Datenschutz-Glossar

Datenschutz-Glossar

Datenschutz-Glossar

Was sind eigentlich personenbezogene Daten? Wann liegt eine Datenverarbeitung vor? Und wer ist eigentlich Verantwortlicher der Datenverarbeitung?

Die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz verwenden Begriffe, die für den Laien schwer bis gar nicht verständlich sind. Doch der Umgang mit und das Verständnis von dieser Terminologie ist wichtig für das Verständnis.

Daher will ich in diesem Datenschutz-Glossar nach und nach Begriffe des Datenschutzes kurz und prägnant erläutern. Teilweise geben die Gesetze schon selbst Begriffsbestimmungen vor, die ich hier dann ggf. noch ergänze oder umformuliere (vgl. Artikel 4 DSGVO und § 2 BDSG).


Auftragsverarbeiter

Auftragsverarbeiter” ist eine natürliche oder eine juristische Person (also ein Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.


Dateisystem

Dateisystem” im Sinne des Datenschutzes bedeutet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Damit sind auch analoge Datensammlungen gemeint, solange sie auch eine strukturierte Sammlung sind, wie beispielsweise Karteikarten, die nach einem bestimmten System geordnet sind.


Datenverarbeitung

Unter “Datenverarbeitung” oder einfach nur “Verarbeitung“ versteht das Datenschutzrecht jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Damit kann man sagen, dass alles, was man mit Daten oder einem einzigen Datum machen kann auch als eigene Form der Datenverarbeitung anzusehen ist.

Umgekehrt: Jeder Vorgang, der ein Datum entstehen lässt, verändert oder beseitigt ist ein Datenverarbeitungsvorgang.

Der Begriff ist zentral für das Datenschutzrecht. Denn jede Datenverarbeitung muss ihrerseits eine Rechtsgrundlage haben. Und: Jeder Datenverarbeitungsvorgang ist im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO zu beschreiben.


Dritter

Als “Dritter” wird im Datenschutzrecht eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, bezeichnet.


Einschränkung der Datenverarbeitung

Unter der “Einschränkung der Verarbeitung” versteht das Datenschutzrecht die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Vor allem dann, wenn die Rechtsmäßigkeit einer Datenverarbeitung noch nicht feststeht, können Datensätze so markiert und deren Verarbeitung eingeschränkt werden, bis die Rechtmäßigkeit oder eben die Rechtswidrigkeit der Verarbeitung feststeht.


Einwilligung

Einwilligung” ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Wichtig: Das Ignorieren eines Hinweises, wie beispielsweise das Weitersurfen auf einer Webseite trotz Cookie-Hinweis, ist keine Einwilligung. Selbst, wenn der Nutzer ausreichend informiert würde (was er meist nicht wird), so fehlt es regelmäßig an der unmissverständlichen aktiven Handlung.

Die Bedingungen für die Einwilligung sind in Artikel 7 DSGVO geregelt und die besonderen Bedingungen bei Minderjährigen in Artikel 8 DSGVO.


Empfänger

Empfänger” ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Damit ist Empfänger in diesem Sinne also jeder, der personenbezogene Daten bestimmungsgemäß erhält, sei es als Dritter, sei es als Auftragsverarbeiter.

Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nach Artikel 4 Nummer 9 DSGVO nicht als Empfänger. Die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.


Personenbezogene Daten

Unter „personenbezogenen Daten“ versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Mittlerweile ist beispielsweise geklärt, dass auch die dynamische IP-Adresse ein personenbezogenes Datum ist. Denn, so der Europäische Gerichtshof, durch einen gesetzlichen Auskunftsanspruch an den Access-Provider ist es möglich zu erfahren, welche Person zu einem bestimmten Zeitpunkt eine IP-Adresse zugewiesen bekommen hatte. Das reicht für den möglichen Personenbezug aus.

Ach aus so genannten “Maschinendaten” werden ganz schnell personenbezogene Daten. Nämlich dann, wenn die Maschine von einer Person bedient wird und mit den Daten auch deren Leistung, Arbeitszeiten o.ä. ermittelt werden können.

Gehen Sie im Zweifel daher immer eher von einem Personenbezug aus, als ihn vorschnell zu verneinen.


Profiling

Profiling” ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.


Pseudonymisierung

Der Begriff “Pseudonymisierung” meint die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Eine Pseudonymisierung kann also vorliegen, wenn die personenbezogenen Daten ersetzt werden durch eine Kundennummer o.ä.

Nicht zu verwechseln ist die Pseudonymisierung mit der Anonymisierung, bei welcher der Verarbeiter der Daten keinerlei Möglichkeit der “Rückrechnung” und zur Wiederherstellung des Personenbezuges hat. Erst dann unterfallen die Daten nicht mehr dem Datenschutzrecht.


Verantwortlicher

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Also ist in der Regel immer der Verantwortlicher, der die Art und Weise der Datenverarbeitung bestimmt bzw. bestimmen kann. Gibt es mehr als einen einzigen Verantwortlichen, dann müssen die Vorgaben von Artikel 26 DSGVO beachtet werden. Es bedarf dann also eines Vertrages zur Regelung über die gemeinsame Verantwortlichkeit.