Jetzt ein unverbindliches Gespräch mit dem Datenschutzbeauftragten Thomas Kolbe vereinbaren!

Glossar zum Thema Datenschutz

Anonymisierte Daten

Personenbezogenen Daten gelten als anonymisiert, wenn die Daten so verändert wurden, dass der Personenbezug nicht mehr oder nur unter extrem erschwerten Bedingungen wieder hergestellt werden kann.

Audit

Audits sind für Unternehmen ein wichtiges Instrument, mit dem sie gegenüber Endkunden, Geschäftspartnern und Behörden die Datenschutzkonformität ihrer Datenschutzkonzepte, technischen Einrichtungen oder Produkte belegen können. Die aufgrund eines Audits verliehenen Zertifikate sind daher von hoher wirtschaftlicher Bedeutung. Sie dienen unter anderem Marketingzwecken und der Erfüllung gesetzlicher Prüfungsanforderungen (z.B. im Rahmen der Auftragsdatenverarbeitung) und werden ggf. im Rahmen von Ausschreibungen berücksichtigt.

Auftragsdatenverarbeitung

Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten von einem externen Anbieter erhoben, verarbeitet oder genutzt werden, ohne dass eine Funktionsübertragung statt findet.

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Auftragsverarbeiter

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 
Zwischen dem Verantwortlichen und dem Auftragsverarbeiter ist zwingend ein Auftragsverarbeitungsvertrag, i.d.R. als Anlage zu einem bestehenden Hauptvertrag, gemäß den Anforderungen der DSGVO zu schließen. 

Bestimmbare Person

Es wird von einer bestimmbaren Person gesprochen, wenn sich ein Zusammenhang zu einer Person ohne besonderen Aufwand herstellen lässt. Eine Matrikelnummer beispielsweise macht eine Person bestimmbar, wenn auch nur für einen eingeschränkten Benutzerkreis.

Bestimmte Person

Es wird von einer bestimmten Person gesprochen, wenn ein unmittelbarer Bezug zur Person vorhanden ist.

Betroffene Person

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Eine Person, deren personenbezogene Daten erhoben, verarbeitet oder genutzt werden. 

Cookies

Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.
Einige Cookies sind “Session-Cookies.” Solche Cookies werden nach Ende der Browser-Sitzung von selbst gelöscht. Hingegen bleiben andere Cookies auf dem Endgerät bestehen, bis jemand diese selbst löscht. Solche Cookies helfen den Betreibern, den User bei Rückkehr auf diese Website wiederzuerkennen.

Datensicherheit

Unter Datensicherheit versteht man die Vertraulichkeit (nur berechtigte Benutzer haben Zugriff), die Integrität (die Richtigkeit der Daten), die Verfügbarkeit (zur notwendigen Zeit ist auch der Zugriff gewärleistet) und die Prüfbarkeit (Protokollierung wer hat wann geändert, gelöscht oder angelegt) Es wird also das Ziel verfolgt die Daten vor Manipulation, unberechtigten Zugriff und NICHT-Verfügbarkeit zu schützen. Benutzerkonzepte, Verschlüsselung, Protokollierung und Datensicherung sind Maßnahmen der Datensicherheit.

Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. 

DSGVO

Die DSGVO gilt als Datenschutzrecht in allen ihren Teilen verbindlich und unmittelbar in jedem Mitgliedstaat der Europäischen Union. Mit der DSGVO soll ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet und die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden. Umgesetzt durch eine Stärkung und präzise Festlegung der Rechte betroffener Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, welche personenbezogene Daten verarbeiten.

Die DSGVO wurde am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht und ist 20 Tage später, am 25.05.2016, formell in Kraft getreten. Nach einer 2-jährigen Übergangsphase müssen die Bestimmungen dieser Richtlinie nun ab dem 25. Mai 2018 verbindlich umgesetzt werden (Art. 99 DSGVO).

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Einschränkung der Verarbeitung

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Einwilligung

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Einzelangaben über persönliche und sachliche Verhältnisse

Mit dieser Definition will das Gesetz alle personenbezogenen Informationen einschließen. Somit ist jedes Datum, das einer Person zuzuordnen ist gemeint.
Hierunter fallen beispielsweise Name, Matrikelnummer oder Mitarbeiterstammnummer, Studiengang, Anschrift, Zugehörigkeit zur Krankenkasse, BAFöG-Bezug.
Aber auch negative Informationen fallen unter diese Definition wie z.B. "hat (noch) keinen Abschluss".

Detaillierteres findet sich im Datenschutz-Wiki des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) unter http://www.bfdi.bund.de/bfdi_wiki/index.php/3_BDSG_Kommentar_Absatz_1_Teil_1 (externer Link).

Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

Erheben

Erheben ist das Beschaffen von Daten über Betroffene (Art.4 Abs. 5 BayDSG).

Funktionsübertragung

Bei der Funktionsübertragung wird (vereinfacht gesagt) eine Aufgabe inklusive der Verantwortung auch für das Einhalten der Datenschutzregelungen übertragen. Bei der Funktionsübertragung findet rechtlich gesehen eine Datenübermittlung statt.

Für wen gilt die DSGVO?

Betroffen sind alle „natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen“ die für eigene Zwecke personenbezogene Daten verarbeiten.
Die DSGVO zielt darauf ab, ob ein Anbieter von Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet, unabhängig vom Sitz des verarbeitenden Unternehmens.  Die DSGVO ist auch dann anzuwenden, wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient z.B. durch die Analyse des Surfverhaltens im Internet, wie auch die Speicherung von Cookies, egal zu welchem Zweck.

Kleinunternehmer und DSGVO?

Ja, die DSGVO gilt auch für Kleinunternehmer.

Nutzung

Laut BayDSG ist die Nutzung jegliche Verwendung personenbezogener Daten, wenn es sich nicht um Verarbeitung (Speichern, Verändern, Übermitteln, Sperren bzw. Löschen) handelt.
Art. 4 Abs. 7 BayDSG (externer Link).
Die Weitergabe von personenbezogenen Daten innerhalb der TUM gilt nicht als Übermittlung, da es sich hier nicht um eine Weitergabe an Dritte handelt. Damit fällt diese "interne Weitergabe" unter den Begriff der Nutzung.
Sehr häufig findet man im BayDSG den Ausdruck "Verarbeitung und Nutzung", so dass die Unterscheidung selten benötigt wird. Lediglich in Art. 18 (externer Link) und Art. 19 BayDSG (externer Link) (Datenübermittlung an öffentliche und nicht-öffentliche Stellen) wird zwischen Verarbeitung und Nutzung teilweise unterschieden.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 
Gemäß Art. 2 Abs.1 DSGVO gilt die Verordnung für „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst und umfasst z.B. Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann. 

Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Bei pseudonymisierten Daten kann durch eine autorisierte Stelle der Personenbezug in aufwändigeren Verfahren wieder hergestellt werden.

Rechte

Hinsichtlich seiner personenbezogenen Daten hat jeder das Recht auf:
  • Auskunft,
  • Berichtigung oder Löschung,
  • Einschränkung der Verarbeitung,
  • Widerspruch gegen die Verarbeitung,
  • Datenübertragbarkeit.

Sind nur neue Datenbestände betroffen?

Nein, die Regelungen umfassen ab 25.05.2018 alle Daten und Anwendungen. Das bedeutet, die DSGVO greift auch bei bereits im Vorfeld verarbeiteten Daten. Die Einhaltung der Regelungen muss somit für alle - alte und neue - Verarbeitungen geprüft werden. Dabei sollten folgende Aspekte berücksichtigt werden:
  • Entsprechen die Verarbeitungsverzeichnisse den Anforderungen der DSGVO?
  • Wurden technische und organisatorische Maßnahmen, die den Schutzbedarf der verarbeiteten Daten berücksichtigen, getroffen?
  • Werden die mit der DSGVO erweiterten Informationspflichten gegenüber den Betroffenen erfüllt?
  • Werden die formalen Vorgaben für Einwilligungserklärungen eingehalten?
  • Wie setzen Sie die Betroffenenrechte im Verfahren um?

Speichern

Speichern im Sinne des BayDSG ist das Erfassen (nicht Erheben!), Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung. 
Art. 4 Abs. 6 S.2 Z.1 BayDSG

Sperren

Laut BayDSG ist Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.
Art. 4 Abs. 6 S.2 Z.4 BayDSG

Transiente Cookies

Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.

Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Übermitteln

Übermitteln ist lt. BayDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte entweder durch Weitergabe oder durch die Möglichkeit der Einsichtnahme oder des Abrufs bei der speichernden Stelle. 
Art. 4 Abs. 6 S.2 Z.3 BayDSG. 

Hier ist zu beachten, dass Dritte im Sinne des BayDSG von den personenbezogenen Daten Kenntnis erlangen. Werden Daten z.B. innerhalb der TUM weiter gegeben, handelt es sich nicht um Übermittlung (und damit Verarbeitung) sondern um Nutzung. 

Sehr häufig findet man im BayDSG den Ausdruck "Verarbeitung und Nutzung", so dass die Unterscheidung selten benötigt wird. Lediglich in Art. 18 und Art. 19 BayDSG (Datenübermittlung an öffentliche und nicht-öffentliche Stellen) wird zwischen Verarbeitung und Nutzung teilweise unterschieden.

Umfang der Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche oder der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Verändern

Verändern im Sinne des BayDSG ist die inhaltliche Umgestaltung gespeicherter personenbezogener Daten. 
Art. 4 Abs. 6 S.2 Z.2 BayDSG.

Verantwortlicher oder für die Verarbeitung Verantwortlicher

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Verantwortlichkeit für die Umsetzung der DSGVO im Unternehmen

Die Verantwortung zur Einhaltung der DSGVO oder anderer datenschutzrechtlicher Vorschrift liegt beim Verantwortlichen. Regelmäßig ist der Geschäftsführer oder Vorstandsvorsitzende als Vertreter der Gesellschaft in der Pflicht oder der Einzelunternehmer.

Verarbeiten

Verarbeiten im Sinne des BayDSG ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (siehe Art. 4 Abs. 6 S. 1 BayDSG). 
Davon abgegrenzt ist die Nutzung von personenbezogenen Daten.

Verfahren

Als Verfahren wir die Unterstützung einer oder mehrerer Geschäftsprozesse durch IT-Systeme bezeichnet. Dabei bilden die Geschäftsprozesse eine arbeitsorganisatorische Einheit.
Der Datenschutz betrachtet nur Verfahren, in denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Unabhängig von der Pflicht zur Bestellung eines Datenschutzbeauftragten müssen alle Unternehmen die Vorgaben der EU-Datenschutz-Grundverordnung beachten und umsetzen!
Ein Datenschutzbeauftragter wird benötigt, wenn mindestens 10 Personen im Unternehmen ständig mit automatisierter Verarbeitung personenbezogener Daten betraut sind. Darüber hinaus muss ein Datenschutzbeauftragter bestellt werden, wenn: Unternehmen besonders risikoreiche Prozesse haben oder Unternehmen besonders schutzwürdigen Daten (z.B. Daten von Minderjährigen oder Gesundheitsdaten verarbeiten.

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.