Datenschutz-Glossar

Fachgebiete haben oft ihre ganz eigenen Fachbegriffe. Damit auch wirklich alle vom selben sprechen, ist eine Definition sehr hilfreich. So enthalten auch Gesetze, Vereinbarungen und Verträge oftmals zu Beginn eine Begriffsbestimmung. Wir stellen für Sie hier eine Sammlung mehr oder weniger gebräuchlicher Begriffe im Datenschutz zusammen und erklären diese jeweils (Ein Klick auf den Begriff, läßt eine Erklärung erscheinen). Wenn Ihnen hier ein Begriff fehlt, schreiben Sie uns gern an und wir ergänzen diesen entsprechend.

 

Anonymisierung

Herkunft:
Der Begriff „Anonymisierung“ leitet sich ab von dem Begriff „Anonymität“. „Anonymität“ wird vom altgriechischen Begriff „anónymos“, d.h. “ohne Namen“ abgeleitet und bezeichnet das Fehlen der Zuordnung der handelnden Person zu einer Handlung.

Beschreibung:
Anonymisieren bezeichnet den Vorgang, bei dem Daten so verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Anonymisieren ist also eine Form der Veränderung von Daten, für welche es eine Rechtsgrundlage geben muss und bei welcher auch alle anderen Grundprinzipien des Datenschutzes (Art. 5 DSGVO) zu berücksichtigen sind.

Die Grundsätze des Datenschutzes gelten dann allerdings nicht für anonyme Informationen, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

Beispiel:
Wahlbeteiligung: Die geheime Abstimmung bei Wahlen beruht auf dem Prinzip der Anonymisierung. Es ist zwar noch nachvollziehbar, wer gewählt hat. Was oder wen diese Person gewählt hat - also eine Zuordnung zwischen Wahlzettel und Wähler - ist nicht mehr möglich.

Auskunftsrecht

Herkunft:
Art. 15 DSGVO; § 34 BDSG

Beschreibung:
Recht auf Auskunft zu den eigenen personenbezogenen Daten, die bei einer verantwortlichen Stelle verarbeitet werden.

Zweck:
Für natürliche Personen sollte Transparenz dahingehend bestehen, ob und in welchem Umfang sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet wurden und künftig noch verarbeitet werden.

Dieser "Grundsatz der Transparenz" setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.

Beispiel:
Nach Abschluss eines Probeabos für eine Zeitschrift trudeln immer mehr E-Mails ein und auch der Briefkasten quillt über vor Flyern und Werbesendungen. Mit einem Auskunftsersuchen kann die Betroffene erfragen, welche Daten über sie gespeichert sind und an wen ihre Daten weitergegeben wurden und wo er dem nun Einhalt gebieten kann.

Siehe hierzu auch: Muster Auskunftsanspruch nach Art. 15 DS-GVO des LfDI Baden-Württemberg

AV

Ausgeschriebener Begriff:
Auftragsverarbeitung

Beschreibung:
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Bei der Auftragsverarbeitung arbeitet das dienstleistende Unternehmen in Bezug auf die auftragsgegenständlich zu verarbeitenden pb Daten ohne jedes Eigeninteresse und ohne eigenen Gestaltungsspielraum.

Allerdings kann es gewisse Entscheidungsspielräume - innerhalb des durch den Verantwortlichen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen geben. (Ref. DSK-Kurzpapier Nr. 13 vom 17.12.2018 zur Auftragsverarbeitung, Art. 28 DS-GVO)

Der Auftragsverarbeiter arbeitet auf Basis der Rechtsgrundlage des Verantwortlichen. Dieser "erbt" diese sozusagen für den Zeitraum der Verarbeitung. Verantwortlich auch für die Rechtskonformität der Verarbeitung bleibt das verantwortliche beauftragende Unternehmen.

Zweck:
Auch wenn die Datenverarbeitung "ausser Haus" stattfindet oder ein Dienstleister von aussen oder mit eigenem Equipment an die Daten des Verantwortlichen gelangt, bleibt genau dieser Verantwortliche auch ... verantwortlich! Der Verantwortliche darf also nur Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass alle erforderlichen technischen und organisatorischen Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen und eingehalten werden. Das muss mittels einer Vereinbarung im Vorfeld festgelegt und auch wiederkehrend nachweislich überprüft werden.

Beispiel:
Der Lettershop, der die Briefe für ein Unternehmen druckt, erhält Adressen vom Verantwortlichen und druckt diese nach klaren Vorgaben auf das entsprechende Papier. Mit welchen Druckmaschinen dies geschieht, entscheidet der Lettershop. Der Lettershop hat kein eigenes Interesse an den konkreten Einzeladressen, diese sind in der Regel (je nach vertraglicher Vereinbarung) nach Abschluss des Auftrages zu löschen.

BDSG

Ausgeschriebener Begriff:
Bundesdatenschutzgesetz; offiziell: „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU)“

Beschreibung:
Das BDSG konkretisiert im Rahmen sog. „Spezifizierungsklauseln“ der Datenschutz-Grundverordnung (DS-GVO) in verschiedenen Bereichen den Umgang mit personenbezogenen Daten. Es ist in der "neuen" Fassung seit 25.05.2018 und so mit Geltung der Datenschutz-Grundverordnung in Kraft getreten.

Die Normenhierarchie wird besonders durch den in § 1 Abs. 5 BDSG explizit vorgestellten Anwendungsvorrang des Europarechts deutlich. Dort ist zu lesen: Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 679/2016 in der jeweils geltenden Fassung, unmittelbar gilt.

Es ist gem. Art. 8 Abs. 1 Satz 1 DSAnpUG am 25.5.2018 in Kraft getreten.

Zweck:
Mit dem BDSG werden die Möglichkeiten, die die DS-GVO zur nationalen Ausgestaltung des Datenschutzrechts vorgibt bzw. lässt, für die Anpassung der Datenschutzgesetzgebung an nationale Gegebenheiten genutzt. So wurden im BDSG bspw. in Deutschland geltende Regelungen zum Beschäftigtendatenschutz, zum Datenschutzbeauftragten und zur Zusammenarbeit der Aufsichtsbehörde im europäischen Kontext geschaffen.

Besondere Kategorien personenbezogener Daten (sensible Daten)

Herkunft:
Art. 9 DSGVO und Erwägungsgrund 51

Beschreibung:
Unter „besonderen Kategorien personenbezogener Daten“ fasst die DSGVO solche Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Zweck:
Die besonderen Kategorien personenbezogener Daten verdienen aufgrund der erheblichen Risiken für Grundrechte und Grundfreiheiten der betroffenen Personen einen besonderen Schutz. Um dem erhöhten Schadenspotenzial im Missbrauchsfall gerecht zu werden, stellt das Gesetz an die Verarbeitung „besonderer Kategorien personenbezogener Daten“ besonders hohe Anforderungen.

Beispiel:
In der Personalabteilung werden besonders viele sensible Daten verarbeitet, die Aufschluss über die religiöse Überzeugung, Gewerkschaftszugehörigkeit und nicht zuletzt den Gesundheitszustand der Beschäftigten geben können. Daher sollten im Bereich Personal besondere technische und organisatorische Maßnahmen getroffen werden, um Zugang und Zugriff auf die dort vorgehaltenen Daten sicher auszugestalten. Das Personalbüro sollte also jedenfalls über abschließbare Türen, Schränke, Programme und Speicherbereiche, die nur einem besonders kleinen Kreis von Beschäftigten zugänglich sind, verfügen.

Datenschutzaufsicht

Herkunft:
Kapitel VI der DSGVO, Unabhängige Aufsichtsbehörden

Beschreibung:
Nach Art. 51 DSGVO hat jeder Mitgliedstaat vorzusehen, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung der Datenschutzgesetze zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der EU erleichtert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bspw. Geldbußen zu verhängen oder Anordnungen zu erlassen ergeben sich aus den Artikeln 57 und 58 DSGVO.

Beispiel:
In Deutschland gibt es unabhängige Datenschutzbehörden des Bundes und der Länder. Momentan gibt es in Deutschland abgesehen von den Aufsichtsbehörden für Rundfunk- und Medienanstalten und die Kirchen 18 Aufsichtsbehörden. Für Bundesbehörden ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Herr Kelber zuständig. Für alle anderen öffentlichen wie nicht-öffentlichen Stellen sind die jeweiligen Aufsichtsbehörden der Länder zuständig. In Bayern gibt es mit der Differenzierung zwischen nicht-öffentlichem (Landesamt für Datenschutzaufsicht) und öffentlichem Bereich (Landesbeauftragter für den Datenschutz) eine Besonderheit, da es zwei Aufsichtsbehörden gibt.

Datenschutzleitlinie

Herkunft:
Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht

Beschreibung:
Eine Datenschutzleitlinie dient der Dokumentation der Ergebnisse von zuvor definierten Datenschutzzielen und der Datenschutz-Governance-Struktur zur Umsetzung dieser Ziele. Mit Implementation der Datenschutzleitlinie werden die festgelegten Datenschutzziele zu einem Teil des Unternehmensleitbildes und müssen von allen Beschäftigten angestrebt werden.

Zweck:
Mit einer Datenschutzleitlinie drückt die Geschäftsführung ihre Verantwortung für den Datenschutz aus. Um etwaigen Datenschutzvorfällen präventiv entgegentreten zu können enthalten die Leitlinien für die Beschäftigten klare Handlungsanweisungen im Umgang mit personenbezogenen Daten. Die Leitlinie stellt eine Selbstverpflichtung des Unternehmens zur Umsetzung des Datenschutzes dar und kann insofern einen wertvollen Beitrag zur Corporate Identity geben.

Due-Diligence Prüfung

Herkunft:
Der Begriff der Due-Diligence kommt aus dem Englischen und bedeutet wörtlich übersetz die „gebührende“ (due) „Sorgfalt“ (diligence) oder die „im Verkehr gebotene Sorgfalt“.

Beschreibung:
Die Due-Diligence-Prüfung spielt eine wichtige Rolle bei der Wertfindung eines (Kauf-) Objekts. Sie bezeichnet eine Prüfung, während der die Stärken und die Schwächen des Objekts sowie die entsprechenden Risiken analysieren werden.

Beispiel:
„IT-Due-Diligence“ bedeutet die Prüfung von Chancen und Risiken innerhalb der IT eines Unternehmens. Vor allem wird die Zukunftssicherheit sowie das Kostenbewusstsein der IT geprüft, um den Wertbeitrag der IT zum Gesamtunternehmen einschätzen zu können. Die Einführung datengetriebener und IT-gestützter Unternehmensprozesse erfordern eine tiefergehende Prüfung der Implementierung. Die Chancen umfassen vor allem die Synergie- und Effizienzpotentiale. Im Bereich der Risiken werden vor allem die operativen und die monetären Risiken geprüft und bewertet.

Ende-zu-Ende-Verschlüsselung

Herkunft:
Der Begriff Ende-zu-Ende-Verschlüsselung kommt aus dem Englischen „end-to-end encryption“. „Encryption“ ist die Verschlüsselung – auch Chiffrierung oder Kryptographie genannt – und wird vom griechischen kryptós „versteckt, verborgen, geheim“ abgeleitet.

Beschreibung:
Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass übertragene Daten über alle Übertragungsstationen hinweg verschlüsselt bleiben. Nur die rechtmäßigen Kommunikationspartner, d.h. die jeweiligen Endpunkte der Kommunikation, können die Daten entschlüsseln. Dabei bedeutet Verschlüsselung die von einem Schlüssel abhängige Umwandlung von „Klartext“ in einen „Schlüsseltext“. Der Klartext kann aus dem Schlüsseltext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden. Dabei schützt die Ende-zu-Ende-Verschlüsselung während der Übertragung die Daten gegenüber unbefugtem Zugriff, sodass diese vertraulich übermitteln werden können.

Beispiel:
Versenden von Nachrichten über den Messengerdienst Threema. Dabei können nur der Absender und der Empfänger einer Nachricht diese unverschlüsselt abrufen. Der Anbieter und andere Dritte haben keinen Zugriff auf gesendete Textnachrichten, Bilder oder Videos. Dazu werden die Informationen verschlüsselt übertragen und erst auf dem Gerät des Empfängers wieder entschlüsselt. Die Entschlüsselung folgt dabei dem Prinzip von Schloss und Schlüssel. Nur der Empfänger mit dem richtigen Schlüssel kann so die Nachricht entschlüsseln.

EU-DSGVO

Ausgeschriebener Begriff:
Europäische Datenschutz-Grundverordnung

Beschreibung:
Europaweit einheitliche Vorschriften zur Verarbeitung pers.bez. Daten und Gewährleistung des freien Datenverkehrs.
In Kraft getreten am: 25.05.2016
Geltung ab: 25.05.2018

Zweck:
Die DSGVO löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO als Verordnung gem. Art. 288 Abs. 2 AEUV unmittelbar in jedem Mitgliedstaat. Die Verordnung schafft europaweit verbindliche und nahezu einheitliche Regeln für den Schutz personenbezogener Daten und erhöht auch die Bußgelder um deren Durchsetzung zu gewährleisten.

Inkrafttreten vs. Geltung

Herkunft:
Art. 99 DSGVO

Beschreibung:
Ein Gesetz ist wirksam, wenn es in Kraft tritt. Davon ist die Geltung, also die Anwendbarkeit, eines Gesetzes zu unterscheiden. Der Zeitpunkt, der für die Geltung des Gesetzes, etwa hinsichtlich einzelner Sachverhalte, bestimmter Veranlagungszeiträume oder bestimmter Geschäftsjahre, festgelegt wird, kann vom Zeitpunkt des Inkrafttretens abweichen.

Beispiel:
Die DSGVO ist in Kraft getreten, also wirksam geworden am 25. Mai 2016, also zwanzig Tage nach ihrer Veröffentlichung so wie es in ihrem Artikel 99 Absatz 1 geregelt ist. Die DSGVO ist anwendbar, das heißt sie gilt seit dem 25. Mai 2018, so wie es in ihrem Artikel 99 Absatz 2 geregelt ist.

Melde- und Benachrichtigungspflicht

Herkunft:
Art. 33 und 34 DSGVO

Beschreibung:
Im Fall einer Datenpanne ist diese jedenfalls gem. Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden, es sei denn es kann ein Risiko für die betroffene Person vollständig ausgeschlossen werden, was regelmäßig nicht der Fall sein wird. Sofern die Datenpanne ein hohes Risiko für die betroffene Person birgt, ist zudem die betroffene Person gem. Art. 34 Abs. 1 DSGVO unverzüglich zu benachrichtigen. Werden Datenpannen entgegen der genannten Vorschriften nicht gemeldet bzw. die betroffene Person hierüber nicht benachrichtigt, so können Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs von den Aufsichtsbehörden verhängt werden.

Beispiel:
Ein Beschäftigter eines Unternehmens versendet versehentlich E-Mails mit Attesten eines Kollegen an einen offenen Verteiler, der auch externe geschäftliche Kontakte umfasst. Da in diesem Fall von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person auszugehen ist (Besondere Kategorien personenbezogener Daten + gorßer Adressatenkreis), ist der Vorfall der Aufsichtsbehörde zu melden und die betroffene Person hierüber unverzüglich zu benachrichtigen.

Patch

Herkunft:
engl. to patch = flicken, ausbessern

Beschreibung:
Ein Patch ist eine Korrekturauslieferung für Software oder Daten aus Endanwendersicht, um Fehler zu beheben - meist um bekannt gewordene Sicherheitslücken zu schließen - oder bislang nicht vorhandene Funktionen nachzurüsten.

Beispiel:
Jeder PC-Nutzer kennt die Updates des Betriebssystems. Für Microsoft Windows gibt es den sogenannten „Patchday“. An jedem zweiten Dienstag im Monat werden Updates / Patches für das Betriebssystem bereitgestellt, die dann auf den Rechnern installiert werden.

PIA (DSFA)

Ausgeschriebener Begriff:
Privacy Impact Assessment (Datenschutz-Folgenabschätzung)

Herkunft:
EU Datenschutz-Grundverordnung, Art. 35

Beschreibung:
Vorabbewertung des Risikos einer bestimmten Verarbeitung personenbezogener Daten

Zweck:
Bereits vor der Einführung bestimmter Datenverarbeitungsprozesse soll sichergestellt sein, dass sich der Verantwortliche mit der Einschätzung des damit einhergehenden Risikos auseinandersetzt und nachweist, aufgrund welcher Begründungen er zu seiner Entscheidungsfindung kam. Wenn das Risiko nicht mit vertretbaren Mitteln und Technologien auf ein dem Schutzniveau der Daten angemessenes Maß gesenkt werden kann, so muss die Datenschutzaufsichtsbehörde kontaktiert werden um zu klären, ob und wie die geplante Datenverarbeitung eingeführt werden kann.

Beispiel:
Vor der Installation einer Videoüberwachung, die Personen aufzeichnen könnte, ist abzuwägen, ob ein hinreichender Grund vorliegt, der solche Aufzeichnungen auch rechtfertigt oder mildere Mittel zu ergreifen wären. Zudem müssen die Maßnahmen zum Schutz der erhobenen Daten angemessen sein. Alle Vorgänge und getroffenen Entscheidungen mitsamt Begründung sind zu dokumentieren.

Phishing-Angriffe

Herkunft:
Phishing ist ein Neologismus, der sich aus der Kombination von password harvesting (deutsch "Passwörter sammeln") und „fishing“ (deutsch „Angeln“) ergibt.

Beschreibung:
Phishing beschreibt den Versuch, über gefälschte E-Mails, Webseiten, Kurznachrichten o.ä. an persönliche Daten eines Internetnutzers zu gelangen. Hierbei handelt es sich um eine Form des Social Engineering, bei dem die Gutgläubigkeit des potentiellen Opfers ausgenutzt werden soll. Zielobjekt des Phishings sind häufig Benutzerdaten (Login und Passwort).

Beispiel:
Über Benutzerdaten kann z.B. der Zugriff auf einen Online-Banking-Account erfolgen und dem Opfer das Konto geplündert werden. Häufig wird dabei ein exakter Nachbau der echten Website verlinkt, damit das Opfer keinen Verdacht schöpft. So glaubt das Opfer, dass es sich gerade beim Online-Banking seiner Bank anmeldet, die Logindaten gehen dabei aber direkt an kriminelle Hacker. Dieses Szenario ist auch bei jeglicher Form von Online-Plattform denkbar. Bei Online-Shops können Bestellungen zu Lasten des Opfers aufgegeben werden. Durch den Zugriff auf E-Mail-Accounts besteht häufig die Möglichkeit auch Passwörter anderer Dienste zurückzusetzen, wodurch Angreifern dann weitere Zugriffe ermöglicht werden und das Opfer weiteren, i.d.R. finanziellen Schaden erleidet.

Pseudonymisierung

Beschreibung:
Bei der Pseudonymisierung wird der Name oder ein anderes Identifizierungsmerkmal durch ein Pseudonym ersetzt, um die Feststellung der Identität des Betroffen (Person) auszuschließen oder zu erschweren.

Rechenschaftspflicht

Herkunft:
Art. 5 Abs. 2 DSGVO

Beschreibung:
Rechenschaftspflicht bedeutet, dass der Verantwortliche die Darlegungs- und Beweislast für die Einhaltung der DSGVO hat. Für den Verantwortlichen führt das zu einer Beweislastumkehr in dem Sinne, dass nicht der Betroffene oder die Aufsichtsbehörde eine Verletzung der DSGVO nachweisen müssen, sondern umgekehrt der Verantwortliche nachweisen muss, dass die Verarbeitung der DSGVO entspricht.

Beispiel:
Ein Unternehmen muss als Verantwortlicher nachweisen und belegen können, dass es bei der Verarbeitung personenbezogener Daten die Grundsätze der DSGVO befolgt und es angemessene technische und organisatorische Maßnahmen ergriffen hat.

TOM

Herkunft:
TOM steht für „Technische und organisatorische Maßnahmen“.
Der Begriff „Technische und organisatorische Maßnahmen“ stammt aus dem BDSG. Dort war er bis zum Inkrafttreten der DSGVO im Ersten Abschnitt „Allgemeine und gemeinsamen Bestimmungen“ in § 9 geregelt. Heute befindet sich der Begriff im Kapitel IV „Verantwortlicher und Auftragsverarbeiter“ in den Regelungen zur Sicherheit der Verarbeitung in den Artikeln 28 und 32 DSGVO.

Beschreibung:
TOM sind die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung. Dabei geht es um den Schutz der Daten bei der Speicherung und Ablage auf Computersystemen, in Ordnern, sowie auch während der (Weiter-) Verarbeitung, der Übertragung, dem Transport und bei Verlust. Dabei sind technische Maßnahmen alle Schutzversuche, die physisch umsetzbar sind oder Maßnahmen, die in Soft- und Hardware umgesetzt werden. Organisatorische Maßnahmen sind alle Schutzversuche, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden.

Beispiele:
Technische Maßnahmen sind die Umzäunung des Geländes, Sicherung von Türen und Fenstern aber auch das Benutzerkonto, die Passworterzwingung oder das Back-up.
Organisatorische Maßnahmen sind die Besucheranmeldung, das Vier-Augen-Prinzip, Arbeitsanweisungen oder die festgelegten Intervalle zur Stichprobenprüfung.

Verantwortlicher

Herkunft:
Art. 4 Nr. 7 DSGVO

Beschreibung:
Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Zweck:
Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen bedarf es — auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden — einer klaren Zuteilung der Verantwortlichkeiten.

In aller Kosequenz ist es logisch und zwingend, dass eine von der Datenverarbeitung betroffene Person insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung gewährleisten, erhält.

Beispiel:
Sie besuchen eine Internetseite, auf der sie zum Beispiel gern in einem Formular weitere Daten auf postalischem Wege anfordern wollen. Es kann (und darf) nicht sein, dass ihnen nicht klar mitgeteilt wird, wer - also welches Unternehmen - nun Ihre Daten erhält und somit auch dafür verantwortlich ist, dass damit anständig und so auch rechtskonform umgegangen wird.

Verletzung des Schutzes personenbezogener Daten (Datenpanne)

Herkunft:
Art. 4 Nr. 12 DSGVO

Beschreibung:
Nach Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die ob unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige weise verarbeitet wurden. Umgangssprachlich werden solche Datenschutz-Vorfälle auch Datenpannen genannt.

Beispiel:
Zu einer Datenpanne kann es z.B. im Zuge eines Hackerangriffs kommen. Der Hacker verschafft sich Zugang zu den Daten des Unternehmens, kopiert diese und verkauft sie an interessierte Stellen. Am häufigsten entstehen Datenpannen jedoch durch fahrlässiges Verhalten innerhalb eines Unternehmens, wenn z.B. bestimmte Informationen an den falschen Adressatenkreis versendet werden.

VVT

Ausgeschriebener Begriff:
Verzeichnis von Verarbeitungstätigkeiten

Herkunft:
Art. 30 Abs. 1 und 2 DSGVO

Beschreibung:
Nach Art. 30 DSGVO müssen Verantwortliche (Abs.1) und Auftragsverarbeiter (Abs. 2) in schriftlicher oder elektronischer Form ein Verzeichnis aller Verarbeitungstätigkeiten führen. Das Verzeichnis kann als Grundlage zur Einhaltung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO dienen, in dem sämtliche Datenverarbeitungsprozesse personenbezogener Daten im Unternehmen dokumentiert werden. Welche Angaben seitens des Verantwortlichen oder des Auftragsverarbeiters gemacht werden müssen, wird im Art. 30 Abs. 1 DSGVO für den Verantwortlichen und im Art. 30 Abs. 2 DSGVO für den Auftragsverarbeiter dargestellt.

Zweck:

Das Verzeichnis von Verarbeitungstätigkeiten dient nicht nur als gute Grundlage für den Erfüllungsnachweis bzgl. der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, sondern auch und vor allem im Hinblick auf die Gewährleistung der Betroffenenrechte. Denn nur derjenige Verantwortliche, der einen umfassenden Überblick über die in seinem Unternehmen stattfindenden Verarbeitungen hat, kann hierüber auch entsprechend informieren (Art. 12ff. DSGVO) und in der Folge auch für den Schutz der Betroffenenrechte Sorge tragen.

Zweckbindung

Herkunft:
Der Grundsatz der Zweckbindung ergibt sich sowohl aus dem Wortlaut des Art. 5 Abs. 1 lit. b DSGVO als auch aus Art. 8 Abs. 2 GrCH. Eine Grundlage für den Grundsatz der Zweckbindung findet sich im sog. Volkszählungsurteil  des Bundesverfassungsgerichtes vom 15. Dezember 1983, welches auch das Recht auf informationelle Selbstbestimmung statuierte.

Beschreibung:
Nach dem Prinzip der Zweckbindung dürfen Daten nur zu dem Zweck verarbeitet werden, für den sie erhoben worden sind. Eine Datenverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck wird als Zweckänderung oder Zweckdurchbrechung bezeichnet, welche nur auf gesetzlicher Grundlage oder mit Einwilligung des Betroffenen erfolgen darf. Die Zwecke müssen also zum Zeitpunkt der Verarbeitung ausdrücklich und zweifelsfrei festgelegt sein.

Beispiel:
Im Rahmen eines Einstellungsprozesses werden unter anderem auch die Geburtsdaten der Beschäftigten zum Zweck der Personalverwaltung erhoben. Aufgrund der Zweckbindung darf das Geburtsdatum nicht im Anschluss an die Einstellung ohne Einwilligung des Beschäftigten dazu verwendet werden, diesen in eine Geburtstagsliste aufzunehmen.