Datenschutz

Glossar: Datenschutz A-Z

Ständig ergänzte, alphabetische Liste von Begriffen zum Datenschutz. Diese werden kurz und bündig definiert oder erklärt. Weiterführende Links verweisen auf detaillierte Inhalte.

Anonymisierung

Die Anonymisierung ist eine der wichtigsten Maßnahmen, um personenbezogene Daten zu schützen. Denn sie nimmt ihnen den direkten oder indirekten Bezug zu Personen. Im Erwägungsgrund 26 der DSGVO heißt es: „Die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ Gleichzeitig sollen die Daten trotz der Anonymisierung für Analysen nützlich bleiben.

Bei der Anonymisierung werden identifizierbare Informationen wie Namen, Telefonnummern und Mailadressen entfernt oder die Datensätze werden so verändert, dass sie weniger präzise sind, zum Beispiel indem man die Daten mit „Rauschen“ versieht. Man unterscheidet zwischen absolut und faktisch anonymen Daten.

» Zum Wiki-Beitrag

Anonymisierte Daten

Anonymisierte Daten sind Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen lassen (Erwägungsgrund 26, DSGVO). Anonymisierung bedeutet also, das eine Person nicht mehr identifizierbar ist.

Die Grundsätze des Datenschutzes gelten für diese Art der Daten nicht, d.h. anonyme Daten dürfen jederzeit beispielsweise für statistische oder für Forschungszwecke weitergegeben werden. Sie müssen allerdings ausreichend anonymisiert sein.

» Zum Wiki-Beitrag

Aufbewahrungspflichten

Dokumente im Datenschutz, hier auch als Datenrate bezeichnet, unterliegen gesetzlichen Aufbewahrungsfristen. Innerhalb dieser Aufbewahrungsfristen dürfen diese Daten nicht gelöscht werden. Die Aufbewahrungsfristen werden von behördlicher Seite definiert und können jedes Jahr aktualisiert werden. Viele geschäftliche Dokumente habe eine gesetzliche Aufbewahrungsfrist von 6 oder 10 Jahren.

Nach Ablauf dieser Aufbewahrungsfrist müssen die Daten aus Sicht des Datenschutzes gelöscht werden. Eine Ausnahme ist dann möglich, wenn eine andere rechtliche Grundlage besteht, die Daten weiter zu speichern und zu verarbeiten oder ein berechtigtes Interesse argumentiert werden kann. 

 Welche Daten wann und wie zu löschen sind, wird im Löschkonzept definiert.

Aufsichtsbehörden

Die Aufgaben, Befugnisse, Zuständigkeiten, Zusammenarbeit und Unabhängigkeit der Aufsichtsbehörden sind in der Datenschutz-Grundverordnung geregelt: Kapitel VI Kapitel VII

Die Hauptaufgabe ist es, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren. Sollten Organisationen diese Gesetze nicht einhalten, sind die Aufsichtsbehörden befugt entsprechende Organisationen mit Bußgeldern abzustrafen.

» Zum Wiki-Beitrag

Auftragsverarbeitungsvertrag

Wenn personenbezogene Daten im Auftrag Ihres Unternehmens von einem externen Dienstleistern verarbeitet werden, müssen Sie als Auftraggeber und der externe Dienstleister als Auftragnehmer einen gesonderten Vertrag schließen. Dieser Vertrag regelt unter welchen Vorgaben die Verarbeitung von personenbezogenen Daten erfolgen darf.

Klassische Beispiele für einen Auftragsverarbeitung sind die Inanspruchnahme der Dienstleistung von externen Rechenzentren, Softwareanbietern oder auch Lettershops für Marketing-Maßnahmen. Doch gibt es eigentlich eine Unterschied zwischen dem  Auftragsdatenverarbeitungsvertrag und dem Auftragsverarbeitungsvertrag? Welche Informationen muss ein solcher Vertrag enthalten um den Anforderungen der DSGVO zu genügen?

» Zum Wiki-Beitrag

» Zum Hilfe-Artikel

Berechtigtes Interesse

In manchen Fällen werden Verarbeitungstätigkeiten für personenbezogene Daten auf Basis eines berechtigten Interesses durchgeführt. Die gesetzliche Grundlage dafür bietet Art. 6 Abs. 1 lit. f DSGVO:

"die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."

Die entscheidende Frage ist, was ist ein berechtigtes Interesse?  Dieses unterliegt immer einer Interessensabwägung zwischen dem Zweck der Verarbeitung und den Effekten der Verarbeitung auf die Betroffenen. Kern dieser Interessensabwägung ist salopp gesagt, inwiefern die Privatsphäre (Freiheitsrechte) des Betroffenen durch die Verarbeitung eingeschränkt werden und ob diese Einschränkung verhältnismäßig zum Zweck der Verarbeitung zu sehen ist. 

Hier ein konkretes Beispiel: ein Dachdecker ist verpflichtet seine Geschäftsunterlagen zu seinen Kunden nach zehn Jahren zu löschen (Ende der gesetzlichen Aufbewahrungsfrist). Dächer gehen aber in der Regel erst nach 20 Jahren kaputt. Hier besteht ein berechtigtes Interesse, sowohl für den Handwerker als auch für den Kunden, die Geschäftsunterlagen des Kunden länger als die gesetzliche Aufbewahrungsfrist von zehn Jahren zu verarbeiten. Effekte auf die Freiheitsrechte des Kunden sind nicht zu befürchten.

Betroffenenrechte in der Datenschutzgrundverordnung

Die Verarbeitung von personenbezogenen Daten kann Menschen in vielerlei Weise betreffen. Deren Rechte, die „Betroffenenrechte“, sind ein Kernbestandteil der Datenschutzgrundverordnung (DSGVO). Sie widmet ihnen ein ganzes Kapitel. Um diese Rechte wahrnehmen zu können, muss man wissen, welche Daten von wem über die eigene Person gespeichert und verarbeitet werden. Daher sehen die Artikel 13 und 14 DSGVO umfangreiche Transparenzpflichten für datenverarbeitende Stellen vor. Diese Informationen müssen in verständlicher Form einen Überblick über die Datenverarbeitung vermitteln. Meistens sind sie in der Datenschutzerklärung enthalten. Darüber hinaus gewährt Artikel 15 DSGVO ein Auskunftsrecht, wonach jede Stelle auf Anfrage Auskunft erteilen muss, welche Daten zu einer Person verarbeitet werden.

Betroffene können sich direkt an Unternehmen, Behörden und andere datenverarbeitende Stellen wenden. Sollten Probleme auftreten, haben sie die Möglichkeit, die Aufsichtsbehörde einzuschalten. Im Einzelnen geht es um die folgenden Betroffenenrechte.

» Zum Wiki-Beitrag

Datenkategorien

Datenmerkmale sind personenbezogene Daten, die es einzeln oder in Kombination ermöglichen, eine Person zu identifizieren. Beispiele sind: Name, Vorname, Straße, Ort, Mobilnummer, Sozialversicherungsnummer, Personalausweisnummer, IP-Adresse des Handys usw.

Datenkategorien sind Bestandteil von >Datenarten.

Datenarten

Personenbezogene Daten werden häufig in Dokumenten, wie z. B. der Lohnabrechnung, der Personalakte oder Geschäftsbriefen verarbeitet. Diese Dokumente bezeichnet man auch als Datenart. Bestandteil von Datenarten sind neben anderen Informationen auch personenbezogene Merkmale, die >Datenkategorien genannt werden.

Datenarten haben darüber hinaus in der Regel eine gesetzliche Aufbewahrungspflicht

Datenschutz-Folgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt und ist eine Risikoanalyse, welche zur Beschreibung und Bewertung von Risiken vor der Verarbeitung bestimmter Daten gilt. Dabei ist die Datenschutz-Folgenabschätzung ein komplexer Vorgang innerhalb des Datenschutzes, der nicht vor jeder Datenverarbeitungstätigkeit durchzuführen ist, sondern bei besonders kritischen Verarbeitungen, die entweder eine gewisse automatisierte Systematik anwenden oder personenbezogene Daten besonderer Kategorien (nach Artikel 9 und Artikel 10 der DSGVO) umfassen. Durch eine Einschätzung des Risikos bei der Verarbeitung, soll dieses reduziert werden.

Die Risikoanalyse bzw. Folgenabschätzung für Datenverarbeitungen gab es bereits im BDSG (alt). Das entsprechende Verfahren war in § 4d Abs. 5 und 6 geregelt und setzte eine Vorabkontrolle voraus, sobald automatisierte Verarbeitungsprozesse ein besonderes Risiken für Rechte und Freiheiten der Betroffenen mit sich brachten.

» Zum Wiki-Beitrag

» Zum Hilfe-Artikel

Datenschutzbeauftragter

Der Datenschutzbeauftragte ist die verantwortliche Person die die Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DSGVO) koordiniert und überprüft. Viele Unternehmen in der Europäischen Union sind zu Bestellung eines Datenschutzbeauftragten verpflichtet. Im nachfolgenden Artikel informieren wir Sie zu Bestellpflicht, den Unterschieden und Aufgaben des Datenschutzbeauftragten.

» Zum Wiki-Beitrag

Datenschutzpannen

Bei einer Daten(schutz)panne erhalten Unberechtigte Zugriff auf Daten. Durch diese Verstöße gegen Datenschutz und -sicherheit werden Betriebsgeheimnisse und/oder personenbezogene Daten Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten, also ihren Verlust.

Die Daten können dabei im Original abhanden kommen, zum Beispiel weil Datenträger oder Akten verloren, gestohlen oder falsch entsorgt wurden, oder in Form einer Kopie. Solche Pannen können beispielsweise durch Eindringen in einen Server oder die Verbreitung versehentlich veröffentlichter Daten passieren.

Diese Lecks haben oft negative Folgen für Unternehmen und bei personenbezogenen Daten für die Betroffenen. Den Unternehmen drohen wirtschaftliche Nachteile und Imageschäden, den Betroffenen können durch Datenschutzverletzungen bis hin zum Identitätsdiebstahl große finanzielle und persönliche Schäden entstehen.

» Zum Wiki-Beitrag

Datenschutz Grundlagen im Zuge der DSGVO

Durch die Datenschutz-Grundverordnung, welche am 25. Mai 2018 in Kraft getreten ist, soll das Grundrecht auf informationelle Selbstbestimmung gesichert werden. Dies bedeutet, dass Personen selbst bestimmen wie mit ihren Daten umgegangen wird und wer welche Informationen erhalten darf. Basierend auf dem Recht der informationellen Selbstbestimmung, regelt die DSGVO die Erhebung, Verwendung, Speicherung und Weitergabe personenbezogener Daten.

» Zum Wiki-Beitrag

Datenschutzgrundverordnung EU-DSGVO

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR). Es handelt sich um ein knapp 100 Paragrafen umfassendes Gesetz zum Schutz personenbezogener Daten innerhalb der EU.

Bis zum Inkrafttreten der Verordnung galten in jedem EU-Land andere Datenschutz-Standards. Durch die Datenschutz-Grundverordnung wurde das Datenschutzrecht in der Europäischen Union vereinheitlicht.

» Zum Wiki-Beitrag

Dokumentationspflichten der DSGVO

Um die Vorschriften der DSGVO zu erfüllen, muss jedes Unternehmen seine Datenschutzmaßnahmen und Verarbeitungstätigkeiten umfassend dokumentieren. Ganz unabhängig davon wie groß oder klein ein Unternehmen ist oder wie viele Mitarbeiter dieses beschäftigt.

Das klingt zunächst nach einer umfangreichen und eher lästiger Pflicht, bildet aber tatsächlich das Rückgrat der Datenschutzorganisation. Ein durchaus nicht zu verachtender Nebeneffekt ist, dass die Dokumentation im Zusammenhang mit der DSGVO für Ordnung sorgt. Denn im Zuge der Datenschutz Dokumentation, fassen Verantwortliche die Prozesse der Unternehmen einzeln an und können diese parallel optimieren.

» Zum Wiki-Beitrag

Gemeinsam Verantwortliche

Artikel 26 Abs. 1 DSGVO definiert gemeinsam Verantwortliche so:

"Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikel 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden."

Gemeinsam Verantwortliche müssen die Zusammenarbeit und Wege zur Wahrnehmung der Betroffenenrechte in einem gemeinsamen Vertrag regeln. 

Informationspflichten der DSGVO

Gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung müssen Verantwortliche Betroffene darüber aufklären, welche Daten und Informationen erhoben und verarbeitet werden.

» Zum Wiki-Beitrag

Informationssicherheit

Der Themenbereich Informationssicherheit ist eng verknüpft mit der IT-Sicherheit, Datensicherheit und dem Datenschutz und wird in den meisten Unternehmen durch einen Informationssicherheitsbeauftragen operativ umgesetzt. Dieser orientiert sich bei der Umsetzung an Leitlinien wie dem IT Grundschutz und Normen wie der ISMS-Zertifizierung nach ISO 27001. Die Anforderungen der Leitlinien und Normen werden durch den Informationssicherheitsbeauftragten in ein Informationssicherheits Management System integriert und fortlaufend kontrolliert und optimiert. Für diese Aufgabe bestimmen Unternehmen einen internen ISB oder bestellen einen externen Informationssicherheitsbeauftragen.

» Zum Wiki-Beitrag

Löschkonzept

Personenbezogene Daten müssen nach Art. 17 DSGVO gelöscht werden, wenn sie aus gesetzlichen Gründen nicht mehr aufbewahrt werden müssen (>Aufbewahrungspflicht) oder wenn der Betroffene eine Löschung verlangt und keine gesetzliche Regelung dagegenspricht. Welche Daten wann und wie zu löschen sind, wird im Löschkonzept definiert.

Für die Umsetzung des Löschkonzeptes existiert keine gesetzliche Vorgabe. Es bietet sich an, hierzu auf die DIN 66398 zurückzugreifen. In dieser werden auf Basis von >Datenarten sogenannte >Löschklassen definiert.

Löschklasse

In einer Löschklasse sind eine oder mehrere Datenraten zusammengefasst, die zu einer bestimmten Frist gelöscht werden müssen.  Löschklassen werden durch >Löschregeln umgesetzt.

Löschregeln

Eine Löschregel definiert, wann konkret die Datenarten einer bestimmten Löschklasse wie gelöscht werden.  Praktisch kann das bedeuten, dass sich Organisationen jährlich bestimmte Stichtage als Löschregel vormerken, an denen dann die entsprechenden Datenarten in einer Schlaufe gelöscht werden.

Beispiel für eine Löschregel der >Datenart "Personalakte" aus einer >Löschklasse "10 Jährige >Datenarten":

Alle Personalakten werden immer am 1. Februar oder dem nachfolgenden Werktag gelöscht. Papierbasierte Daten werden dabei professionell geschreddert. Die Daten im ERP-System werden über die dort implementierte DSGVO-konforme Löschfunktion von der Festplatte und allen Backups entfernt.

Passwortlose Authentifizierung

Passwörter sind schwer zu merken und meistens nicht sicher. Heute gibt es Lösungen, die ohne die Kombination aus Klein-, und Großbuchstaben, Zahlen und Sonderzeichen auskommen. Insbesondere Experten aus dem Bereich Datenschutz und Informationssicherheit setzen schon lange nicht mehr auf die Verwendung von Passwörtern, um den Zugriff auf System wesentlich sicherer zu gestalten.

Die passwortlose Authentifizierung ist der aktuelle Trends in der IT-Sicherheit und ein System, das ganz ohne die Verwendung von Passwörtern auskommt.  Denn bei der passwortlose Authentifizierung wird das Passwort durch wesentlich sicherere Faktoren ersetzt. Warum auch Sie besser gestern als heute auf Passwörter verzichten sollten und welche gängigen Verfahren es gibt lesen Sie im nachfolgenden Artikel.

» Zum Wiki-Beitrag

» Zum Hilfe-Artikel

Personenbezogene Daten

Nach Art. 4 Abs. 1 DSGVO folgendermaßen definiert:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Dazu gehören z. B. Name, Vorname, Kontonummer, Wohnadresse, Geburtsdatum, IP-Adresse usw. Diese Datenmerkmale nennt man auch >Datenkategorien.

» Zum Wiki-Beitrag

Personendaten

Siehe >Personenbezogene Daten.

Privacy by Design

Privacy by Design ist die datenschutzkonforme technische Konzeption und Entwicklung von IT-Systemen. Die DSGVO regelt dieses Prinzip in Artikel 25 und Erwägungsgrund 78. Es ist sinnvoll, mögliche Datenschutzprobleme schon in der Entwicklungsphase zu prüfen und den Datenschutz von vorneherein in die Konzeption einzubeziehen und mitzudenken, statt diese Probleme hinterher mühsam und zeitaufwändig beheben zu müssen. Der Ansatz des Privacy by Design beinhaltet unter anderem das Gebot der Datensparsamkeit, die Trennung von personenbezogenen Identifizierungsmerkmalen und Inhaltsdaten, die Nutzung der Pseudonymisierung und Anonymisierung sowie die möglichst baldige Löschung personenbezogener Daten.

» Zum Wiki-Beitrag

Privacy Shield

Der EU-US-Privacy-Shield war eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde und bis 2020 galt. Die europäische Union stuft den Transfer personenbezogener Daten in die USA aufgrund des USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen und wurde am 16.07.2020 vom Europäischen Gerichtshof für unwirksam erklär. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.

» Zum Wiki-Beitrag

Die e-Privacy-Verordnung

Die e-Privacy-Verordnung der EU soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie wird die e-Privacy-Richtlinie von 2002 ersetzen, die der deutsche Gesetzgeber größtenteils im Telemediengesetz und Telekommunikationsgesetz umgesetzt hat. Die Verordnung wird dagegen unmittelbar gelten. Wegen der technischen und wirtschaftlichen Entwicklungen seit 2002 ist die Neuregelung notwendig geworden.

Ursprünglich sollte die e-Privacy-Verordnung zusammen mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Bereits 2017 hatte die EU-Kommission einen ersten Entwurf erarbeitet. Doch aufgrund heftigen Widerstands aus der Wirtschaft musste die EU die Verabschiedung aussetzen. Viele Unternehmen befürchten, dass die Regelung ihr digitales Geschäft schädigen wird.

» Zum Wiki-Beitrag

Pseudonymisierte Daten

Pseudonymisierte Daten sind also durch eine Verschlüsselung, z.B. durch Verwendung einer Kennnummer, geschützt. Wichtig ist, dass dieser Schlüssel gesondert aufbewahrt und durch technische und organisatorische Maßnahmen gesichert ist. Die Pseudonymisierung ist ein Erwägungsgrund der DSGVO und dient der Sicherheit der Verarbeitung von personenbezogenen Daten. Pseudonymisierung soll das Risiko eines Datenmissbrauches oder -verlustes minimieren. (Art. 32, Abs. 1a DSGVO)

» Zum Wiki-Beitrag

Recht auf informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung schützt die Freiheit und Entfaltung der Persönlichkeit und wird deswegen auch Persönlichkeitsrecht genannt. Es ermöglicht jedem, selbst darüber zu entscheiden, welche personenbezogenen Daten preisgegeben oder verwendet werden dürfen. Das sogenannte Persönlichkeitsrecht ist noch relativ jung entstand im Rahmen des sogenannten Volkszählungsurteil des Bundesverfassungsgericht 1983. Durch die zunehmende digitale Datenerhebung und Datenverarbeitung gewinnt der Schutz von personenbezogenen Daten immer mehr an Bedeutung und ist neben dem Grundgesetz auch in der Datenschutzgrundverordnung (DSGVO) verankert. Im folgenden Beitrag erfahren Sie die wichtigsten Informationen rund um das Recht auf informationelle Selbstbestimmung.

» Zum Wiki-Beitrag

Schutzbedürftige Betroffene

Die personenbezogenen Daten schutzbedürftiger Betroffener sind besonders geschützt. Kinder, behinderte Menschen oder andere Menschen die es schwierig haben, ihre Persönlichkeitsrechte auszuüben.

Speziell bei der Einwilligung in die Datenverarbeitung sieht die DSGVO in Art 7 vor, bei Kindern unter 16 Jahren die Einwilligung der Eltern in die Datenverarbeitung einzuholen.

Werden Personendaten schutzbedürftiger Betroffener in einer Verarbeitungstätigkeit verarbeitet, so kann unter Umständen eine Datenschutz-Folgeabschätzung notwendig werden.

Standardvertragsklauseln

Im Grundsatz geht es bei den Standardvertragsklausen um die Übermittlung personenbezogener Daten außerhalb des EU-Wirtschaftsraums, insofern es keinen Angemessenheitsbeschluss für dieses Land gibt. Der Angemessenheitsbeschluss, bedeutet das das datenschutzrechtlich Niveau in einem Land außerhalb der EU das gleiche Nivea, wie innerhalb der EU. Dies gilt bspw. für die Schweiz, Australien oder Israel. Liegt das Datenschutz-Niveau unterhalb des Europäischen Standards, kann man eventuell Verträge schließen, die den Datenschutz verpflichtend machen.

Ein solcher Vertrag sind die EU-Standardvertragsklauseln, aber auch bspw. die Binding Corporate Rules. Die EU Standardvertragsklauseln sind von der EU-Kommission gestaltet wurden und dürfen nicht negativ unterschritten werden. Wollen Unternehmen personenbezogenen Daten also außerhalber der EU in sogenannte Drittländer weitergeben, benötigen sie Standardvertragsklauseln, um das Drittland zu verpflichten, die Verarbeitung der personenbezogener Daten an das EU-Datenschutzniveau anzugleichen.

» Zum Wiki-Beitrag

Technisch organisatorische Maßnahmen (TOMs)

Auch wenn die Datenschutz-Grundverordnung schon seit 2018 in Kraft getreten ist, gibt es kaum Standards zur Umsetzung der einzelnen Vorgaben. Speziell beim Thema Technisch Organisatorische Maßnahmen laufen zudem Vorgaben aus den Bereichen Datenschutz und Datensicherheit sowie den Gesetzen DSGVO und BDSG-neu zusammen. Das erscheint vielen Datenschutz-Verantwortlichen undurchsichtig, die Einhaltung der Vorgaben erscheint kompliziert.

» Zum Wiki-Beitrag

» Zum Hilfe-Artikel

Verantwortlicher

Nach Art. 4 Abs. 7 DSGVO ist der Verantwortliche folgendermaßen definiert:

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

In der Praxis ist der Verantwortliche bzw. sind die Verantwortlichen in Unternehmen die Geschäftsleitung oder der Geschäftsführer, in Behörden die Amtsleitung oder in Hochschulen die Hochschulleitung wie Rektor, Präsident oder Kanzler.  Praktisch sind es diejenigen Personen, die im Falle grober Fahrlässigkeit bei Managemententscheidungen persönlich haftbar gemacht werden können.

» Zum Wiki-Beitrag

Verantwortlicher Verarbeiter

Siehe >Verantwortlicher.

Verantwortliche Stelle

Siehe >Verantwortlicher.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen zur Dokumentation aller Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Vorgänge, bei denen personenbezogener Daten verarbeitet werden. Alle Verarbeitungstätigkeiten müssen in einem Verzeichnis, dem Verzeichnis von Verarbeitungstätigkeiten - auch bekannt als Verfahrensverzeichnis - dokumentiert werden. In diesem Artikel klären wir, wer ein Verzeichnis der Verarbeitungstätigkeiten führen muss und welche Informationen dieses enthalten sollte.

» Zum Wiki-Beitrag

» Zum Hilfe-Artikel