Wichtige Begriffe in der Datenschutzgrundverordnung (DSGVO)
Wichtige Begriffe der DSGVO
Was ist ein Dateisystem?
Ein Dateisystem ist eine Sammlung von personenbezogenen Daten, meist in Papierform, die auch nach personenbezogenen Kriterien geordnet sein müssen. Zum Beispiel ein Zettelkasten oder ein Aktenordner, dessen Inhalt beispielsweise nach Name oder Geburtsdatum sortiert ist.
Original-Gesetzestext: "Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird."
Auch das ist ein Dateisystem:
Was ist ein Verantwortlicher?
Eine Person oder Institution, die entscheidet, was mit den personenbezogenen Daten getan wird. Dies kann eine natürliche Person, z.B. ein/e EinzelunternehmerIn, aber auch eine juristische Person sein, z. B. eine Behörde oder ein Unternehmen.Original-Gesetzestext: "Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet."
Was ist ein Auftragsverarbeiter?
Sehr oft ist dies eine andere Firma zu der eine Dienstleistung ausgelagert wird, z.B. die Lohnverrechnung, die an eine dafür spezialisierte Firma übergeben wird.
Ein Auftragsverarbeiter kann aber auch eine einzelne Person sein, aber auch eine Behörde oder juristische Person. Sehr oft übermittelt der Verantwortliche dazu personenbezogene Daten an den Auftragsverarbeiter.
Der Auftragsverarbeiter kann aber auch auf Anweisung des Verantwortlichen selbst die personenbezogenen Daten erheben. Im alten österreichischen Datenschutzgesetz (DSG2000) wurde der Auftragsverarbeiter als "Dienstleister" bezeichnet.
Original-Gesetzestext: "Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet."
Was ist ein Empfänger?
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.Was ist ein Betroffener?
Ist jene Person, deren personenbezogene Daten verarbeitet werden. Betroffener ist immer jene Personen, deren personenbezogene Daten in einem IT-System abgespeichert, ausgewertet also verarbeitet werden.
Was ist ein Dritter?
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeitenWas ist eine Einwilligung?
Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.Was sind personenbezogene Daten?
Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Was ist eine Verletzung des Schutzes personenbezogener Daten?
Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Was sind sensible Daten?
Diese Bezeichnung gibt es in der DSGVO eigentlich nicht mehr. Diese Art von Daten werden mit dem Begriff 'besondere Kategorie' beschrieben. Darunter fallen sämtliche Daten, aus welchen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten haben in der DSGVO einen besonderen Status und dürfen eigentlich nicht verarbeitet werden. Wo doch regeln dann die Ausnahmen.
Was sind genetische Daten?
Sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
Was sind biometrische Daten?
Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
Was sind Gesundheitsdaten?
Sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Was bedeutet Verarbeitung?
Jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Was bedeutet Einschränkung der Verarbeitung?
Die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Einschränkung heißt im Endeffekt man besitzt die Daten, darf sie aber nicht mehr verwenden, aber auch nicht löschen. Ein mögliches Beispiel wäre ein Zugriffskontrollsystem, bei dem die Daten z.B. nur für eine Woche gespeichert und nach Ablauf der Woche einfach gelöscht werden. Nun gibt es eine Anzeige wegen Beschädigung eines geparkten Autos und Fahrerflucht. Der Betroffene, der in einem weit entfernten Stadtteil arbeitet und zum Zeitpunkt der Tat am Arbeitsplatz war, weiß, dass hier nur eine Verwechslung vorliegen kann und will seine Unschuld beweisen. Dafür erteilt er seinem Arbeitgeber die Anweisung, die Daten, die über ihm vom Zugriffskontrollsystem erfasst wurden, einzuschränken. D.h. dieser darf die Daten nicht mehr auswerten (verarbeiten) aber auch nicht löschen.
Was bedeutet Profiling?
Das ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Was bedeutet Pseudonymisierung?
Darunter versteht man die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Was sind anonyme Daten?
Der Begriff „anonyme Daten“ wird in der Verordnung selbst nicht definiert und auch nicht verwendet.
Im Erwägungsgrund 26 finden sich jedoch entsprechende Hinweise, was hierunter zu verstehen ist und dass die Datenschutzgrundsätze insoweit keine Anwendung finden. Dort heißt es:
„[…] Die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann."
Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.