Glossar

Personenbezogenen Daten gelten als anonymisiert, wenn die Daten so verändert wurden, dass der Personenbezug nicht mehr oder nur unter extrem erschwerten Bedingungen wieder hergestellt werden kann.

Audits sind für Unternehmen ein wichtiges Instrument, mit dem sie gegenüber Endkunden, Geschäftspartnern und Behörden die Datenschutzkonformität ihrer Datenschutzkonzepte, technischen Einrichtungen oder Produkte belegen können. Die aufgrund eines Audits verliehenen Zertifikate sind daher von hoher wirtschaftlicher Bedeutung. Sie dienen unter anderem Marketingzwecken und der Erfüllung gesetzlicher Prüfungsanforderungen (z.B. im Rahmen der Auftragsdatenverarbeitung) und werden ggf. im Rahmen von Ausschreibungen berücksichtigt.

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Es wird von einer bestimmbaren Person gesprochen, wenn sich ein Zusammenhang zu einer Person ohne besonderen Aufwand herstellen lässt. Eine Matrikelnummer beispielsweise macht eine Person bestimmbar, wenn auch nur für einen eingeschränkten Benutzerkreis.

Es wird von einer bestimmten Person gesprochen, wenn ein unmittelbarer Bezug zur Person vorhanden ist.

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden. Eine Person, deren personenbezogene Daten erhoben, verarbeitet oder genutzt werden. 

Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen. Einige Cookies sind “Session-Cookies.” Solche Cookies werden nach Ende der Browser-Sitzung von selbst gelöscht. Hingegen bleiben andere Cookies auf dem Endgerät bestehen, bis jemand diese selbst löscht. Solche Cookies helfen den Betreibern, den User bei Rückkehr auf diese Website wiederzuerkennen.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. 

Die DSGVO gilt als Datenschutzrecht in allen ihren Teilen verbindlich und unmittelbar in jedem Mitgliedstaat der Europäischen Union. Mit der DSGVO soll ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet und die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden. Umgesetzt durch eine Stärkung und präzise Festlegung der Rechte betroffener Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, welche personenbezogene Daten verarbeiten. Die DSGVO wurde am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht und ist 20 Tage später, am 25.05.2016, formell in Kraft getreten. Nach einer 2-jährigen Übergangsphase müssen die Bestimmungen dieser Richtlinie nun ab dem 25. Mai 2018 verbindlich umgesetzt werden (Art. 99 DSGVO).

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Mit dieser Definition will das Gesetz alle personenbezogenen Informationen einschließen. Somit ist jedes Datum, das einer Person zuzuordnen ist gemeint. Hierunter fallen beispielsweise Name, Matrikelnummer oder Mitarbeiterstammnummer, Studiengang, Anschrift, Zugehörigkeit zur Krankenkasse, BAFöG-Bezug. Aber auch negative Informationen fallen unter diese Definition wie z.B. "hat (noch) keinen Abschluss". Detaillierteres findet sich im Datenschutz-Wiki des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) unter http://www.bfdi.bund.de/bfdi_wiki/index.php/3_BDSG_Kommentar_Absatz_1_Teil_1 (externer Link).

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

Erheben ist das Beschaffen von Daten über Betroffene (Art.4 Abs. 5 BayDSG).

Bei der Funktionsübertragung wird (vereinfacht gesagt) eine Aufgabe inklusive der Verantwortung auch für das Einhalten der Datenschutzregelungen übertragen. Bei der Funktionsübertragung findet rechtlich gesehen eine Datenübermittlung statt.

Laut BayDSG ist die Nutzung jegliche Verwendung personenbezogener Daten, wenn es sich nicht um Verarbeitung (Speichern, Verändern, Übermitteln, Sperren bzw. Löschen) handelt. Art. 4 Abs. 7 BayDSG (externer Link). Die Weitergabe von personenbezogenen Daten innerhalb der TUM gilt nicht als Übermittlung, da es sich hier nicht um eine Weitergabe an Dritte handelt. Damit fällt diese "interne Weitergabe" unter den Begriff der Nutzung. Sehr häufig findet man im BayDSG den Ausdruck "Verarbeitung und Nutzung", so dass die Unterscheidung selten benötigt wird. Lediglich in Art. 18 (externer Link) und Art. 19 BayDSG (externer Link) (Datenübermittlung an öffentliche und nicht-öffentliche Stellen) wird zwischen Verarbeitung und Nutzung teilweise unterschieden.

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Bei pseudonymisierten Daten kann durch eine autorisierte Stelle der Personenbezug in aufwändigeren Verfahren wieder hergestellt werden.

Hinsichtlich seiner personenbezogenen Daten hat jeder das Recht auf: Auskunft, Berichtigung oder Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit.

Nein, die Regelungen umfassen ab 25.05.2018 alle Daten und Anwendungen. Das bedeutet, die DSGVO greift auch bei bereits im Vorfeld verarbeiteten Daten. Die Einhaltung der Regelungen muss somit für alle - alte und neue - Verarbeitungen geprüft werden. Dabei sollten folgende Aspekte berücksichtigt werden: Entsprechen die Verarbeitungsverzeichnisse den Anforderungen der DSGVO? Wurden technische und organisatorische Maßnahmen, die den Schutzbedarf der verarbeiteten Daten berücksichtigen, getroffen? Werden die mit der DSGVO erweiterten Informationspflichten gegenüber den Betroffenen erfüllt? Werden die formalen Vorgaben für Einwilligungserklärungen eingehalten? Wie setzen Sie die Betroffenenrechte im Verfahren um?

Speichern im Sinne des BayDSG ist das Erfassen (nicht Erheben!), Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung.  Art. 4 Abs. 6 S.2 Z.1 BayDSG

Laut BayDSG ist Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Art. 4 Abs. 6 S.2 Z.4 BayDSG

Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Übermitteln ist lt. BayDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte entweder durch Weitergabe oder durch die Möglichkeit der Einsichtnahme oder des Abrufs bei der speichernden Stelle.  Art. 4 Abs. 6 S.2 Z.3 BayDSG.  Hier ist zu beachten, dass Dritte im Sinne des BayDSG von den personenbezogenen Daten Kenntnis erlangen. Werden Daten z.B. innerhalb der TUM weiter gegeben, handelt es sich nicht um Übermittlung (und damit Verarbeitung) sondern um Nutzung.  Sehr häufig findet man im BayDSG den Ausdruck "Verarbeitung und Nutzung", so dass die Unterscheidung selten benötigt wird. Lediglich in Art. 18 und Art. 19 BayDSG (Datenübermittlung an öffentliche und nicht-öffentliche Stellen) wird zwischen Verarbeitung und Nutzung teilweise unterschieden.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche oder der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Verändern im Sinne des BayDSG ist die inhaltliche Umgestaltung gespeicherter personenbezogener Daten.  Art. 4 Abs. 6 S.2 Z.2 BayDSG.

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Die Verantwortung zur Einhaltung der DSGVO oder anderer datenschutzrechtlicher Vorschrift liegt beim Verantwortlichen. Regelmäßig ist der Geschäftsführer oder Vorstandsvorsitzende als Vertreter der Gesellschaft in der Pflicht oder der Einzelunternehmer.

Verarbeiten im Sinne des BayDSG ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (siehe Art. 4 Abs. 6 S. 1 BayDSG).  Davon abgegrenzt ist die Nutzung von personenbezogenen Daten.

Als Verfahren wir die Unterstützung einer oder mehrerer Geschäftsprozesse durch IT-Systeme bezeichnet. Dabei bilden die Geschäftsprozesse eine arbeitsorganisatorische Einheit. Der Datenschutz betrachtet nur Verfahren, in denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.