Datenschutz

Glossar: Datenschutz A-Z

Ständig ergänzte, alphabetische Liste von Begriffen zum Datenschutz. Diese werden kurz und bündig definiert oder erklärt. Weiterführende Links verweisen auf detaillierte Inhalte.

Aufbewahrungspflichten

Dokumente, im Datenschutz hier auch als Datenrate bezeichnet, unterliegen gesetzlichen Aufbewahrungsfristen. Innerhalb dieser Aufbewahrungsfristen dürfen diese Daten nicht gelöscht werden. Die Aufbewahrungsfristen werden von behördlicher Seite definiert und können jedes Jahr aktualisiert werden. Viele geschäftliche Dokumente habe eine gesetzliche Aufbewahrungsfrist von 6 oder 10 Jahren.

Nach Ablauf dieser Aufbewahrungsfrist müssen die Daten aus Sicht des Datenschutzes gelöscht werden. Eine Ausnahme ist dann möglich, dann an andere rechtliche Grundlage besteht die Daten weiter zu speichern und zu verarbeiten oder ein berechtigtes Interesse argumentiert werden kann. 

 Welche Daten wann wie zu löschen sind werden im >Löschkonzept definiert.

Berechtigtes Interesse

In manchen Fällen werden Verarbeitungstätigkeiten für personenbezogene Daten auf Basis eines berechtigten Interesses durchgeführt. Die gesetzliche Grundlage dafür bietet Art. 6 Abs. 1 lit. f DSGVO:

"die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."

Die entscheidende Frage ist, was ist ein berechtigtes Interesse?  Dieses unterliegt immer einer Interessenabwägung zwischen dem Zweck der Verarbeitung und den Effekten der Verarbeitung auf die Betroffen. Kern dieser Interessensabwägung ist salopp gesagt, inwiefern die Privatsphäre (Freiheitsrechte) des Betroffenen durch die Verarbeitung eingeschränkt werden und ob diese Einschränkung verhältnismäßig zum Zweck der Verarbeitung zu sehen ist. 

Hier ein konkrete Beispiel: ein Dachdeckers verpflichtet seine Geschäftsunterlagen zu seinen Kunden nach zehn Jahren zu löschen (Ende der gesetzlichen Aufbewahrungsfrist) Dächer gehen aber in. der Regel erst nach 20 Jahren kaputt. Hier besteht ein berechtigtes Interesse, sowohl für den Handwerker als auch für den Kunden, die Geschäftsunterlagen des Kunden länger als die gesetzliche Aufbewahrungsfrist von zehn Jahren zu verarbeiten. Effekte auf die Freiheitsrechte des Kunden sind nicht zu befürchten.

Datenkategorien

Datenmerkmale personenbezogener Daten, die es einzeln oder in Kombination ermöglichen eine Person zu identifizieren. Beispiele sind: Name, Vorname, Strasse, Ort, Mobilnummer, Sozialversicherungsnummer, Personalausweinummer, IP-Adresse des Handys usw.

Datenkategorien sind Bestandteil von >Datenarten.

Datenarten

Personenbezogene Daten werden häufig in Dokumenten, wie z. B. der Lohnabrechnung, der Personalakte oder Geschäftsbriefen verarbeitet. Diese Dokumente bezeichnet man auch als Datenart. Bestandteil von Datenarten sind neben anderen Informationen auch personenbezogene Merkmale, die >Datenkategorien genannt werden.

Datenarten haben darüberhinaus in der Regel eine gesetzliche >Aufbewahrungspflicht

Gemeinsam Verantwortliche

Artikel 26 Abs. 1 DSGVO definiert gemeinsam Verantwortliche so:

"Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikel 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden."

Gemeinsam Verantwortliche müssen die Zusammenarbeit und Wege zur Wahrnehmung der Betroffenenrechte in einem gemeinsam Vertrag regeln. 

Löschkonzept

Personenbezogene Daten müssen nach Art. 17 DSGVO gelöscht werden, wenn sie aus gesetzlichen Gründen nicht mehr aufbewahrt werden müssen (>Aufbewahrungspflicht) oder wenn der Betroffene eine Löschung verlangt  und keine gesetzliche Regelung dagegen spricht.  Welche Daten wann wie zu löschen sind, wird im Löschkonzept definiert.

Für die Umsetzung des Löschkonzeptes. existiert keine gesetzliche Vorgabe. Es bietet sich an hierzu auf die DIN 66398 zurückzugreifen. In dieser werden auf Basis von >Datenarten  sogenannte >Löschklassen definiert.

Löschklasse

In einer Löschklasse sind eine oder mehrere Datenraten zusammengefasst, die. zu einer bestimmten Frist gelöscht werden müssen.  Löschklassen werden durch >Löschregeln umgesetzt.

Löschregeln

Eine Löschregel definiert, wann konkret die Datenarten einer bestimmten Löschklasse wie gelöscht werden.  Praktisch kann das bedeuten, dass sich  Organisation jährlich bestimmte Stichtage als Löschregel vormerken, an denen dann die entsprechenden Datenarten einer Schlaufe gelöscht werden.

Beispiel für eine Löschregel der >Datenart "Personalakte" aus einer >Löschklasse "10 Jährige >Datenarten":

Alle Personalakten werden immer am 1. Februar oder den nachfolgenden Werktag gelöscht. Papierbasierte Daten werden dabei professionell geschreddert. Die Daten im ERP-System werden über die dort implementierte DSGVO-konforme Löschfunktion von der Festplatte und allen Backups entfernt.

Personenbezogene Daten

Nach Art. 4 Abs. 1 DSGVO folgendermaßen definiert:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Dazu gehören z. B. Name, Vorname, Kontonummer, Wohnadresse, Geburtsdatum, IP-Adresse usw. Diese Datenmerkmale nennt man auch >Datenkategorien.

Personendaten

Siehe >Personenbezogene Daten.

Privacy Shield

Das EU-US-Privacy Shield regelt den datenschutzkonformen Transfer personenbezogener Daten zwischen der EU und den vereinigten Staaten von Amerika. Weitere Infos finden sich in unserem Wiki-Artikel zum EU-US-Privacy-Shield dazu. 

Schutzbedürftige Betroffene

Die personenbezogenen Daten schutzbedürftiger Betroffene sind besonders geschützt. Kinder, behinderte Menschen, oder andere Menschen die es schwierig haben ihre Persönlichkeitsrechte auszuüben.

Speziell bei der Einwilligung in die Datenverarbeitung sieht die DSGVO in Art 7 vor,  bei Kindern unter 16 Jahren die Einwilligung der Eltern in die Datenverarbeitung einzuholen.

Werden Personendaten schutzbedürftiger Betroffener in einem Verarbeitungstätigkeit verarbeitet, so kann unter Umständen eine Datenschutz-Folgeabschätzung notwendig werden.

Verantwortlicher

Nach Art. 4 Abs. 7 DSGVO ist der Verantwortliche folgendermaßen definiert:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

In der Praxis ist der Verantwortliche bzw. sind die Verantwortlichen in Unternehmen die Geschäftsleitung oder der Geschäftsführer in Behörden die Amtsleitung oder in Hochschulen die Hochschulleitung wie Rektor, Präsident oder Kanzler.  Praktisch sind es diejenigen Personen, die im Falle grober Fahrlässigkeit bei Managemenentscheidungen persönlich haftbar gemacht werden können.

Verantwortlicher Verarbeiter

Siehe >Verantwortlicher.

Verantwortliche Stelle

Siehe >Verantwortlicher.