The GDPR Gap Assessment

To access the GDPR Gap Assessment & Checklist - Click here


Datenschutz-Grundverordnung Glossar

Hier finden Sie ein Glossar zur Datenschutzgrundverordnung (DSGVO). Da die DSGVO von Juristen geschrieben wurde und oftmals schwer verständlich ist, möchten wir Ihnen die wichtigsten Begriffe hier erklären.

Die Datenschutz-Grundverordnung (DSGVO) – Ist die Verordnung zum Schutz der Personen in der Europäischen Union bei der Verarbeitung und beim Verkehr von personenbezogenen Daten in der heutigen Zeit, in der die Online-Datenfreigabe eine größere Rolle spielt.

Die DSGVO wurde am 27. April 2016 verabschiedet und wird am 25. Mai 2018 in Kraft treten.

Verordnung – ist ein von der Europäischen Union erlassener Rechtsakt, der sofort in den Mitgliedstaaten angewendet werden kann und nicht mehr in nationales Recht umgesetzt werden muss.

Das bedeutet, dass die DSGVO ab dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union in Kraft treten wird.

Personenbezogene Daten – alle Daten, mit deren Hilfe eine Person identifiziert werden kann.

Beispiele für persönliche Daten sind Name, Ort, persönliche Identifikationsnummer, die Haarfarbe oder die Liste mit Kundennamen und Ihren Adressen, IT-Nutzungsdaten, Verkehrsdaten, Informationen über Bildung, Einkommen, Kennzeichen.

Sensible personenbezogene Daten – ähnlich wie personenbezogene Daten, da sie hauptsächlich zur Identifizierung einer Person nützlich sind. Allerdings sind die Folgen im Falle einer Offenlegung dieser Daten drastischer.

Beispiele für sensible personenbezogene Daten sind religiöse Ausrichtung, Rasse, politische Meinung, sexuelle Orientierung, physische und psychische Gesundheitszustände, biometrische Daten oder genetische Daten.

Biometrische Daten – alle Daten, die verwendet werden, um einen Einzelnen anhand seiner einzigartigen Merkmale zu identifizieren.

Fingerabdrücke gelten als ein Beispiel für biometrische Daten. Die DSGVO besagt, dass die Verarbeitung solcher Daten untersagt ist, außer die betroffene Person hat die Zustimmung erteilt und die Verarbeitung ist aus bestimmten Gründen erforderlich (wie zum Beispiel der Schutz der Grundbedürfnisse des Einzelnen).

Genetische Daten – alle Daten, die sich auf genetische Merkmale einer betroffenen Person beziehen. Diese Daten sind einzigartig und individuell.

Der Schutz der genetischen Daten ist sehr wichtig, da zum Beispiel Krankenversicherungen die über genetische Daten bezüglich des Gesundheitszustandes einer Person verfügen, die Kosten einer Versicherung mithilfe dieser Informationen aufgrund z.B. erhöhter Erkrankungsrisiken erhöhen könnten.

Gesundheitsdaten – alle Daten, die Informationen über den körperlichen und geistigen Zustand eines Einzelnen liefern können.

Zum Beispiel werden medizinische Aufzeichnungen einer psychischen Störung wie Depressionen als gesundheitsbezogene Daten angesehen.

Datensubjekt – eine Person, auf die sich die Daten beziehen.

Beispielsweise ist ein Student ein Datensubjekt, weil die Universität Daten (wie Name, Adresse, Nationalität, Geburtsdatum usw.) über ihn besitzt.

Darüber hinaus kann die Verarbeitung von Daten die Mitarbeiter, Manager, Vertragspartner, Lieferanten usw. betreffen.

Verarbeitung – alle Operationen, die an den personenbezogenen Daten durchgeführt werden, wie das Erheben, die Verwendung, die Übermittlung oder die Speicherung von Daten.

Wenn Benutzer neue Konten erstellen oder Online-Shopping mit ihren Kreditkarten durchführen, verarbeiten die Websites ihre persönlichen Daten.

Verschlüsselte Daten – der Schutz personenbezogener Daten mit dem Ziel, die Vertraulichkeit und Integrität der Daten sicherzustellen und sie für diejenigen unlesbar zu machen, die keinen expliziten Zugang zu diesen Daten haben.

Beispielsweise müssen verschlüsselte Daten zuerst entschlüsselt werden, sodass vorerst bedeutungslos wirkende Informationen genutzt werden können.

Datenkontrolleur / Data Controller (DC) – die Entität, die entscheidet, welche Daten verarbeitet werden und mit welchen Mitteln.

Beispiele für Data Controller sind Personen, Regierungsabteilungen oder Unternehmen. Die DSGVO verpflichtet die betroffenen Personen, Informationen über die Verarbeitung personenbezogener Daten bereit zu stellen und Zugang zu den personenbezogenen Daten zu gewähren.

Der Data Controller muss in kürzester Zeit Informationen wie den Zweck der Verarbeitung, die Art der verarbeiteten personenbezogenen Daten, wer der Empfänger der persönlichen Daten war usw. mitteilen.

Datenverarbeiter / Data Processor (DP) – die Entität, die für die Verarbeitung personenbezogener Daten im Namen des Data Controllers verantwortlich ist.

Beispiele dafür sind IT-Dienstleister oder Marktforschungsunternehmen.

Nur die Data Processors, die ausreichende Garantien in Bezug auf die DSGVO bieten, werden vom Data Controller ausgewählt.

Datenempfänger – die Entität, die die vom Data Processor verarbeiteten Daten empfängt.

Diese Entitäten können öffentlich (zum Beispiel Finanzämter, Regierungsbehörden usw.) oder privat (zum Beispiel Abteilungen für die eigenen Mitarbeiter – Marketing, Personal, Buchhaltung usw. oder Banken, Telekommunikationsunternehmen usw.) sein.

Datenschutzvereinbarung – wenn ein Data Controller einen Data Processor ernennt, muss er diesen Rechtsakt erstellen (Data Protection Agreement, DPA), um alle Bestandteile der Datenverarbeitung wie Datensubjekte, Dauer, Zweck, verwendete Mittel usw. schriftlich festzulegen.

Die Pflichten und Rechte des Data Processors müssen eindeutig festgelegt sein (zum Beispiel die Pflicht zur Vertraulichkeit oder die Verpflichtung, alle technischen Maßnahmen zu ergreifen, um Verstöße zu vermeiden).

Right to erasure / Recht auf Löschung – auch “Right to be forgotten” oder „Recht, vergessen zu werden” genannt – sichert dem Einzelnen das Recht zu, dass der Data Controller die personenbezogenen Daten unverzüglich löscht, die anderen Data Controller darüber informiert, dass die Person die Löschung der Daten beantragt hat und die weitere Sammlung, Verarbeitung und Weitergabe der Daten endet.

Zum Beispiel wird von Suchmaschinen auf Anfrage einer Person erwartet, die Links zu denjenigen Webseiten zu löschen, die mit dem Namen der Person verknüpft sind.

Right to the restriction of processing / Recht auf Verarbeitungseinschränkung – Recht des Einzelnen, die Verarbeitung der Daten durch den Data Controller einzuschränken, wenn diese fehlerhaft oder rechtswidrig ist oder wenn der Data Controller die personenbezogenen Daten nicht mehr benötigt.

Wird dieses Recht von der betroffenen Person verwendet, ist der Data Controller verpflichtet, weitere Controller, die die Daten verarbeiten, zu informieren.

Right to data portability / Recht auf Datenübertragbarkeit – ermöglicht der betroffenen Person, personenbezogene Daten von dem Controller in einem Format zu erhalten, das von einem anderen Data Controller gelesen werden kann.

Dieses Recht kann eine hohe Anwendbarkeit in der Bankenbranche haben, wenn ein Datensubjekt seine Transaktionen einsehen will und sie in einem lesbaren Format erhalten möchte.

Joint controllers / Verbundene Controller – zwei oder mehrere Data Controller entscheiden gemeinsam, welche Daten mit welchen Mitteln verarbeitet werden. Der Prozess muss in Bezug auf die Rechte der betroffenen Person transparent durchgeführt werden.

Zum Beispiel können eine Firma, die bestimmte Waren herstellt, und ihr autorisierter Händler entscheiden, die persönlichen Daten ihrer Kunden zu teilen.

Vertreter des Data Controllers – eine natürliche oder juristische Person, die den Controller bezüglich der Einhaltung der DSGVO vertritt.

Records of processing / Aufzeichnungen der Verarbeitung – alle Verarbeitungen bezüglich personenbezogener Daten von Unternehmen mit mehr als 250 Mitarbeitern oder mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen werden aufgezeichnet.

Wenn eine Organisation beispielsweise mehr als 250 Mitarbeiter beschäftigt, sollte sie Aufzeichnungen über alle Aktivitäten im Zusammenhang mit der Verarbeitung von Daten führen.

Data protection impact assessment / Datenschutz-Folgenabschätzung – wenn die verarbeiteten Daten ein Risiko für die Rechte und Freiheiten der Datensubjekte darstellen, ist der Controller verpflichtet, das Risiko vor Beginn der Verarbeitung zu bewerten. Der Datenschutzbeauftragte kann in dieser Angelegenheit Unterstützung anbieten.

Wenn das Ergebnis der Bewertung ein hohes Risiko aufweist, muss das Verfahren alle sechs Monate überprüft werden. Bei mittlerem Risiko wird der Prozess alle neun, bei geringem Risiko alle zwölf Monate überprüft.

Supervisory authority / Aufsichtsbehörde – eine Behörde, mit der die Data Controller und Data Processor zusammenarbeiten, falls erforderlich oder notwendig.

Jeder Staat der EU wird mindestens eine unabhängige Aufsichtsbehörde benennen.

In Deutschland gibt es 15 Aufsichtsbehörden, die für die verschiedenen Länder der Bundesrepublik zuständig sind (zum Beispiel die bayerische Datenschutzbehörde – BayLDA, zuständig für den Freistaat Bayern)

Der Europäische Datenschutzausschuss – eine Einrichtung der Europäischen Union, die aufgrund der DSGVO eingerichtet wurde und aus je einem Leiter der Aufsichtsbehörde jedes Staates der EU besteht.

Der Hauptzweck des Ausschusses besteht darin, die Anwendung der Verordnung sicherzustellen.

Rechtsverletzungen von personenbezogenen Daten – ein Sicherheitsproblem, das zu rechtswidrigen Zugang, Nutzung, Verbreitung etc. von personenbezogenen Daten führt.

Zum Beispiel wurden im Jahr 2013 drei Millionen verschlüsselte Kreditkarten-Datensätze von Kunden der Firma Adobe nach einer Datenpanne gestohlen.

Der Data Controller informiert die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne über die Art der Verletzung, die betroffenen personenbezogenen Daten, die wahrscheinlichen Folgen und die möglichen Maßnahmen zur Behebung des entstandenen Schadens.

Wenn die Verletzung als ein Risiko für die Rechte und Freiheiten des Einzelnen angesehen wird, muss auch das Datensubjekt benachrichtigt werden.

Um solche Probleme zu vermeiden, wird der Data Processor gebeten, das Risiko möglicher Datenschutzverletzungen zu analysieren und zu versuchen, die Sicherheit nach Möglichkeit zu erhöhen. Das Risiko wird auf einer Skala von 1 (geringes Risiko) bis 3 (hohes Risiko) bewertet.

Data Protection Officer / Datenschutzbeauftragter – eine Person, deren Hauptaufgabe darin besteht, die Einhaltung der DSGVO eines Unternehmens zu überwachen und bezüglich Datenschutzmaßnahmen zu beraten.

Ein Datenschutzbeauftragter wird nur in folgenden drei Fällen ernannt: (1) Es handelt sich bei dem Unternehmen um eine Behörde, (2) die Haupttätigkeit des Unternehmens liegt in der umfangreichen und systematischen Überwachung von Datensubjekten oder (3) die Haupttätigkeit des Unternehmens besteht darin, Daten über die Verurteilung wegen einer Straftat zu verarbeiten.

Pseudonymisierung – ein Prozess, der durch die DSGVO gefördert wird und bei dem die Daten nicht einer Person zugeordnet werden können und nicht dazu beitragen können, die Person ohne zusätzliche Informationen zu identifizieren.

Diese Methode soll die Sicherheit der Daten erhöhen und das Risiko von Verstößen verringern. Die Data Controller werden ermutigt, diesen Prozess zu nutzen, um den Sicherheitsanforderungen der DSGVO gerecht zu werden.

Ausnahme – eine Abweichung von einem Gesetz oder einer Regel.

Im Zusammenhang mit den Verordnungen der Europäischen Union kann eine Ausnahme zur Folge haben, dass ein Mitgliedstaat ein neues Gesetz nicht sofort umsetzen kann.

Consent / Zustimmung – die Zustimmung einer Person zur Verarbeitung personenbezogener Daten.

Beispielsweise müssen Sie bei der Registrierung auf einer Webseite oder für die Teilnahme an einem Online-Wettbewerb ein Kästchen ankreuzen, mit dem Sie sich einverstanden erklären, dass das Unternehmen die von Ihnen bereitgestellten Daten verwenden und verarbeiten darf.

Profiling – eine Methode, die die bereitgestellten persönlichen Daten verwendet, um zukünftiges Verhalten vorherzusagen.

Zum Beispiel werden personenbezogene Daten von Social-Media-Webseiten genutzt, um gezielte Werbung basierend auf Likes, Hobbys, angesehenen Seiten usw. anzubieten.

Ablagesystem – ein System, das die personenbezogenen Daten organisiert und nach bestimmten Kriterien zugänglich macht.

Zum Beispiel die Auswahl von persönlichen Daten von Personen in einem geografischen Gebiet oder eines bestimmten Alters.

Datenübertragung – Übermittlung personenbezogener Daten aus den 28 EU-Ländern und den drei EWR-Ländern (Norwegen, Island und Liechtenstein) in ein Drittland. Die DSGVO lässt diesen Prozess nur zu, wenn das betreffende Land die Bedingungen der Verordnung erfüllt. Eine Kommission bewertet das Niveau des Datenschutzes in diesem spezifischen Land und genehmigt oder lehnt die Datenübertragung in der Folge ab.

Bisher hat die Kommission erklärt, dass folgende Länder ausreichenden Datenschutz gewähren: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay.

Verlässt das Vereinigte Königreich die Europäische Union und den EWR, wird es ein Drittland.

EWR – europäischer Wirtschaftsraum, in dem der freie Verkehr von Personen, Dienstleistungen, Waren und Kapital erlaubt ist.

Derzeit gibt es 28 EU-Staaten im EWR sowie Norwegen, Liechtenstein und Island.

Binding Corporate Rules (BCR) / Verbindliche, unternehmensinterne Vorschriften – das Regelwerk, das von multinationalen Unternehmen verwendet wird und die Übermittlung personenbezogener Daten innerhalb der Gruppe von Unternehmen, die nicht Teil des EWR sind und nicht das erforderliche Datenschutzniveau gewährleisten, reguliert.

Die verbindlichen, unternehmensinternen Vorschriften müssen von der EU genehmigt werden und bieten infolgedessen eine ausreichende Schutzgarantie, sodass diese internationalen Übermittlungen stattfinden können.

Zum Beispiel verabschiedete eBay verbindliche unternehmensinterne Vorschriften, die von der luxemburgischen nationalen Datenkommission genehmigt wurden.

Sanktionen – Bestrafung wegen Nichteinhaltung der DSGVO. Die Bußgelder für Datenschutzverletzungen können bis zu € 20 Millionen oder 4 % der weltweiten Bruttoeinnahmen (je nachdem, welcher Wert höher ist) betragen.

Infolge dieser sehr hohen Strafen droht vielen Unternehmen, die sich nicht an die Vorschriften halten oder gegen den Datenschutz verstoßen, die Insolvenz.