Datenschutz-Lexikon - Begriffe im Datenschutz erklärt

Willkommen in unserem Datenschutz-Lexikon

Hier im Datenschutz-Lexikon von DatenschutzProfi24 erklären wir Ihnen die Begriffe, die Ihnen im Datenschutz regelmäßig unterkommen. Falls Ihnen Begriffe fehlen, so kontaktieren Sie uns bitte und wir erklären Ihnen den fehlenden Begriff und werden Ihn in das Datenschutz-Lexikon aufnehmen.

  • A

    +

    Audit

    Ein Audit ist ein Untersuchungsverfahren, welches dazu dient die Prozesse bezüglich der Erfüllung von Anforderungen und Richtlinien zu bewerten. Ein erfolgreiches Audit im Datenschutz gibt Ihnen, Ihren Kunden, Lieferanten und Mitarbeitern die Sicherheit, dass Ihr Unternehmen sicher mit personenbezogenen Daten umgeht.

    Auftragsdatenverarbeitung

    Eine Datenverarbeitung im Auftrag ist, wenn sich die verantwortliche Stelle einer Stelle bedient, die für diese im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet, nutzt der löscht. Die Auftragsdatenverarbeitung ist im BDSG in §11 beschrieben. Weitere Informationen finden Sie hier.

    Anonymisierung (personenbezogener Daten)

    Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

    Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

    Automatisierte Verarbeitung

    Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.

  • B

    +

    Bundesdatenschutzgesetz (BDSG)

    Das Bundesdatenschutzgesetz regelt viele Punkte des Datenschutzes in der Bundesrepublik Deutschland. Dabei ist jedoch zu beachten, dass das BDSG ein so genanntes Auffanggesetz ist und die Regelungen des BDSG erst ziehen, wenn der Umgang mit personenbezogenen Daten nicht in einem anderen Gesetz geregelt ist.

    Beschäftigte

    Beschäftigte sind (1) Arbeitnehmerinnen und Arbeitnehmer, (2) zu ihrer Berufsbildung Beschäftigte, (3) Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung, (4) in anerkannten Werkstätten für behinderte Menschen Beschäftigte, (5) nach dem Jugendfreiwilligendienstegesetz Beschäftigte, (6) Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, (7) Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, (8) Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

    Besondere Arten personenbezogener Daten

    Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

    Betriebsvereinbarung

    Eine Betriebsvereinbarung wird zwischen dem Arbeitgeber und dem Betriebsrat geschlossen um z.B. im Datenschutz-Bereich die Einführung und Anwendung von technischen Einrichtungen zu vereinbaren, in denen die Möglichkeit besteht das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Weitere Informationen erhalten Sie hier.

    Binding Corporate Rules

    Abgekürzt auch BCR genannt, sind Richtlinien zum Umgang mit personenbezogenen Daten. Weitergehende Informationen finden Sie unter: Binding Corporate Rules

    Bußgelder (BDSG)

    Bei Nichtbeachtung des Bundesdatenschutzgesetzes fallen teilweise erhebliche Geldbußen an entsprechend §43 BDSG und §44 BDSG:

    Bußgelder bis 50.000,- €

    • Verstoß gegen die Meldepflicht
    • eine fehlende, eine nicht rechtzeitige oder ordnungsgemäße Bestellung eines Datenschutzbeauftragten
    • fehlende Protokollierung bei automatisierten Abrufverfahren
    • Verstoß gegen eine Anordnung der Aufsichtsbehörde
    • Pflichtverletzung bei der Auftragsdatenverarbeitung
    • wenn die Benachrichtigung über die Datenerhebung gegenüber dem Betroffene nicht, nicht richtig oder nicht rechtzeitig erfolgt
    • eine fehlende Widerrufsbelehrung bei einer werblichen Ansprache
    • unzulässige Übermittlung und Nutzung von Daten entgegen ihrem Zweck
    • Verstoß gegen die Dokumentationspflichten bei der Datenübermittlung zu Geschäftszwecken
    • wenn eine Auskunft gegenüber einem Betroffenen nicht, unvollständig, verspätet oder falsch erfolgt

    Bußgelder bis 300.000,- €

    • für eine unbefugte Erhebung und Verarbeitung von pb Daten, die nicht allgemein zugänglich sind
    • für eine unbefugte Bereithaltung von pb Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahren
    • für den unbefugten Abruf von pb Daten, die nicht allgemein zugänglich sind
    • für die Erschleichung von Übermittlungen von pb Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben
    • für das Nutzen von Daten entgegen ihrer Zweckbindung
    • für eine Missachtung des Kopplungsverbotes
    • für das Nutzen von pb Daten zum Zwecke der Werbung, Markt- und Meinungsforschung, obwohl ein Widerspruch vorliegt
    • De-Anonymisierung von anonymisierten Daten
    • wenn eine nicht-öffentliche Stelle feststellt, dass sie unrechtmäßig besondere Arten von Daten übermittelt hat und dies nicht der Aufsichtsbehörde meldet

  • C

    +

    CISO – Chief Information Security Officer

    Der Chief Information Security Officer ist der Verantwortliche für die Informationssicherheit in einer Organisation.

    Folgende Aufgaben obliegen dem CISO:

    • Erarbeitung und die Definition von sicherheitsrelevanten Objekten
    • Aufbau und Betrieb der Organisationseinheit zur Umsetzung der Ziele der Sicherheit
    • Erstellen von Sicherheitsrichtlinien
    • Mitarbeiterschulungen
    • Durchführung von Sicherheits-Audits

  • D

    +

    Datenschutz

    Der Datenschutz ist der technische und organisatorische Schutz von personenbezogenen Daten. Der Datenschutz ist speziell im BDSG geregelt.

    Datenschutzgrundverordnung (DSGVO)

    Die EU-Datenschutzgrundverordnung tritt am 25.05.2018 in allen Mitgliedsstaaten der EU in Kraft und löst damit die bestehende EU-Richtlinie und die nationalen Gesetze zum Datenschutz ab um eu-weit ein einheitliches Datenschutzniveau zu erreichen.

  • E

    +

    Empfänger

    Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

    Erhebung (personenbezogener Daten)

    Als Erhebung wird die Beschaffung von personenbezogenen Daten über den Betroffenen bezeichnet. Die Art der Erhebung kann dabei durch unterschiedlichste Wege erfolgen. (Siehe auch §3 Abs. 3 BDSG)

    EU-Datenschutzgrundverordnung (EU-DSGVO)

    -> siehe Datenschutzgrundverordnung

    EU-US-Privacy-Shield

    -> siehe Privacy-Shield

  • F

    +

    Facebook

    Facebook ist ein soziales Netzwerk. Sehr oft kommt es zu Fragen oder Problemen den Datenschutz betreffend mit Facebook.

  • G

    +

    Google Analytics

    Google Analytics ist ein Tool der Google Inc. zur Analyse des Webtraffics. Die datenschutzrechtliche Nutzung ist problematisch und umstritten. Bei der Benutzung von Google Analytics ist darauf zu achten, dass ein entsprechender Passus in der Datenschutzerklärung vorhanden ist und das ein Vertrag zur Auftragsdatenverarbeitung mit Google geschlossen wurde.

  • H

    +

    Hintertür

    Als Hintertüren werden Schadprogramme bezeichnet, die dazu genutzt werden unbemerkt in ein IT-System einzudringen. Dabei besitzt der Angreifer weitgehende Rechte um ggf. seine Angriffsspuren zu verdecken.

  • I

    +

    Integrität (von Daten und Systemen)

    Die Integrität bezeichnet das Sicherstellen der Korrektheit von Daten, aber auch von Systemen und deren Funktionsweise. Bei Daten heißt dies das sie vollständig und unverändert sind.

  • K

    +

    Keylogger

    Ein Keylogger sammelt Informationen bei der Tastatureingabe und schneidet diese entsprechend mit. Ein Keylogger kann Hardware sein, die zwischengeschaltet ist oder Software.

  • L

    +

    Löschung (personenbezogener Daten)

    Eine Löschung personenbezogener Daten ist zu erfolgen lt. §35 BDSG wenn:

    1. die Speicherung unzulässig ist,
    2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
    3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
    4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.

  • M

    +

    Mobile personenbezogene Speicher- und Verarbeitungsmedien

    Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, die an den Betroffenen ausgegeben werden, auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und, bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.

  • N

    +

    Newsletter

    Newsletter und Newsletter-Marketing haben viele Vorteile, die Unternehmen heutzutage nutzen um ihre Kunden bzw. potentielle Kunden zu erreichen und um ihre Produkte an den Markt zu bringen. Jedoch kann man bei der Verwendung von Newslettern auch viele Fehler begehen, was den Datenschutz angeht. Weitere Informationen.

    Nutzung (personenbezogener Daten)

    Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.

  • O

    +

    Öffnungsklausel

    Der Begriff Öffnungsklausel kommt aus dem Vertragsrecht und gibt den Vertragsparteien die Möglichkeit abweichende Regelungen zu treffen. Vor allem in Bezug auf die DSGVO (Datenschutzgrundverordnung) gibt es verschiedenste Öffnungsklauseln, die den Mitgliedsstaaten die Möglichkeit geben individuelle nationale Regelungen zu treffen. Ein Beispiel für eine Öffnungsklausel gibt es in Art. 88 Abs. 1 zum Beschäftigtendatenschutz.

    Opt-In

    Das Opt-In-Verfahren ist ein ausdrückliches Zustimmungsverfahren, bei dem der Benutzer aktiv bestätigen muss, damit Etwas passiert. Beispiele dafür sind die Zustimmungen zu AGBs oder den Datenschutz-Regelungen.

    Opt-Out

    Das Opt-Out-Verfahren ist das genaue Gegenteil zum Opt-In-Verfahren. Ein Beispiel für ein Opt-Out ist unter der Datenschutz-Erklärung von datenschutzprofi24.de die Herausnahme aus der Analyse durch Piwik.

  • P

    +

    Personenbezogene Daten

    Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

    Piwik

    Piwik ist ein Webseiten-Analysetool wie Google Analytics, hat jedoch den Vorteil aus Sicht des Datenschutzes, dass man Piwik auf dem eigenen Webserver installieren kann. Weitere Infos zu Piwik.

    Privacy Shield

    Der EU-US-Privacy-Shield ist der Nachfolger des abgekündigten Safe-Harbor-Abkommens und soll Firmen, die personenbezogene Daten in die USA übertragen eine rechtskonforme Umgebung bereit stellen. Der Privacy Shield steht jedoch in der Kritik, da viele Datenschützer auch weiterhin keinen ausreichenden Schutz der Daten vor staatlichen Zugriff gewährleistet sehen. Der Privacy Shield wurde am 12.07.16 unterzeichnet und ist sofort in Kraft getreten. Weitere Infos zum Privacy Shield.

  • Q

    +

    Quellcode

    Der Quellcode ist der lesbare Programmcode eines Programmes.

  • R

    +

    Risikoanalyse

    Bei einer Risikoanalyse sollen schon im Vorwege der technischen Realisierung entsprechende Risiken die Rechte und Freiheiten der Betroffenen abgeschätzt werden, die ggf. entstehen, wenn ein neues DV-Verfahren eingeführt oder ein bestehendes DV-Verfahren an wesentlichen Punkten geändert werden soll.

    Eine entsprechende Risikoanalyse kann Fehler bei der Entwicklung vermeiden und die Anforderungen des Datenschutzes können bereits in der Anfangsphase des Projektes integriert werden.

  • S

    +

    Safe Harbor

    Das Safe Harbor-Abkommen aus dem Jahr 2000 sollte Unternehmen die Möglichkeit geben personenbezogene Daten aus der EU in die USA zu übermitteln. Dieses Abkommen wurde jedoch am 06.10.15 durch den EUGH für ungültig erklärt. Weitere Informationen.

    Social Plugins

    Social Plugins kann man auf Webseiten einbinden um Inhalte in den sozialen Netzwerken besser teilen zu können. Der Einsatz von Social Plugins wirft jedoch datenschutzrechtliche Probleme auf. Weitere Informationen.

  • T

    +

    Telemedien-Gesetz

    Das Telemedien-Gesetz regelt wie schon der Name sagt die rechtlichen Rahmenbedingungen der Telemedien. Im Datenschutz ist vor allem der §13 wichtig, in dem die Pflicht für die Internet-Datenschutzerklärung beschrieben wird. Zu den Gesetzen.

    Technische und Organisatorische Maßnahmen

    In §9 des BDSG stehen die festgelegten Maßnahmen um die entsprechenden Sicherheitsanforderungen und Schutzanforderungen zu erfüllen. Weitere Informationen.

  • U

    +

    USB Stick

    Benutzt man bei seiner Arbeit USB-Sticks und speichert man auf diesen personenbezogene Daten, so sollte man diese entsprechend verschlüsseln und dadurch den Zugriff auf diese Daten erschweren.

  • V

    +

    Verantwortliche Stelle

    Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

    Verarbeitung (personenbezogener Daten)

    Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

    Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung.

    Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten.

    Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einem Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

    Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

    Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

    Verfahrensverzeichnis

    Das Verfahrensverzeichnis dokumentiert die Verarbeitung von personenbezogenen Daten. Der Begriff des Verfahrensverzeichnisses existiert jedoch nicht im Bundesdatenschutzgesetz, hat sich jedoch entsprechend eingebürgert für diesen Prozess. Weitere Informationen zum Verfahrensverzeichnis.

    Video-Überwachung

    Bei der Videoüberwachung muss man zwischen der Überwachung von Gebäuden und Objekten auf der einen Seite und der Überwachung von Mitarbeitern und Arbeitsplätzen auf der anderen Seite unterscheiden. In beiden Fällen ist eine Videoüberwachung als ein sehr sensibles Thema zu betrachten, da es in vielen Fällen schnell zu einem Konflikt mit schützenswerten Interessen der Betroffen kommt. Weitere Informationen.

    Vorabkontrolle

    Die Vorabkontrolle ist in §4d Abs. 5 des BDSG geregelt und verlangt soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).

    Desweiteren gibt es noch 2 besondere Punkte die beachtet werden müssen, wo auf jedenfall eine Vorabkontrolle durchgeführt werden muss, bevor diese Systeme in die Produktion gehen.

    1. besondere Arten von personenbezogenen Daten wie in §3 Abs. 9 beschrieben
    2. wenn personenbezogene Daten dazu verwendet werden sollen die Persönlichkeit von Betroffenen zu bewerten inkl. dessen Fähigkeiten, Leistung und Verhalten.

  • W

    +

    Webseite

    Webseiten-Betreiber müssen auf den Datenschutz achten. Sie sind verpflichtet eine Datenschutz-Erklärung auf Ihrer Webseite zu haben. Dies schreibt das Telemediengesetz §13 entsprechend vor. Lt. des Gesetzes muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorganges über die Art, den Umfang und die Zwecke der Erhebung und die Verwendung der personenbezogenen Daten inklusive der eventuellen Weitergabe der Daten an Staaten außerhalb der EU bzw. des EWR unterrichten. Weitere Informationen zur Datenschutzerklärung.

  • X

    +

    Xing

    Xing ist ein soziales Netzwerk über das man geschäftliche Kontakte knüpft. Der Arbeitgeber kann seine Mitarbeiter nicht dazu verpflichten einen XING-Account zu haben, da dadurch das Recht zur informellen Selbstbestimmung beeinträchtigt wird.

    Des Weiteren ist darauf zu achten, wenn man die Social Plugins von Xing benutzt, da schon durch den Aufbau der Webseite eine Verbindung zum Xing-Server aufgebaut wird. Weitere Informationen zu Xing.

  • Y

    +

    YouTube

    YouTube ist eine Video-Plattform, wo der Benutzer sich Videos ansehen kann. Diese Videos können auch auf einfachen Weg auf der eigenen Webseite eingebunden werden. Diese Einbindung ist jedoch datenschutz-seitig heikel und sollte genau betrachtet werden. Weitere Informationen finden Sie hier.

  • Z

    +

    Zertifizierung

    Eine Zertifizierung kann für viele Unternehmen interessant sein, um gegenüber Kunden, Lieferanten und Mitarbeitern zu zeigen, dass im Unternehmen der Datenschutz ernst genommen wird und der Umgang mit personenbezogenen Daten konform ist. Wir unterstützen Unternehmen und zertifizieren nach einem erfolgreichen Audit Unternehmen mit unserem Zertifikat und Siegel. Weitere Infos zum Thema Zertifizierung.

DatenschutzProfi24

 

 

0

Your Cart