Grafik

 

Blossey & Partner

Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen

Großraum Berlin
Berliner Straße 9
06886 Wittenberg

Telefon:
+49 98 56 - 92 19 991
Kontakt | Impressum | Datenschutz

 

 


© Blossey & Partner Datenschutzberatung

Grafik
Datenschutz ist ein interessantes, hoch komplexes Themengebiet. Zur Orientierung haben wir die wichtigsten Begriffe für Sie zusammengestellt. Anregungen sind uns willkommen!

Dieser Glossar wird ständig aktualisiert.


Datenerhebung

.

Die Datenerhebung gehört zur Daten-Verarbeitung und beschreibt den Prozess der Datenbeschaffung vom oder über den Betroffenen – bzw. auch das (gegebenenfalls unfreiwillige) Erhalten solcher Daten.
Die Datenerhebung ist rechtmäßig, wenn die betroffene Person eingewilligt hat (Artikel 6 (1) lit. a DSGVO) oder bei Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen, deren Partei der Betroffene ist (Artikel 6 (1) lit. b DSGVO), erforderlich ist.
Zu den weiteren gesetzlichen Grundlagen zählen Artikel 6 (1) lit. c, d, e, f DSGVO: Verarbeitung zur Erfüllung rechtlicher Pflichten; Verarbeitung im lebenswichtigen Interesse des Betroffenen oder anderer Personen; die Erfüllung der Aufgabe im öffentlichen Interesse, Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Interessensabwägung).


Datengeheimnis

.

Die aus dem alten § 5 BDSG bekannte Verpflichtung auf das Datengeheimnis ersetzt die DSGVO in einer ähnlichen Form mit dem Begriff "Wahrung der Datenvertraulichkeit"


Dateisystem

.

Der Schutz personenbezogener Daten durch die DSGVO schließt neben der ganz oder teilweise automatisierten Verarbeitung auch die Verarbeitung personenbezogener Daten in einer strukturierten Sammlung, die nach bestimmten Kriterien zugänglich sind. Ein solches nicht-digitales Dateisystem kann zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt werden. Hierunter zählen beispielsweise Papier-Personalakten oder auch Karteikasten-Systeme, die immer nach derselben Ordnung aufgebaut sind.


Datenschutz

.

Zur Umsetzung von Maßnahmen zum Datenschutz nach der EU Datenschutz-Grundverordnung (DSGVO), ergänzt durch die Neufassung des Bundesdatenschutzgesetzes (BDSG) ist jedes Unternehmen, jede Behörde, jede Institution, jeder Verein und jegliche andere Stelle, bei der mit Personendaten gearbeitet wird (= "Verantwortlicher"), gesetzlich verpflichtet. Datenschutz meint dabei sowohl den Schutz der persönlichen Privatsphäre und Selbstentfaltung jedes Menschen, als auch den technischen und organisatorischen Schutz digitaler oder karteiähnlich verfügbarer Informationen über natürliche Personen. Für den Verbraucher im Alltag geht es bei Datenschutz vor allem darum, nicht durch unkontrollierte "Datensammelwut" seiner personenbezogenen Daten durchschaubar, also zum "gläsernen Menschen", zu werden und gegebenenfalls dadurch in seiner Privatsphäre gestört zu werden oder durch persönliche Umstände benachteiligt zu werden. Beispielsweise muss der Betroffene selbst bestimmen können, wem in seinem Umfeld er über eine Erkrankung berichtet und wann und in welchem Umfang. Einen längerfristigen Handyvertrag nicht abschließen zu können, weil die Information über eine Krankheit, die kurz- oder mittelfristig zum Ableben des Betroffenen führen kann, durchgesickert ist, ist inakzeptabel und ein unverhältnismäßiger Eingriff in die Privatsphäre des Betroffenen.


Datenschutzaudit

.

Unter einem Audit oder Datenschutzaudit wird die Verwendung eines Dienstes verstanden, der insbesondere sicherheitskritische Ereignisse betrachtet. In dem Untersuchungsverfahren werden Prozessabläufe analysiert wie zum Beispiel im Bereich der IT-Sicherheit oder im Bereich Datenschutz. Audits können durch externe Auditoren sowohl durch eigene Mitarbeiter (Selbsterklärung) durchgeführt werden.

Das Datenschutzaudit untersucht, ob Prozesse, Anforderungen und Richtlinien den rechtlichen Rahmenbedingungen bzw. geforderten Standards entsprechen. Dieses Verfahren wird meist in Anbindung an ein Qualitätsmanagement durchgeführt. Das Audit dient gleichermaßen der Prüfung/Kontrolle (statisches Qualitätsmanagement) als auch der Erfassung von Entwicklungsverläufen und der Wirksamkeit eingeleiteter Maßnahmen (dynamische Qualitätssicherung). Das Audit wird durch den betrieblichen Datenschutzbeauftragten intern (internes Audit) selbst oder durch eine dritte Stelle (externes Audit) durch eine qualifizierte Fachkraft durchgeführt.


Datenschutzbeauftragter (DSB)

.
Im nicht-öffentlichen Bereich ist ein DSB zu bestellen, sobald mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben. Bedenkt man, das ein solcher Umgang bereits eine gemeinsame Adressdatei auf dem Computer sein kann, bedeutet dies für viele kleinere Betriebe, Vereine und weitere Institutionen, dass sie längst einen DSB schriftlich bestellt haben müssen. Der DSB muss Fachkunde und Zuverlässigkeit besitzen, um die Qualität seiner Arbeit sicherstellen zu können. Sollten Sie einen DSB bestellen wollen, lassen Sie sich vorher zumindest seine Fachkunde nachweisen.

Datenschutzpanne, Datenschutzvorfall

.

Lesen Sie bitte unter Verletzung des Schutzes personenbezogener Daten


Datensicherheit - "Schutz der Daten"

.
Ein effektives Datenschutzkonzept sollte nach dem Prinzip der "Dualen Sicherheit" aufgebaut sein: Der Schutz im automatisierten System (z.B. ein Computer, ein Netzwerk) reicht nicht aus. Ebenso wichtig ist der Umgang mit den Daten außerhalb des digitalen Systems (z.B. Räumlichkeiten, Mitarbeiter, Müllentsorgung).

Datenminimierung

.

Das Grundprinzip der Datenminimierung (§ 5 (1) lit. c DSGVO) ist während des gesamten Lebenszyklus personenbezogener Daten umzusetzen. Es bedeutet, dass lediglich die für den definierten Zweck benötigten personenbezogenen Daten erhoben werden dürfen und keine weiteren, zusätzlichen Informationen, die man ggf. später zu einem erweiterten Zweck gebrauchen könnte.
Zur Datenminimierung gehört die Anforderung, personenbezogene Daten zu vernichten oder zu löschen, sobald sie für den definierten Zweck nicht mehr erforderlich sind und keiner gesetzlichen Aufbewahrungspflicht unterliegen. Werden Daten nicht mehr aktiv benötigt, müssen aber aufgrund einer Aufbewahrungsfrist aufbewahrt werden, sind sie in einem sicheren System zu archivieren und vom Zugriff aus den Produktivsystemen auszuschließen.
Die richtige Umsetzung der Datenminimierung hilft dabei, unnötige Datenschutzvorfälle zu vermeiden bzw. ihre Auswirkung zu reduzieren. Generell sollte die Vermeidung von Daten von der betroffenen Person selbst praktiziert werden: Wo Personendaten erst gar nicht herausgegeben werden, können sie später nicht missbraucht werden.


Datenvertraulichkeit

.

Im Rahmen der Datenverarbeitung dürfen personenbezogene Daten nicht missbraucht werden. Um hier vorzubeugen, sind Verantwortliche angehalten, ihre Beschäftigten entsprechend zu unterrichten und auf die Wahrung der Datenvertraulichkeit nach § 5 (1) lit f, § 32 (4) DSGVO zu verpflichten. Für Auftragsverarbeiter (Link!) gilt zusätzlich § 28 (3) lit b DSGVO. Sie müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugte Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Um der Rechenschaftspflicht nachkommen zu können, empfehlen wir eine schriftliche Verpflichtung. Die Verpflichtung gilt über die Beendigung des Beschäftigungsverhältnisses hinaus. Auch bei Mitarbeitern von externen Dienstleistern bzw. Fremdfirmen kann es erforderlich sein, diese auf Geheimhaltung und Datenvertraulichkeit zu verpflichten.


Dienst der Informationsgesellschaft

.

Dienst der Informationsgesellschaft wird im Artikel 1 (1) lit. b der Richtlinie (EU) 2015/1535 als meistens gegen Bezahlung elektronisch im Fernabsatz sowie auf individuellen Abruf eines Empfängers erbrachte Dienstleistung definiert.
Beim Fernabsatz handelt es sich um alle Transaktionen, die nicht unmittelbar in einem Ladengeschäft stattfinden, also um alle Online-Transaktionen über das Internet, Telefon, Fax, Katalog oder Bestellkarte. Betroffen sind dabei alle Geräte, die für die elektronische Verarbeitung und Speicherung von Daten über Festnetz, Funk, auf optischen oder anderen elektromagnetischen Wegen geeignet sind.


Dritter

.

Alle Stellen außerhalb eines Unternehmens, darunter natürliche oder juristische Personen, Behörden, Einrichtungen, sind Dritte. Ausnahme bilden Betroffene, Verantwortliche, Auftragsverarbeiter und Personen, die unter der unmittelbaren Anweisung und Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Beispiele Dritter: wenn Lohn-/Gehaltsabrechnung, Rechnungsstellungen u.ä, in der Cloud eines Software Anbieters bearbeitet werden, kommt es zur Datenweitergabe an Dritte. Wenn WhatApp die Daten ihrer Nutzer inklusive deren Adressbuch an Facebook weitergibt, handelt es sich um Datenweitergabe an Dritte. Wir sprechen von Weitergabe personenbezogener Daten an Dritte, wenn z.B. ein externer Gutachter Zugang zu und Zugriff auf Unterlagen mit personenbezogene Daten erhält.