenschutz Repräsentant ist auch verantwortlich für die in dem Land geltenden Fristen, die hier einzuhalten sind.
Eine Datenübermittlung liegt vor, wenn personenbezogene Daten von einer Stelle an eine andere Stelle übermittelt werden, unabhängig davon, ob es sich um Dritte handelt oder nicht (Art. 4 Nr. 2 DSGVO). Die Datenübermittlung kann innerhalb eines Unternehmens oder einer Organisation (z. B. von einer Niederlassung zur Zentrale) oder zwischen verschiedenen Unternehmen oder Organisationen stattfinden (z. B. bei Outsourcing oder Cloud Computing).
Das DDG ist seit dem 13.05.2024 gültig und hat das TMG ersetzt.
Mit dem DSA (Gesetzgebungsvorschlag der EU-Kommission) will die EU-Kommission den Schutz der Verbraucher und ihrer Grundrechte im Internet verbessern, einen transparenten und klaren Rechtsrahmen für Online-Plattformen schaffen und Innovation, Wachstum und Wettbewerbsfähigkeit im Binnenmarkt fördern. Adressat der Regelungen des DSA sind:
- Online-Vermittlerdienste, wie Internetzugriffsanbieter, Domänennamen-Registrare;
- Hosting-Dienste wie Cloud- und Webhosting-Dienste;
- Online-Plattformen, die Verkäufer und Verbraucher wie Online-Marktplätze, App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen zusammen- bringen.
In Art. 35 DSGVO steht alles über eine Datenschutz-Folgeabschätzung.
Nach Art. 35 Abs. 4 DSGVO muss die Datenschutz Landesbehörde eine Liste erstellen, zu welchen Verarbeitungsvorgängen eine Datenschutz-Folgeabschätzung auf jeden Fall notwendig ist:
Liste von Baden-Württemberg
(Beispiele zu zu den Verarbeitungsvorgängen sind am Ende des Dokuments aufgeführt)
Im Gegensatz zu unserer in Europa geltenden Datenschutz-Grundverordnung (DSGVO oder auch DS-GVO) gibt es in anderen Ländern vereinfacht das Datenschutzgesetz, also abgekürzt, das DSG.
Beispiele: Schweiz und Fürstentum Lichtenstein
Die DSGVO oder auch die EU-DSGVO, ist die europäische Datenschutzgrundverordnung, die seit dem 25. Mai 2018 in Europa Gültigkeit hat.
Ergänzt wird die DSGVO in den einzelnen europäischen Ländern mit nationalen Gesetzen, wie hier in Deutschland mit dem BDSG-neu.
DSS ist oft eine Abkürzung für „Datenschutzstelle“ in vielen Ländern, vergleichbar auch mit der (nationalen) Aufsichtsbehörde in anderen Ländern.
E
Der EDSA ist eine unabhängige europäische Einrichtung. Er kümmert sich in erster Linie um die einheitliche Anwendung der Datenschutzvorschriften aus der DSGVO in der gesamten Europäischen Union. Seine Aufgaben ergeben sich aus Art. 70 DSGVO.
Die „Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (Art. 4 Nr. 3 DSGVO). Gesperrte personenbezogene Daten dürfen nur noch eingeschränkt verarbeitet werden, z. B.um gesetzlichen Aufbewahrungspflichten nachzukommen oder Rechtsansprüche zu verfolgen.
Eine „Einwilligung“ der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art. 4 Nr. 11 DSGVO).
F
Unter dem Begriff Franchise versteht man in der Wirtschaft ein Vertriebssystem, dass den Franchisenehmer in ein Dauerschuldverhältnis zum Franchisegeber bringt. Beide Parteien profitieren hieraus.
Bezugnehmend auf den Datenschutz ist es wichtig, ob der Franchisegeber als z. B. IT-Dienstleister auftritt und der Franchisenehmer damit weisungsgebunden ist oder nicht. Ist der Franchisenehmer weisungsgebunden, kann vieles über einen AVV (oder auch SCC) geregelt werden.
Bei einem solchen Franchise-Modell ist es aber auf jeden Fall zu empfehlen, einen Datenschutzbeauftragten zur Beratung heranzuziehen, um die Situation genaue zu beurteilen und entsprechende Maßnahmen einzuleiten.
Die DSGVO sieht keine Vorgabe vor, wie die Anfrage zu stellen ist. Theoretisch ginge so eine Anfrage sogar durch einen einfachen Anruf.
Der Grund, weswegen diese Art der Anfrage von den meisten Firmen abgelehnt wird, ist zum einen die Nachweispflicht, dass es eine Anfragen gegeben hat und zum anderen, dass bei einem Anruf die Identifikation der betroffenen Person nur sehr schwer ermittelt werden kann.
Daher sollte eine Anfrage zumindest via E-Mail mit den nötigen Daten zur Identifikation eingereicht werden, um eine zügige Erfüllung der Anfrage zu gewährleisten.
G
Google Fonts ist die heutige Bezeichnung der 2010 von Google LLC (früher noch Google Inc.) gestarteten Google Web Fonts.
Google Fonts ist ein sogenanntes interaktives Online Verzeichnis von über 1.000 verschiedener lizenzfreier (SIL Open Font License und Apache-Lizenz) Schriftarten, die frei verwendet werden dürfen.
In den Fokus der DSGVO kam Google Fonts durch das Urteil vom Landgericht München I im Januar 2022. Der Inhalt dieses Urteils wurde oftmals zu sehr generalisiert und bekam dadurch die Aussage, dass die Verwendung von Google Fonts nach der DSGVO nicht datenschutzkonform ist. Tatsächlich ist mit dem Urteil nur die herkömmliche Verwendung von Google Fonts gemeint, in dem der User beim Aufrufen der Internetseite eine Schrift vom Google Server herunterlädt. Eine weitere Verwendung der Google Fonts ist ohne weiteres möglich. Hierbei muss die Programmierung nur dafür sorgen, dass die gewünschte Schrift auf den eigenen Server geladen wird und der User somit bei Aufruf der Internetseite die Schrift von diesem Server herunterlädt.
H
Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2.07.2023 in Kraft getreten und Unternehmen mit über 50 Beschäftigten, mussten die gesetzlichen Vorgaben bis zum 17.12.2023 umsetzen.
Mit diesem Gesetz soll es Mitarbeitern in einem gesetzlichem Rahmen möglich sein, Rechtsverstöße im Unternehmen zu melden.
I
Die ICO ist die unabhängige Stelle des Vereinigten Königreichs, die für die Wahrung der Informationsrechte zuständig ist.
Die IMY ist die nationale Datenschutzbehörde von Schweden.
Die Informationspflicht ist eine der zentralen Pflichten der Datenschutz-Grundverordnung (DSGVO). Danach muss der Verantwortliche die betroffene Person u. a. bei Erhebung von Daten informieren, ob und inwieweit die Datenverarbeitung rechtmäßig ist (Art. 13, 14 DSGVO). Die Informationspflicht wird in einer Datenschutzerklärung erfüllt, in der der Verantwortliche die betroffene Person über die wesentlichen Aspekte der Datenverarbeitung informiert.
Die Abkürzung ISMS steht für Information Security Management System (auf Deutsch: Managementsystem für die Informationssicherheit). Ein solches ISMS definiert Regeln, Prozesse, Verfahren, Maßnahmen und zu verwendente Tools, die die Informationssicherheit im Unternehmen kontrollieren, steuern und optimieren lässt.
Damit soll die steigende Kontrolltätigkeiten für die immer umfangreichere Risiken in der IT, besser kontrollierbar und leichter zu überwachen bleiben.
L
Die Verwendung lit. ist die Abkürzung für das lateinische Wort littera, was Buchstabe bedeutet. Lit. wird oft in der Rechtswissenschaft verwendet, um einen bestimmten Punkt von nach Buchstaben gegliederten Aufzählungen zu zitieren, wie z. B. Art. 6 Abs. 1 lit. f DSGVO.
Unternehmen müssen sämtliche Daten löschen, die sie nicht mehr benötigen und für die es keine Aufbewahrungspflichten gibt. Nach Art. 24 Abs. 1 DSGVO muss die Geschäftsführung für das Löschen eine verantwortliche Person benennen oder geeignete Maßnahmen treffen. Nach Art. 5 Abs. 2 DSGVO muss das in einer nachweisbaren Form geschehen. Eine Überprüfung dieser Löschvorgänge sollte nach Erwägungsgrund 39 (Grundsätze der Datenverarbeitung) regelmäßige erfolgen.
Eine gesetzliche Notwendigkeit für ein schriftliches Löschkonzept gibt es nicht, allerdings für den Nachweis, dass es ein Löschkonzept gibt, ist eine Schriftform zu wählen.
M
Bei dem Marktortprinzip in der DSGVO geht es darum, wann die DSGVO greift und wann nicht. Die DSGVO gilt dann für Unternehmen oder Organisationen außerhalb der EU/EWR, soweit diese ihre Dienstleistungen oder Waren in der EU oder im EWR anbieten. Dies bedeutet, dass die DSGVO nicht nur Anwendung findet, wenn die Datenverarbeitung im Gebiet der EU/EWR oder durch einen im Gebiet der EU/EWR ansässigen Anbieter stattfindet, sondern nach Art. 3 der DSGVO auch, wenn die Datenverarbeitung mit einem Angebot in Zusammenhang steht, das sich an Personen in der EU/EWR richtet. Die genaue Bestimmung, wann ein solches Ausrichten vorliegt, ist bis auf die „Regelmäßigkeit“ in der DSGVO noch nicht eindeutig geklärt. (Stand 2023)
P
Pseudonymisieren ist das Ersetzen von personenbezogener Identifikationsmerkmale durch ein Kennzeichen zu
dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
„Pseudonym“ kommt aus dem Griechischen und bedeutet so viel wie „unter falschem Namen auftreten“.
Der Unterscheid von Pseudonymisieren zu Anonymisieren, finden Sie unter dem Punkt „Anonymisieren“.
R
Das Schweizer revDSG ist am 01. September 2023 in Kraft getreten. Hier können Sie den Gesetzestext des revDSG lesen:
https://datenbuddy.de/gesetze/bundesgesetz-ueber-den-datenschutz-schweiz/
Diese Standardvertragsklauseln sind sogenannte „Musterverträge“, die zur Darlegung einer geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in sichere/unsichere Drittstaaten verwendet werden können.
Im ersten Teil der DIN 66399 geht es um die Schutzklassen. Hier werden Dokumente und Daten in drei Kategorien des Schutzbedarfs gegliedert. Schutzklasse 3 ist die höchste Kategorie.
Schutzklasse 1 – normaler Schutzbedarf für personenbezogene Daten
Schutzklasse 2 – hoher Schutzbedarf für vertrauliche Daten
Schutzklasse 3 – sehr hoher Schutzbedarf für geheime Daten
SEA ist die englische Abkürzung für Suchmaschinenwerbung und ein Teil von SEM (Suchmaschinenmarketing).
Diese Marketing Maßnahmen für Suchmaschinen lassen sich in SEO (Suchmaschinenoptimierung) und SEA (Suchmaschinenwerbung) unterteilen.
SEO ist die englische Abkürzung für Suchmaschinenoptimierung und ein Teil von SEM (Suchmaschinenmarketing).
Es gibt zuerst einmal nur 7 Sicherheitsstufen (P-1 bis P-7), wobei P-1 die niedrigste und P-7 die höchste Sicherheitsstufe ist.
Für den Datenschutz bzw. für die Vernichtung von Dokumenten mit personenbezogenen Daten geht es erst ab P-4 los. Aktenvernichter mit der Sicherheitsstufe P-4 dürfen in der Buchhaltung und dem Personalbüro verwendet werden.
Sobald „sensible Daten“ hinzu kommen, braucht man schon einen Aktenvernichter mit der Sicherheitsstufe P-5 oder höher.
Social Media Marketing (SMM) ist ein Teil des Online-Marketings. Hier werden soziale Medien wie z.B. Facebook, Twitter oder Instagram genutzt, um bestimmte Botschaften an ausgewählte Zielgruppen zu kommunizieren. SMM beinhaltet taktische und strategische Planung für die Kommunikation von Unternehmensbotschaften, Produktinformationen, Interaktion mit Nutzern und Generierung von Besuchern für die eigene Website.
Abkürzung für die schweizer ‚Staatspolitischen Kommission des Nationalrats‚.
Die SPK ist eine Sachbereichskommission des schweizer Parlaments, dass sich um die folgenden Sachbereiche kümmert:
- Organisation und Verfahren der Regierung und der Bundesverwaltung
- Parlamentsrecht (unter Vorbehalt der besonderen Themen/Kompetenzen der Büros)
- Gewaltenteilung, Kompetenzverteilung zwischen den Bundesbehörden (inkl. Verfassungsgerichtsbarkeit)
- Bundespersonal
- Beziehungen zwischen Bund und Kantonen (allg. und institutionelle Fragen, Gewährleistung der kantonalen Verfassungen)
- Politische Rechte
- Rolle des Staates bei der Meinungsbildung
- Bürgerrecht
- Ausweisschriften
- Ausländerrecht
- Asylrecht
- Datenschutz
- Beziehungen zwischen Staat und Religion
T
Das TDDDG ist seit dem 13.05.2024 gültig und hat das TTDSG ersetzt.
Eine TIA ist eine Datenschutz-Folgeabschätzung mit nur einem Ziel. Das Unternehmen muss durch die TIA festlegen, ob das zur Datenbearbeitung beauftragte Unternehmen in einem Drittland durch dort geltendes Recht gezwungen sein kann, gegen die Regelungen aus den SCCs zu verstoßen.
Das TMG hat bis einschließlich 12.05.2024 die rechtlichen Rahmenbedingungen für Telemedien geregelt. Am 13.05.2024 wurde es durch das Digitale-Dienste-Gesetz (DDG) ersetzt.
Transparenz im Sinne der DSGVO bedeutet, dass der Betroffene bei jeder Verarbeitung seiner personenbezogenen Daten durch die verarbeitende Stelle informiert werden muss. Nur so kann der Betroffene auch seine in der DSGVO verankerten Rechte wahrnehmen.
Das TTDSG hat bis einschließlich 12.05.2024 das Fernmeldegeheimnis geregelt. Am 13.05.2024 wurde es durch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ersetzt.
V
Eine Verarbeitung von personenbezogenen Daten kann manuell oder automatisiert sein. Als Verarbeitung gilt folgendes:
- das Erheben von Daten
- das Erfassen von Daten
- die Organisation von Daten
- das Ordnen von Daten
- die Speicherung von Daten
- die Anpassung oder Veränderung von Daten
- das Auslesen von Daten
- das Abfragen von Daten
- die Verwendung von Daten
- die Offenlegung durch Übermittlung von Daten
- die Verbreitung oder eine andere Form der Bereitstellung von Daten
- den Abgleich oder die Verknüpfung von Daten
- die Einschränkung von Daten
- das Löschen oder die Vernichtung von Daten
Das „Verzeichnis von Verarbeitungstätigkeiten“ ist eine zentrale Dokumentation gemäß der Datenschutz-Grundverordnung (DSGVO). Danach müssen Verantwortliche und Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die sie durchführen (Art. 30 DSGVO). Das Verzeichnis enthält u. a. Angaben zum Verantwortlichen, zu den Zwecken der Verarbeitung, zu den Kategorien betroffener Personen und Empfänger sowie zu den vorgesehenen Fristen für die Löschung der Daten.
W
Hier können Sie ein Muster für einen Widerruf der von Ihnen erteilte Einwilligung zur Nutzung Ihrer personenbezogener Daten zu einem bestimmten Zweck herunterladen: