Was bedeutet eigentlich...?

Auf dem Gebiet des Datenschutzes wird vielmals mit Fachbegriffen gearbeitet. Dieses Datenschutz-Glossar bietet Ihnen eine Übersicht über verschiedene Termini aus der Datenschutzpraxis und versucht, diese in einfacher und verständlicher Sprache zu erklären.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A

B

C

D

E

F

G

H

I

J

K

L

M

N

O

P

Q

R

S

T

U

V

W

X

Y

Z

 

ACTA

Das Anti-Counterfeiting Trade Agreement (ACTA; deutsch: Abkommen zur Bekämpfung von Marken- und Produktpiraterie) ist ein multilaterales Handelsabkommen für die Einführung internationaler Standards im Bereich der Durchsetzung von geistigen Eigentumsrechten in den teilnehmenden Ländern. Seine Befürworter beschreiben es als Antwort "auf die Zunahme des weltweiten Handels mit gefälschten Waren und Raubkopien urheberrechtlich geschützter Werke." Der Umfang des ACTA-Abkommens ist breit und schließt gefälschte Waren, Generika und "Piraterie über das Internet" ein. In einer Stellungnahme des Europäischen Datenschutzbeauftragten vom Jahre 2010 warnte dieser vor der potenziellen Unvereinbarkeit des Abkommens mit dem EU-Datenschutzrecht.

↑ zurück nach oben

Adresshändler

Adresshändler sind Kaufleute oder Unternehmen, die einen An- und Verkauf von Postanschriften potenzieller Kunden, die nach den Wünschen von werbetreibenden Unternehmen vorgefiltert sind, betreiben. Adresshandel ist ein Teil des Direktmarketings.

↑ zurück nach oben

Agencia Española de Protección de Datos (AEPD)

Die Agencia Española de Protección de Datos (AEPD) ist die spanische Aufsichtsbehörde. Sie wurde 1994 gegründet und hat ihren Sitz in Madrid. Darüber hinaus haben die autonomen Gemeinschaften Madrid, Katalonien und Baskenland von der AEPD unabhängige Datenschutzbehörden. Die AEPD ist eine Körperschaft öffentlichen Rechts und handelt unabhängig und weisungsfrei.

↑ zurück nach oben

Angemessenheitsbeschluss

Ein „Angemessenheitsbeschluss“ ist ein Beschluss, der von der Europäischen Kommission gem. Art. 45 DSGVO angenommen wird und durch den festgelegt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Im Rahmen dieses Beschlusses werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt.

Ein solcher Beschluss hat zur Bedeutung, dass personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des EWR ohne weitere Anforderungen an dieses Drittland übermittelt werden können. Auf der Webseite der Europäischen Kommission wird eine Liste ihrer Angemessenheitsbeschlüsse veröffentlicht.

Angemessenheitsentscheidungen werden auf Basis des so genannten „Ausschussverfahrens“ getroffen, welches die folgenden Schritte umfasst:

  • einen Vorschlag der Kommission;
  • eine Stellungnahme der Artikel-29-Datenschutzgruppe;
  • eine Stellungnahme des Ausschusses nach Art. 31, die von einer qualifizierten Mehrheit der Mitgliedstaaten abgegeben wird und
  • die Annahme der Entscheidung durch das Kollegium der Kommissionsmitglieder.

Das Europäische Parlament und der Rat können jederzeit die Kommission dazu auffordern, aufgrund mangelnder Befugnisse im Rahmen der Verordnung, die Angemessenheitsfeststellung beizubehalten, abzuändern oder zurückzuziehen.

↑ zurück nach oben

Anonymisierung

Die Anonymisierung ist ein Vorgang, in dem alle personenbezogenen Elemente eines Datensatzes unwiderruflich entfernt werden. Anonymisierte Daten fallen nicht mehr unter den sachlichen Anwendungsbereich von Datenschutzgesetzen. Es ist sehr schwer, eine vollständige Anonymisierung zu erreichen. Die Anonymisierung ist nicht zu verwechseln mit der Pseudonymisierung.

↑ zurück nach oben

Artikel-29-Datenschutzgruppe

Die Art.29-Datenschutzgruppe ist der Vorgänger des Europäischen Datenschutzausschusses (EDSA). Ihren Namen hat sie daher, dass sie gem. Art. 29 der Datenschutz-Richtlinie (DS-RL) eingesetzt wurde. Sie war eine unabhängige Beratungsinstanz für die Europäische Kommission in Datenschutzangelegenheiten und unterstützte die Entwicklung einer harmonisierten Umsetzung von Datenschutzvorschriften in den EU-Mitgliedstaaten.

Besonders bekannt ist die Art. 29-Datenschutzgruppe für ihre Working Paper (WP), welche sie zu verschiedenen datenschutzrechtlichen Themen veröffentlichte. Die Working Paper der Art. 29-Datenschutzgruppe können hier abgerufen werden.

↑ zurück nach oben

Artikel 93 Ausschussverfahren

Gemäß Artikel 93 DSGVO wird die Europäische Kommission beim Erlass von Durchführungsmaßnahmen von einem Ausschuss unterstützt. 

Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011. Der Ausschuss setzt sich aus Vertretern der Mitgliedstaaten zusammen, die Kommission führt den Vorsitz. Der Ausschuss kooperiert bspw. im Rahmen des Verfahrens für die Annahme von Angemessenheitsbeschlüssen.

↑ zurück nach oben

Audit

Ein Audit - in Bezug auf den Datenschutz - ist eine Bestandsaufnahme über den Umsetzungsstand datenschutzrechtlicher Vorgaben in Unternehmen. Es wird ermittelt, ob Unternehmen die Vorgaben des Datenschutzrechts, insbesondere der DSGVO, hinsichtlich ihrer Dokumentations- und Nachweispflichten, aber auch im Hinblick auf die Gestaltung von Prozessen, erfüllen. Das Audit ist demnach ein Compliance-Werkzeug. Es schließt mit einem Audit-Bericht ab, aus dem sich weitere Maßnahmen ableiten und ihrer Dringlichkeit nach einordnen lassen.

↑ zurück nach oben

Aufsichtsbehörde

Die Aufsichtsbehörde ist die öffentliche Kontrollinstanz für die Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben. Sie führt anlasslose und anlassbezogene Kontrollen und Untersuchungen bei Verantwortlichen und Auftragsverarbeitern durch und stellt fest, ob Verstöße gegen das anwendbare Datenschutzrecht vorliegen. Die Aufsichtsbehörde hat verschiedene Maßnahmen, um Verantwortliche und Auftragsverarbeiter auf Datenschutzverstöße aufmerksam zu machen. Diese Maßnahmen sind in Art. 58 DSGVO niedergeschrieben. Ihr stehen Untersuchungs-, Abhilfe- und Gestaltungsbefugnisse zu. In Deutschland gibt es derzeit 18 Aufsichtsbehörden (2 Stück in Bayern, 15 Stück in den anderen Bundesländern und der BfDI).

↑ zurück nach oben

Auftragsverarbeiter/Auftragsverarbeitung

Der Auftragsverarbeiter ist in Art. 4 Nr. 8 DSGVO definiert als "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet". Der Auftragsverarbeiter darf personenbezogene Daten, die im Verantwortungsbereich des Verantwortlichen sind, lediglich in dessen Auftrag verarbeiten. Seine Tätigkeit unterliegt den Weisungen des Verantwortlichen. Im Gegensatz zum Verantwortlichen darf der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung nicht selbst festlegen. Macht er dies, so ist er gem. Art. 28 Abs. 10 DSGVO selbst als Verantwortlicher anzusehen.

Typische Beispiele für eine Auftragsverarbeitung können sein:

  • Newsletter-Dienste
  • Webhosting
  • IT-Fernwartung
  • Cloud-Dienste
  • Callcenter
  • Archivierungsdienstleister
  • Datenträgerentsorgung

↑ zurück nach oben

Auskunftsrecht

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt. Es ist eines der Betroffenenrechte von betroffenen Personen. Danach hat die betroffene Person das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, ob personenbezogene Daten von ihr verarbeitet werden. Der Verantwortliche muss sodann Auskunft über folgendes Informationen erteilen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten, die verarbeitet werden
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • falls möglich, die Speicherdauer oder die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen die Verarbeitung
  • das Bestehen eines Aufsichtsrechts bei der Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Sofern keine personenbezogenen Daten verarbeitet werden, ist der Verantwortliche verpflichtet, eine sog. Negativauskunft zu erteilen, d.h., sie informiert die betroffene Person darüber, dass keine Daten verarbeitet werden.

↑ zurück nach oben

Automatisierte Einzelentscheidung

Die automatisierte Einzelentscheidung ist in Art. 22 DSGVO geregelt. Es handelt sich dabei um eine Entscheidung, die eine Person erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung dieser Person ergeht. Eine solche Bewertung kann sich auf verschiedene Aspekte ihrer Person beziehen, wie z. B. ihre berufliche Leistungsfähigkeit, ihre Kreditwürdigkeit, ihre Zuverlässigkeit oder ihr Verhalten.

Das Betroffenenrecht gem. Art. 22 DSGVO ermöglicht es betroffenen Personen, Widerspruch gegen Entscheidungen einzulegen, die sie betreffen und ausschließlich aufgrund eines automatisierten Verfahrens ergehen, sofern nicht bestimmte Bedingungen erfüllt sind oder angemessene Schutzmaßnahmen bestehen.

↑ zurück nach oben

Automatisierung

Der Begriff der Automatisierung wird überwiegend in der Insustrie eingesetzt. Automatisierung bedeutet, dass Maschinen sowohl die Prozessgestaltung als auch die eigentliche Fertigung eigenständig übernehmen. Die Automatisierung ist auch ein Teilbereich der Künstlichen Intelligenz (KI) und wirft einige datenschutzrechtliche Fragen auf.

↑ zurück nach oben

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) ist eine unabhängige Landesbehörde mit Sitz in Ansbach. Die Behörde wurde am 01.01.2002 gegründet und ist weisungsfrei. Es ist die Überwachungsinstanz für den nicht-öffentlichen Bereich und kontrolliert:

  • private Wirtschaftsunternehmen
  • selbstständig und freiberuflich Tätige
  • private Krankenhäuser und Heime
  • Vereine
  • Parteien
  • Privatpersonen

↑ zurück nach oben

Bayerischer Landesdatenschutzbeauftragter (BayLfD)

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) ist die Aufsichtsbehörde für datenschutzrechtliche Angelegeneheiten im öffentlichen Bereich. Sie unterstützt betroffene Personen,  ihre Datenschutzrechte gegenüber der bayerischen öffentlichen Verwaltung zu wahren. Der BayLfD hat seinen Sitz in München.

↑ zurück nach oben

Berechtigungskonzept

Das Berechtigungskonzept (auch Rollen- und Rechtekonzept genannt) ist eine Dokumentation der Rollen und Rechte von Personen in Bezug auf ein System oder eine Anwendung. In Softwarelösungen können die Rollen und Rechte von zugriffsberechtigten Personen sehr verschieden sein, sie reichen von umfangreichen Leserechten bis hin zu umfangreichen Administratorrechten. Eine angemessene Konfiguration der Berechtigungen ist für die Einhaltung von Datenschutzvorgaben essentiell.

↑ zurück nach oben

Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ist die Aufsichtsbehörde des Landes Berlin. Sie hat ihren Sitz in Berlin.

↑ zurück nach oben

Berliner Gruppe

Die Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation (IWGDPT) wurde im Jahr 1983 auf Initiative mehrerer nationaler Datenschutzbehörden weltweit gegründet. Das Sekretariat wird seit Beginn der Arbeitsgruppe vom Berliner Datenschutzbeauftragten wahrgenommen. Die Mitgliedschaft in der Arbeitsgruppe ist nicht auf nationale Datenschutzbehörden beschränkt, sondern umfasst auch Vertreter von Nichtregierungsorganisationen und aus dem privaten Bereich.

In den letzten Jahren hat sich die Berliner Gruppe auf Aspekte des Datenschutzes und der Privatsphäre in der Informationstechnologie im weitesten Sinne konzentriert, mit besonderem Schwerpunkt auf Entwicklungen im Zusammenhang mit dem Internet.

↑ zurück nach oben

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.)

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.) ist ein Verein, der die Interessen von Datenschutzbeauftragten in Deutschland vertritt. Der Verein wurde 1989 gegründet und hat seinen Sitz in Berlin.

↑ zurück nach oben

Beschäftigtendatenschutz

Der Beschäftigtendatenschutz konzentriert sich auf den Datenschutz im Personalwesen. Unternehmen verfügen über eine Vielzahl von personenbezogenen Daten ihrer Mitarbeiter. Das Datenschutzrecht zieht aber klare Grenzen, wenn es darum geht, Beschäftigtendaten zu verarbeiten. Insbesondere umfangreiche Personalverwaltungstools bieten Unternehmen zahlreiche Möglichkeiten, die Daten ihrer Beschäftigten zu verarbeiten.

Ein wichtiger Aspekt des Beschäftigtendatenschutzes ist die Arbeit des Betriebsrats. Dieser schützt die Beschäftigten vor Überwachung und Kontrolle seitens des Arbeitgebers. Bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, hat der Betriebsrat gem. § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht. Häufig wird in solchen Fällen zwischen Betriebsrat und Arbeitgeber eine Betriebsvereinbarung abgeschlossen, die Regeln und Rahmenbedingungen der Verwendung des Systems festlegt.

↑ zurück nach oben

Besondere Kategorien personenbezogener Daten

Besondere Kategorien personenbezogener Daten sind in Art. 9 DSGVO definiert. Die Verarbeitung solcher Daten bedarf einer speziellen Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO. Folgende Daten gehören zu den besonderen Kategorien personenbezogener Daten:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

↑ zurück nach oben

Betroffene Person

Die betroffene Person ist Dreh- und Angelpunkt des Datenschutzrechts. Als betroffene Person werden natürliche Personen bezeichnet, deren personenbezogene Daten verarbeitet werden. Art. 4 Nr. 1 DSGVO verwendet dabei die Formulierung "identifizierte oder identifizierbare" natürliche Person. Gem. EG 14 S. 2 DSGVO gilt diese nicht für die Verarbeitung von Daten juristischer Personen.

↑ zurück nach oben

Betroffenenrechte

Die Betroffenenrechte sind in den Art. 15 - 22 DSGVO geregelt. Diese sind:

  • Das Auskunftsrecht (Art. 15 DSGVO)
  • Das Recht auf Berichtigung (Art. 16 DSGVO)
  • Das Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
  • Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Das Widerspruchsrecht (Art. 21 DSGVO)
  • Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)

Ferner regelt Art. 12 DSGVO die Rahmenbedingungen der Bearbeitung/Beantwortung von Betroffenenrechten. Bspw. muss der Verantwortliche gem. Art. 12 Abs. 3 S. 1 DSGVO den Antrag der betroffenen Person "unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags" zur Verfügung stellen.

↑ zurück nach oben

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist eine unabhängige und eigenständige Bundesbehörde für den Datenschutz und die Informationsfreiheit in Bonn.

↑ zurück nach oben

Binding Corporate Rules

Binding Corporate Rules (BCR; deutsch: verbindliche interne Datenschutzvorschriften) sind in Art. 47 DSGVO geregelt. Es handelt sich dabei um Datenschutzrichtlinien, die von Unternehmen mit Sitz in der EU bei der Übermittlung personenbezogener Daten außerhalb der EU innerhalb einer Unternehmensgruppe oder eines Unternehmens eingehalten werden müssen. Solche Regeln müssen alle allgemeinen Datenschutzprinzipien und durchsetzbare Rechte umfassen, um angemessene Garantien für Datentransfers zu gewährleisten. Sie müssen rechtsverbindlich sein und von jedem betroffenen Mitglied der Gruppe durchgesetzt werden.

Unternehmen müssen BCR bei der federführenden Ausichtsbehörde in der EU zur Genehmigung vorlegen. Die Behörde wird die BCR gemäß dem in Art. 63 DSGVO festgelegten Kohärenzverfahrens genehmigen. An diesem Verfahren können mehrere Aufsichtsbehörden beteiligt sein, da die Gruppe, die die Genehmigung ihrer BCR beantragt, Unternehmen in mehr als einem Mitgliedstaat haben kann. Die zuständige Behörde übermittelt ihren Entscheidungsentwurf an den Europäischen Datenschutzrausschuss (EDSA), der eine Stellungnahme zu den BCR abgibt. Wenn die BCR in Übereinstimmung mit der Stellungnahme des EDSA fertiggestellt sind, genehmigt die zuständige Behörde die BCR. Genehmigungen von Aufsichtsbehörden auf der Grundlage der Richtlinie 95/46/EG bleiben so lange gültig, bis sie von diesen Aufsichtsbehörden gegebenenfalls geändert, ersetzt oder aufgehoben werden. 

↑ zurück nach oben

Biometrie/Biometrische Daten

Biometrische Daten sind in Art. 4 Nr. 14 DSGVO definiert als "mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten".

↑ zurück nach oben

Bitcoin

Die Bitcoin ist die weltweit führende Kryptowährung auf Grundlage eines dezentral organisierten Buchungssystems, nämlich der Blockchain. Eigentumsnachweise an Bitcoin werden in persönlichen digitalen Briefflaschen gespeichert. In der Blockchain sind alle Transaktionen, die jemals mit Bitcoins als Zahlungsmittel ausgeführt wurden, verzeichnet. Die Transaktionen sind öffentlich und von jedermann einsehbar. Dies ist eine zentrale Voraussetzung der Bitcoin, da auf diese Weise die Echtheit der Transaktionen verifiziert werden.

↑ zurück nach oben

Blockchain

Die Blockchain ist ein digitales Kontenbuch in Form von einer Datenbank. Sie ermöglicht es, dass jegliche Art von Information öffentlich einsehbar gespeichert, verarbeitet, geteilt und verwaltet wird. Die Informationen werden in einer fortlaufenden Liste von Datensätzen mittels Kryptographie miteinander verkettet. Den Anfang einer jeglichen Blockchain macht der Schöpfungsblock. Der Hauptzweck der Blockchain-Technologie liegt in der Verschiebung der Kontrolle von monetären Werten oder Informationen.

↑ zurück nach oben

Bundesdatenschutzgesetz (BDSG)

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt neben den Datenschutzgesetzen der Länder und den bereichspezifischen Regelungen in anderen Gesetzen die Verarbeitung von personenbezogenen Daten in Deutschland. Das Bundesdatenschutzgesetz gilt sowohl für öffentliche als auch nicht-öffentliche Stellen in Deutschland. In großen Teilen ergänzt es die europäische Datenschutz-Grundverordnung und stellt mit dieser den datenschutzrechtlichen Rahmen dar.

↑ zurück nach oben

Bundesarbeitsgericht (BAG)

Das Bundesarbeitsgericht entscheidet als oberster Gerichtshof des Bundes über Rechtsstreitigkeiten auf dem Gebiet des Arbeitsrechts. Seine Aufgabe ist es, Rechtseinheit zu wahren, Rechtssicherheit herzustellen sowie das Recht fortzubilden. Dabei wirken ehrenamtliche Richter aus Kreisen der Arbeitgeber und der Arbeitnehmer mit. Als Behörde ist das Bundesarbeitsgericht dem Bundesministerium für Arbeit und Soziales unterstellt und unterliegt dessen Dienstaufsicht.

↑ zurück nach oben

California Consumer Privacy Act (CCPA)

Der California Consumer Privacy Act ist ein am 28. Juni 2018 verabschiedetes und seit dem 01.01.2020 in Kraft getretenes nationales Datenschutzgesetz in Kalifornien. Sinn und Zweck des CCPA ist es, das verfassungsrechtlich geschützte Recht auf Privatsphäre, zu dem auch die Kontrolle und Verwendung, insbesondere der Verkauf von persönlichen Informationen gehört, zu regeln. 

Im CCPA werden damit den Kaliforniern weitere Rechte zur Kontrolle wie mit ihren Daten umgegangen wird, eingeräumt. Hierzu gehört unter anderem eine Offenlegung der betreffenden Daten, eine Löschung oder eine vollständige Ablehnung des Verkaufs der Daten.

↑ zurück nach oben

CCTV

Closed-circuit television (nicht-öffentliches Fernsehen) beschreibt die Verwendung von optisch elektronischen Einrichtungen, wie Videokameras, zur Überwachung von hochfrequentierten sicherheitsrelevanten Bereichen. Hierzu werden zur Wiedergabe und Speicherung des Bildmaterials weitere Ausrüstungsgegenstände verwendet.

↑ zurück nach oben

Chilling Effects

Chilling Effects (wörtlich: abschreckende Wirkung) bezeichnet einen Rechtsgedanken des Europäischen Gerichtshofs für Menschenrechte, wenn es um Eingriffe in Grundrechte geht. Es geht dabei um die Gefahr, dass in Zukunft Menschen Eingriffe fürchten werden und deshalb ihr Verhalten verändern werden. Im Bereich des Datenschutzes wird der Begriff auch in Verbindung mit der Datenschutz-Grundverordnung und dessen übermäßiger Regulierung verwendet. 

↑ zurück nach oben

Cloud Computing

Cloud Computing ist die Bereitstellung von IT-Infrastruktur, Speicherplatz, Rechnern, Software, Datenbanken oder Ähnliches über das Internet, also die Cloud. Es beschreibt ein neues Konsum-und Delivery-Modell für auf dem Internet basierte IT-Dienstleistungen und ermöglicht die Bereitstellung dynamisch skalierbarer und oftmals virtualisierter Ressourcen als Dienstleistung über das Internet. 

↑ zurück nach oben

Commission Nationale de l’Informatique et des Libertés (CNIL)

Die Commission Nationale de l’Informatique et des Libertés (CNIL) ist die nationale Datenschutzbehörde in Frankreich mit Sitz in Paris. Sie ist eine weisungsfreie Verwaltungsbehörde, deren 17-köpfiges Kollegium sich aus vier Parlamentsmitgliedern, zwei Mitgliedern des Wirtschafts- und des Sozialrats, sechs Vertretern der höchsten französischen Gerichte und weiteren fünf qualifizierten Personen zusammensetzt. Die CNIL wählt ihren Präsidenten aus der Mitte ihrer Mitglieder. Den Vorsitz der CNIL hat Isabelle Falque-Pierrotin inne (2018). 

↑ zurück nach oben

Cookies

Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Ruft ein Nutzer eine Webseite auf, so kann ein Cookie auf dem Betriebssystem des Nutzers gespeichert werden. Dieser Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglicht. 

↑ zurück nach oben

Cybersecurity

Cybersecurity oder IT-Sicherheit ist der Schutz von Netzwerken, Computersystemen, cyberphysischen Systemen und Robotern vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen. 

↑ zurück nach oben

Data Mining

Data Mining ist die systematische Anwendung computergestützter Methoden, um in vorhandenen Datenbeständen Muster, Trends oder Zusammenhänge zu finden. Zur Wissensentdeckung eingesetzte Algorithmen basieren unter anderem auf statistischen Methoden. Data Mining ist interdisziplinär und nutzt Erkenntnisse aus den Bereichen der Informatik, Mathematik und Statistik zur rechnergestützten Analyse von Datenbeständen. 

↑ zurück nach oben

Data Protection Commission (DPC)

Die Data Protection Commission ist die nationale Datenschutzbehörde in Irland mit Sitz in County Laois. Sie ist als Aufsichtsbehörde für die Einhaltung der Datenschutz-Grundverordnung, ePrivacy-Richtlinie (2011) und Richtlinie zur Aufdeckung von Straftaten mithilfe der Verarbeitung von personenbezogenen Daten zuständig. 

↑ zurück nach oben

Dateisystem

Dem Grunde nach handelt es sich bei einem Dateisystem um eine geordnete Speicherung von Daten auf einem Datenträger. Die Hauptaufgabe eines Dateisystems ist es, dem Anwender den schnellstmöglichen Zugriff auf seine Dateien zu gewährleisten. Gleichzeitig sollen die Dateien auf einfache Weise wiedergefunden werden können. Ein Dateisystem übernimmt somit eine Ordnungsfunktion.

↑ zurück nach oben

Daten aus öffentlich zugänglichen Quellen

Eine „öffentlich zugängliche“ Quelle ist eine Quelle, die für einen nicht nach bestimmten Merkmalen festgelegten Adressatenkreis frei zugänglich ist (z.B. Telefonbuch, Suchmaschinenergebnisse). Informationen, die auf Social-Media Plattformen veröffentlicht wurden und durch gewisse Einstellungen nur für einen bestimmten Personenkreis (z.B. Freunde) zugänglich sind, sind keine öffentlichen Quellen. 

↑ zurück nach oben

Daten über strafrechtliche Verurteilungen und Straftaten

Als Straftaten im unionsrechtlichen Sinne sind neben den Tatbeständen des Kriminalstrafrechts insbesondere auch die Ordnungswidrigkeiten des deutschen Rechts anzusehen. Darüber hinaus unterfallen Art. 10 DSGVO auch Daten über verbindliche behördliche Entscheidungen in vorbereitenden Verfahren, mit denen die Feststellung einer Straftat ermöglicht werden soll. Insbesondere zu nennen sind Daten über Maßnahmen im strafrechtlichen Ermittlungsverfahren. 

↑ zurück nach oben

Datenbank

Eine Datenbank ist eine organisierte Sammlung von strukturierten Informationen oder Daten, die typischerweise elektronisch in einem Computersystem gespeichert sind. Daten innerhalb der gängigsten Arten von heutigen Datenbanken werden typischerweise in Zeilen und Spalten in einer Reihe von Tabellen modelliert, um die Verarbeitung und Datenabfrage effizient zu gestalten. Die Daten können dann einfach abgerufen, verwaltet, modifiziert, aktualisiert, kontrolliert und organisiert werden. Die meisten Datenbanken verwenden die Structured Query Language (SQL) zum Schreiben und Abfragen von Daten. 

↑ zurück nach oben

Datenminimierung

Datenminimierung/Datensparsamkeit/Datenvermeidung ist ein Grundsatz im Datenschutzrecht, der besagt, dass für eine Verarbeitung von personenbezogenen Daten nur so viele Daten verarbeitet werden sollen wie dies für den jeweiligen Zweck der Verarbeitung erforderlich ist. Neben weiteren datenschutzrechtlichen Grundsätzen ist er in Art. 5 Abs. 1 lit. c DSGVO regelt. 

↑ zurück nach oben

Datenschutz durch Technikgestaltung

Unternehmen/Organisationen sind dazu angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung von technischen Verarbeitungsvorgängen technische und organisatorische Maßnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und die Datenschutzgrundsätze von Beginn an zu garantieren.

↑ zurück nach oben

Datenschutz durch datenschutzfreundliche Voreinstellungen

Durch Voreinstellung sollen Unternehmen/Organisationen sicherstellen, dass personenbezogene Daten mit dem größtmöglichen Datenschutz (zum Beispiel sollten ausschließlich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden) verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden. 

↑ zurück nach oben

Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung ist eine vom Verantwortlichen durchzuführende Bewertung und Risikoanalyse einer Verarbeitung von personenbezogenen Daten, welche ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Bewertung muss vor der Verarbeitung erfolgen und insbesondere bei Verwendung neuer Technologien die Art, den Umfang, den Kontext und den Zweck der Verarbeitung berücksichtigen. 

↑ zurück nach oben

Datenschutz-Richtlinie (DS-RL)

Die Datenschutz-Richtlinie 95/46/EG ist eine im Jahr 1995 von der EU verabschiedete Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten und zum freien Datenverkehr. Seit Geltung der DSGVO hat diese die Richtlinie vollkommen abgelöst. 

↑ zurück nach oben

Datenschutzrichtlinie für elektronische Kommunikation 2009/136/EG

Die Datenschutzrichtlinie für elektronische Kommunikation ist eine 2002 erlassene Richtlinie der Europäischen Gemeinschaft, die verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation setzt. Die Richtlinie wurde 2009 novelliert und wird seitdem vor allem als Cookie-Richtlinie bezeichnet.

↑ zurück nach oben

Datenschutztag

Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz. Er findet seit 2007 jährlich am 28. Januar statt. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet wurde. 

↑ zurück nach oben

Datenschutz-Grundverordnung (DS-GVO)

Die Datenschutz-Grundverordnung (DSGVO; VO 2016/679) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl nicht-öffentliche als auch öffentliche, EU-weit vereinheitlicht werden. Sie ist seit dem 25. Mai 2018 in allen EU-Mitgliedsstaaten verbindlich anzuwenden und hat ihren Vorgänger, die Datenschutz-Richtlinie 95/46/EG abgelöst. 

↑ zurück nach oben

Datenschutz-Managementsystem (DSMS)

Ein Datenschutz-Management-System (DSMS) stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten in einem Unternehmen systematisch gesteuert und kontrolliert wird. Die für ein DSMS relevanten Vorschriften sind in erster Linie Art. 5, 24, 30, 32 und 35 DSGVO.

↑ zurück nach oben

Datenschutzbeauftragter

Der Datenschutzbeauftragte ist eine Person im Unternehmen, die die Einhaltung datenschutzrechtlicher Vorgaben zu überwachen hat. Einen Datenschutzbeauftragten haben alle Unternehmen zu bestellen, die mind. zwanzig Arbeitnehmer ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Die Aufgabe des Datenschutzbeauftragten ist es, das Unternehmen über die datenschutzrechtlichen Pflichten aufzuklären und deren Einhaltung zu überwachen, Mitarbeiter zu sensibilisieren und in datenschutzrechtlichen Angelegenheiten als Ansprechpartner für sowohl die Beschäftigten als auch die federführende Aufsichtsbehörde zur Verfügung zu stehen.

↑ zurück nach oben

Datenschutzbehörde

Datenschutzbehörden sind unabhängige Behörden, die mittels Untersuchungs- und Abhilfebefugnissen die Anwendung der Datenschutzvorschriften überwachen. Sie bieten kompetente Beratung zu Datenschutzthemen und setzen sich mit Beschwerden aufgrund von Verletzungen der Datenschutz-Grundverordnung und der einschlägigen nationalen Gesetze auseinander. Es gibt in jedem EU-Mitgliedstaat eine solche Behörde. Grundsätzlich ist die Datenschutzbehörde in dem EU-Mitgliedstaat, in dem Ihr Unternehmen/Ihre Organisation ansässig ist, die wichtigste Kontaktstelle für Datenschutzfragen.

↑ zurück nach oben

Datenschutzhinweis

Der Datenschutzhinweis ist ein Dokument, mit dem ein Verantwortlicher die in Art. 12 ff. DSGVO genannten Informationspflichten erfüllt. Dieser bietet einer betroffenen Person die Möglichkeit, alle wichtigen Informationen über die Verarbeitung seiner personenbezogenen Daten einzusehen. Der Datenschutzhinweis hat dabei in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache formuliert zu werden.

↑ zurück nach oben

Datenschutzkoordinator

Der Datenschutzkoordinator ist häufig in Konzernen oder Unternehmen mit einer bereits bestehenden Datenschutzorganisation zu finden. Er arbeitet projektbezogen und unterstützt (den Datenschutzbeauftragten) in allen Datenschutzfragen innerhalb seines Einsatzgebietes.

↑ zurück nach oben

Datenschutzverletzung

Aus einer Verarbeitung personenbezogener Daten können Risiken hervorgehen, die zu physischen, materiellen oder immateriellen Schäden führen. Zu nennen sind hier etwa die Gefahren von Diskriminierung, von Identitätsdiebstahl oder -betrug oder von unmittelbar finanziellen Verlusten. Eine Datenschutzverletzung ist demnach eine Verletzung der Vorgaben der DSGVO. Dies kann bspw. die unrechtmäßige Verarbeitung von personenbezogenen Daten, etwa durch einen unbefugten Zugriff auf Datenverarbeitungsanlagen, sein. 

↑ zurück nach oben

Datenübermittlung

Die Datenübermittlung (oder Datenübertragung) ist der elektronische Transport von Daten (= Datentransfer) vom Erfassungsort zum Speicherort, sowie vom Speicherort zum Empfänger. Bei diesen Orten handelt es sich entweder um ein und denselben Computer oder um zwei verschiedene. Gem. Art. 44 ff. DSGVO und der Verordnung (EG) Nr. 2018/1725 unterliegt die Übermittlung an Empfänger in Ländern außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) besonderen Schutzmaßnahmen. 

↑ zurück nach oben

Deep Learning

Beim sogenannten Deep Learning handelt es sich um eine spezielle Methode der Informationsverarbeitung. Deep Learning ist ein Teilbereich des Machine Learnings und nutzt neuronale Netze. Zur Herstellung künstlicher Intelligenz werden Trainingsmethoden genutzt, die große Datenmengen heranziehen und analysieren. Die Funktionsweise ist in vielen Bereichen vom Lernen im menschlichen Gehirn inspiriert. 

↑ zurück nach oben

Dienst der Informationsgesellschaft

Ein Dienst der Informationsgesellschaft umfasst alle Dienstleistungen, die in der Regel gegen Entgelt im Fernabsatz mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten auf individuellen Abruf eines Empfängers erbracht werden. 

↑ zurück nach oben

Direktmarketing

Direktmarketing oder Direktkommunikation umfasst alle Aktivitäten, die einer unmittelbaren und personalisierten Interaktion mit aktuellen und potenziellen Kunden dienen. Wichtiges Merkmal ist hierbei die weitestgehend individualisierte Ansprache des Zielkontakts. Neben der Generierung von Neukunden liegt die Zielsetzung von Direktmarketing vor allem in der intensiveren Betreuung von vorhandenen Kunden, wodurch die Kundennähe verbessert und die Kundenbindung erhöht werden soll. 

↑ zurück nach oben

Double Opt-In

Ein Nutzer, der sich mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat (Single Opt-in), erhält durch eine anschließende Bestätigungs-E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Bestätigt er die Anmeldung ist der Double-Opt-in abgeschlossen. Das Double-Opt-in-Verfahren soll Schutz vor Spam gewähren und Versendern von E-Mails mit kommerziellen Inhalten Rechtssicherheit geben, da der Versand angeforderter kommerzieller E-Mails nicht erlaubt ist. 

↑ zurück nach oben

Dritter

Ein Dritter ist gem. Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. 

↑ zurück nach oben

Drittland

Ein Drittland ist ein Land, das nicht an die Datenschutz-Grundverordnung (DSGVO) gebunden ist – im Gegensatz zu den 28 Mitgliedstaaten der EU und den drei Ländern des Europäischen Wirtschaftsraums (EWR), Norwegen, Liechtenstein und Island.

Es kann anerkannt werden, dass Drittländer ein angemessenes Schutzniveau für personenbezogene Daten bieten, um die Übermittlung personenbezogener Daten von den EU- und EWR-Mitgliedstaaten in diese Länder zu ermöglichen.

Die Kommission hat bislang bestätigt, dass

  • Andorra
  • Argentinien
  • die Färöer Inseln
  • Guernsey
  • die Isle of Man
  • Israel
  • Japan
  • Jersey
  • Kanada (nur Handelsorganisationen)
  • Neuseeland
  • die Schweiz
  • Uruguay und
  • die USA (wenn der Empfänger dem EU-US-Privacy Shield angehört)

angemessenen Schutz bieten.

↑ zurück nach oben

Düsseldorfer Kreis

Der Düsseldorfer Kreis ist ein Arbeitskreis der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, der der Kommunikation, Kooperation und Koordinierung der Datenschutz-aufsichtsbehörden für den nicht-öffentlichen Bereich dient. 

↑ zurück nach oben

Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung ist ein Betroffenenrecht aus der DSGVO. Der Zweck der Vorschrift gem. Art. 18 DSGVO besteht darin, dass unter bestimmten Voraussetzungen die personenbezogenen Daten nicht mehr nach den allgemeinen Erlaubnistatbeständen der DSGVO verarbeitet werden dürfen. 

↑ zurück nach oben

Einwilligung

Der Begriff „Einwilligung“ bedeutet im Zusammenhang des Datenschutzes jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden. Eine Einwilligung kann in schriftlicher Form oder durch eine eindeutig bestätigende Handlung abgegeben werden. 

↑ zurück nach oben

Empfänger

Nach Art. 4 Nr. 9 DSGVO ist Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der gegenüber personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

↑ zurück nach oben

ePrivacy-RL

Der Entwurf zur ePrivacy-VO regelt die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union und soll die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) ersetzen. Schätzungen zufolge ist angesichts des Scheiterns des jüngsten Entwurfes nicht mit einem Inkrafttreten der ePrivacy-VO vor 2023 zu rechnen. Unter Berücksichtigung einer Übergangszeit von 24 Monaten ergäbe sich damit ein Geltungsbeginn etwaiger Neuregelungen nicht vor 2025. 

↑ zurück nach oben

ePrivacy-VO

Der Entwurf zur ePrivacy-VO regelt die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union und soll die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) ersetzen. Schätzungen zufolge ist angesichts des Scheiterns des jüngsten Entwurfes nicht mit einem Inkrafttreten der ePrivacy-VO vor 2023 zu rechnen. Unter Berücksichtigung einer Übergangszeit von 24 Monaten ergäbe sich damit ein Geltungsbeginn etwaiger Neuregelungen nicht vor 2025. 

↑ zurück nach oben

Erforderlichkeitsprinzip

Das Erforderlichkeitsprinzip beschreibt innerhalb der Verhältnismäßigkeitsprüfung, dass eine Verarbeitung nur dann erforderlich ist, wenn die jeweilige Aufgabe ohne das konkrete Datum nicht oder nicht vollständig erfüllt werden kann. Die Erforderlichkeit als materiell-rechtliche Anforderung beschränkt nur den Umfang der Datenverarbeitung im Einzelfall. 

↑ zurück nach oben

Eurodac

Durch die Verordnung (EG) Nr. 2725/2000 des Rates vom 11. Dezember 2000 wurde eine Fingerabdruck-Datenbank zur Unterstützung des Asylverfahrens mit der Bezeichnung „Eurodac“ eingerichtet. Dieses System trägt in erster Linie dazu bei, zu ermitteln, welcher Mitgliedstaat für Asylanträge zuständig ist. Das System umfasst eine Zentraleinheit, eine computergestützte zentrale Datenbank für den Vergleich von Fingerabdruckdaten von Asylbewerbern sowie die zwischen den Mitgliedstaaten und der zentralen Datenbank bestehenden Übermittlungseinrichtungen. Der Europäische Datenschutzbeauftragte ist in Zusammenarbeit mit den zuständigen nationalen Datenschutzbehörden für die Aufsicht über das System zuständig. 

↑ zurück nach oben

Europäische Kommission

Die Europäische Kommission ist die politisch unabhängige Exekutive der EU. Sie ist allein zuständig für die Erarbeitung von Vorschlägen für neue europäische Rechtsvorschriften und setzt die Beschlüsse des Europäischen Parlaments und des Rates der EU um. Die 27 Kommissionsmitglieder aus den einzelnen EU-Mitgliedstaaten übernehmen die politische Leitung der Kommission für einen Zeitraum von fünf Jahren. Der Präsident der Kommission überträgt jedem Kommissionsmitglied die Verantwortung für einen bestimmten Politikbereich. 

↑ zurück nach oben

Europäische Konferenz

Die europäische Datenschutzkonferenz ist eine einmal jährlich stattfindende Versammlung der Vertreter der Datenschutzaufsichtsbehörden aus den Ländern des Europarats, des Datenschutz-Sekretariats des Europarats und ggf. Repräsentanten von nicht-europäischen Aufsichtsbehörden für den Datenschutz, sofern diese Staaten der Konvention des Europarats zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten (Konvention 108) beigetreten sind.

Neben dem allgemeinen Erfahrungsaustausch dient die Frühjahrskonferenz der Diskussion aktueller Fragen, die für alle Teilnehmer von hoher Bedeutung sind. Um eine gemeinsame Haltung der Datenschutzaufsichtsbehörden zum Ausdruck zu bringen, kann die Konferenz Entschließungen verabschieden, die für die Mitglieder zwar nicht bindend sind, aber empfehlenden Charakter besitzen und die Grundlage für ein gemeinsames Handeln bilden können.

↑ zurück nach oben

Europäischer Datenschutzausschuss (EDSA)

Der Europäische Datenschutzausschuss (EDSA) ist ein unabhängiges Gremium, das dafür sorgt, dass die einschlägigen EU-Vorschriften – insbesondere die Datenschutzgrundverordnung (DSGVO) und die Richtlinie zum Datenschutz bei der Strafverfolgung – in allen Ländern, in denen sie anwendbar sind, einheitlich angewendet werden und die Zusammenarbeit der nationalen Datenschutzbehörden fördert.

↑ zurück nach oben

Europäischer Datenschutzbeauftragter (EDSB)

Der europäische Datenschutzbeauftragte (EDSB) ist eine Kontrollbehörde, die dafür sorgt, dass alle EU-Organe und -Einrichtungen bei der Verarbeitung personenbezogener Daten den Schutz der Privatsphäre gewährleisten. Am 6. Dezember 2019 trat Wojciech Wiewiórowski sein Amt als Europäischer Datenschutzbeauftragter an. Er wurde im Wege eines gemeinsamen Beschlusses des Europäischen Parlaments und des Rates für eine fünfjährige Amtszeit ernannt.

↑ zurück nach oben

EU-US Privacy Shield

Die Angemessenheitsentscheidung der Europäischen Kommission (2016/1250) erlaubt im Rahmen des EU-US Privacy Shield (Privacy Shield) die Übermittlung personenbezogener Daten in die USA, da die Entscheidung gem. Art. 45 Abs. 1 DSGVO grundsätzlich bindend ist. Daneben sind allerdings die allgemeinen datenschutzrechtlichen Voraussetzungen zu prüfen. Sofern diese vorliegen und der Empfänger in den USA im Privacy Shield registriert ist, können die personenbezogenen Daten übermittelt werden.

↑ zurück nach oben

Fingerabdruck

Der Fingerabdruck ist ein zur Feststellung der Identität auswertbarer, die Linien der Haut erkennen lassender Abdruck der Innenfläche eines Fingers.

↑ zurück nach oben

Fluggastdaten

Fluggastdaten sind alle Daten, die von einem Passagier rund um seine Flugbuchung gespeichert werden. Hierzu gehören unter anderem Familienname, Geburtsname, Vornamen und Doktorgrad des Fluggastes, Angaben zum Fluggastdaten-Buchungscode, Datum der Buchung und der Flugscheinausstellung, planmäßiges Abflugdatum oder planmäßige Abflugdaten, Anschrift und Kontaktangaben, einschließlich Telefonnummer und E-Mail-Adresse.

↑ zurück nach oben

Funktionsübertragung

Bei der Funktionsübertragung wird anstelle einer Auftrags-(daten)verarbeitung eine Übermittlung personenbezogener Daten an Dritte im Zuge des Outsourcings solcher „Funktionen“/Aufgaben angenommen, die über eine bloße Datenverarbeitung als solche hinausgehen und bei denen dem Empfänger zumindest gewisse Entscheidungsspielräume zur Aufgabenerfüllung übertragen wurden. Die Figur der Funktionsübertragung ist jedoch in der DSGVO nicht vorgesehen. 

↑ zurück nach oben

Geldbuße

Es handelt sich bei der Geldbuße um eine Sanktion, welche eine begangene Ordnungswidrigkeit „bestrafen“ soll. Verwaltungsrechtlich sit damit quasi eine Ausgleichszahlung für eine begangene Ordnungswidrigkeit gemeint. Umgangssprachlich wird die Geldbuße auch als Bußgeld bezeichnet. 

↑ zurück nach oben

Gemeinsame Kontrollinstanzen

Gemeinsame Kontrollinstanzen/Aufsichtsbehörden (GKI/GAB) bildeten ein Modell für die Organisation der datenschutzrechtlichen Überwachung mehrerer IT-Großdatenbanken, die auf europäischer Ebene und für bestimmte im Bereich der Strafverfolgung tätige Einrichtungen betrieben wurden. Sie setzten sich im Wesentlichen aus Vertretern der nationalen Datenschutzbehörden zusammen. 

↑ zurück nach oben

Gemeinsam Verantwortliche

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gem. der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person betrifft, und wer welchen Informationspflichten gem. den Art. 13 und 14 DSGVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.

↑ zurück nach oben

Genetische Daten

Genetische Daten sollten als personenbezogene Daten über die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person definiert werden, die aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, insbesondere durch eine Chromosomen-, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können, gewonnen werden. 

↑ zurück nach oben

Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)

Die Gesellschaft für Datenschutz und Datensicherheit ist eine deutsche Vereinigung für Datenschutz und Datenschutzbeauftragte. Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie hat zum Ziel, die Daten verarbeitenden Stellen - insbesondere auch die Datenschutzbeauftragten - bei der Lösung und Umsetzung der vielfältigen mit Datenschutz und Datensicherheit verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. 

↑ zurück nach oben

Gesundheitsdaten

Zu den personenbezogenen Gesundheitsdaten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. 

↑ zurück nach oben

Gläserner Bürger

Die Metapher des gläsernen Bürgers bezeichnet einen Zustand, wonach der Einzelne durch den informationstechnologischen Fortschritt nur noch auf seine Daten reduziert und durchleuchtet wird. In diesem Zustand existieren keine individuell-persönlichen Eigenschaften der Person mehr. 

↑ zurück nach oben

Grenzüberschreitende Verarbeitung

Eine grenzüberschreitende Verarbeitung ist entweder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann. 

↑ zurück nach oben

Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt das berechtigte Interesse des Nutzers, dass die von einem informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben. Das Grundrecht fußt auf Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG als besondere Ausprägung des allgemeinen Persönlichkeitsrechts (BVerfG, NJW 2008, 822). Es findet nur Anwendung, soweit der Schutz nicht durch speziellere Grundrechte wie Art. 10 GG (Post-, Brief- und Fernmeldegeheimnis), Art. 13 GG (Unverletzlichkeit der Wohnung) oder das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) gewährleistet ist. 

↑ zurück nach oben

Grundsätze für die Verarbeitung personenbezogener Daten

Die Grundsätze für die Verarbeitung von personenbezogenen Daten ergeben sich aus Art. 5 DSGVO. Hierzu gehören die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen. 

↑ zurück nach oben

Haftung

Das Wort Haftung ist ein Begriff aus dem Zivilrecht und beschreibt die Leistungspflicht des Schuldners. Die Haftung kann sich dabei aus Vertrag oder aus dem Gesetz ergeben. Meist setzt eine Haftung ein Verschulden (Vorsatz oder Fahrlässigkeit) voraus. Es gibt allerdings auch eine verschuldensunabhängige Haftung, bspw. die Tierhalterhaftung oder die Produkthaftung. 

↑ zurück nach oben

Handvenenscanner

Die Handvenenerkennung ist ein biometrisches Verfahren zur Identifikation von Personen, bei dem das Venenmuster einer Hand erfasst und mit einem Referenzmuster verglichen wird. Zur Verwendung kommen entweder die Venen der Handinnenfläche, die Venen des Handrückens oder die Fingervenen. Die Venenmuster der menschlichen Hand sind komplex und innerhalb des Körpers vor unbemerktem Ausspähen weitgehend geschützt. Die Position der Venen bleibt zeitlebens unverändert und ist bei jedem Menschen unterschiedlich. Die Handvenenerkennung kann ein vergleichbar hohes Sicherheitsniveau, d. h. ähnlich geringe Falsch-Akzeptanz-Raten, wie die Iriserkennung erreichen. 

↑ zurück nach oben

Hauptniederlassung

Unter Hauptniederlassung versteht man im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

Im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt.

↑ zurück nach oben

HBDI

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit überwacht die Einhaltung der Bestimmungen des Hessischen Datenschutzgesetzes sowie anderer datenschutzrechtlicher Regelungen bei den öffentlichen Stellen des Landes, der Gemeinden und Landkreise sowie den sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und bei deren Vereinigungen innerhalb des Landes Hessen.

Seit dem 18. September 2003 ist dies Herr Prof. Dr. Michael Ronellenfitsch, welcher zusätzlich seit dem 1. Juli 2011 auch die nicht-öffentlichen Stellen, wie beispielsweise private Unternehmen, Versicherungen oder Vereine mit Sitz in Hessen kontrolliert. Seit dem 25. Mai 2018 ist Prof. Dr. Michael Ronellenfitsch zudem der Hessische Beauftragte für Informationsfreiheit.

↑ zurück nach oben

HmbBfDI

Seit dem Jahr 2009 ist Prof. Dr. Johannes Caspar Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (HmbBfDI). Der HmbBfDI kontrolliert die Verwaltung und die Wirtschaft in Hamburg und hat für seine Prüfungen ungehinderten Zugang zu allen Behörden, datenverarbeitenden Firmen und Einrichtungen.

↑ zurück nach oben

Identitätsbetrug/-diebstahl

Der Identitätsdiebstahl, Identitätsbetrug oder auch Identitätsmissbrauch bezeichnet die missbräuchliche Benutzung personenbezogener Daten einer natürlichen Person durch Dritte. Das Ziel eines Identitätsdiebstahls ist regelmäßig finanzieller Art, genauso aber kann ein Datensatz genutzt werden, um dem persönlichen Ansehen einer Person zu schaden, also sie in Misskredit zu bringen. 

↑ zurück nach oben

Inferenz

Bei einer Inferenz handelt es sich im Bereich der IT um eine Schlussfolgerung, die computergestützt durch eine so genannte Inferenzmaschine gezogen wurde. Als Inferenzmaschine (englisch: inference engine) wird eine Software der Künstlichen Intelligenz (KI) bezeichnet, die durch Schlussfolgerung neue Fakten aus einer bestehenden Datenbasis ableitet. Daher sind Inferenzmaschinen ein wichtiger Bestandteil von Expertensystemen sowie anderen wissensbasierten Systemen.

↑ zurück nach oben

Information Commissioners Office (ICO)

Das ICO ist die britische Datenschutzbehörde mit Elizabeth Denham als Information Commissioner. Sie ist direkt dem Parlament unterstellt und wird von dem Ministerium für Digitales, Kultur, Medien und Sport (DCMS) gefördert. Rechtsgrundlagen sind der Data Protection Act 2018, die DSGVO, die Privacy and Electronic Communications Regulations 2003, der Freedom of Information Act 2000 und die Environmental Information Regulations 2004. 

↑ zurück nach oben

Informationspflichten

Unter Informationspflichten sind die in der DSGVO vorgeschriebenen Pflicht des Verantwortlichen zu verstehen, die betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten zu informieren. Hierzu wird in zwei Fälle unterschieden, nämlich ob die Daten bei der betroffenen Person direkt erhoben wurden oder nicht (sog. Dritterhebung).

↑ zurück nach oben

Informationssicherheit

Die Informationssicherheit dient der Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die Informationen selbst können in unterschiedlichen Formen vorliegen und auf verschiedenen Systemen gespeichert sein. Informationen sind nicht auf digitale Daten beschränkt. Bei den speichernden oder aufnehmenden Systemen muss es sich nicht grundsätzlich um IT-Komponenten handeln. Es können sowohl technische als auch nicht-technische Systeme sein. Ziel ist es, vor Gefahren und Bedrohungen zu schützen und wirtschaftliche Schäden zu verhindern. 

↑ zurück nach oben

Integrität

Die Integrität ist neben der Vertraulichkeit und Verfügbarkeit eines der grundlegenden IT-Schutzziele. Sie beschreibt die Verhinderung unautorisierter Modifikation von Informationen, sowie die Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. 

↑ zurück nach oben

Interessenkonflikt

Ein Interessenkonflikt beschreibt im Datenschutzrecht eine Situation, in der sich widerstreitende Interessen von verschiedenen Parteien gegenüberstehen. Dies ist vor allem bei der Interessenabwägung und der Berücksichtigung der Grundrechte und Freiheiten der betroffenen Personen zu beachten. 

↑ zurück nach oben

International Association of Privacy Professionals (IAPP)

Die IAPP ist die größte und umfassendste globale Gemeinschaft und Ressource für den Datenschutz. Sie wurde im Jahr 2000 gegründet und ist eine gemeinnützige Organisation, die weltweit zur Definition, Unterstützung und Verbesserung des Datenschutzrechts beiträgt. 

↑ zurück nach oben

Internationale Konferenz

Im Herbst jeden Jahres kommen die für den Schutz der Privatsphäre und den Datenschutz zuständigen Behörden aus Europa und dem Rest der Welt in der internationalen Konferenz zusammen. Im Gegensatz zur europäischen (Datenschutz-)Konferenz können an der internationalen Konferenz auch Interessengruppen teilnehmen. Die Konferenz führt eine Bestandsaufnahme neuer Entwicklungen durch und nimmt üblicherweise in einer geschlossenen Sitzung, an der nur die Datenschutzbehörden teilnehmen, Entschließungen an. Diese Konferenz ist die größte Veranstaltung im Bereich des Datenschutzes, die regelmäßig stattfindet.

↑ zurück nach oben

Internationale Organisation

Internationale Organisationen sind Zusammenschlüsse von Staaten, die durch völkerrechtliche Verträge gegründet worden und mit eigenen Organen und eigenen Zuständigkeitsbereichen ausgestattet sind. Sie dienen dazu, konkret vereinbarte (und insofern begrenzte) politische, militärische, wirtschaftliche oder soziale Aufgaben zu erfüllen, ohne die Souveränität der Mitgliedsstaaten zu beeinträchtigen. Die weltweit wichtigste und größte Organisation sind die Vereinten Nationen.

↑ zurück nach oben

Internet of Things (IoT)

Das Internet der Dinge (Internet of Things) ist ein Sammelbegriff für Technologien einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Gegenstände miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen.

↑ zurück nach oben

Irisscanner

Die Iriserkennung mit Hilfe eines Irisscanners ist eine Methode der Biometrie zum Zweck der Authentifizierung oder Identifizierung von Personen. Dafür werden mit speziellen Kameras Bilder der Iris (Regenbogenhaut) des Auges aufgenommen, charakteristische Merkmale der jeweiligen Iris mit Hilfe algorithmischen Verfahren identifiziert, in einen Satz numerischer Werte (Merkmalsvektor, engl. „Template“) umgerechnet und für die Wiedererkennung durch einen Klassifizierungsalgorithmus wie z. B. ein neuronales Netz gespeichert bzw. mit einem oder mehreren bereits gespeicherten Templates verglichen.

↑ zurück nach oben

IT-Sicherheit

Cybersecurity oder IT-Sicherheit ist der Schutz von Netzwerken, Computersystemen, cyber-physischen Systemen und Roboter vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen.

↑ zurück nach oben

IWGDPT

Die Internationale Arbeitsgruppe für Datenschutz in der Telekommunikation (IWGDPT) - auch bekannt als „Berlin Group“ - beschäftigt sich mit im Bereich der Telekommunikation und seit Anfang der 90er Jahre vor allem mit Fragenstellungen rund um den Datenschutz im Internet. Hierzu hat sie zahlreiche Arbeitspapiere erarbeitet, die weltweit Beachtung finden.

↑ zurück nach oben

JI-Richtlinie (JI-RL)

Zeitgleich mit der Datenschutz-Grundverordnung hat die EU auch eine Datenschutz-Richtlinie im Bereich von Justiz und Innern (JI-Richtlinie) auf den Weg gebracht. Ziel der JI-Richtlinie ist es, für den Datenschutz in den Bereichen Polizei und Justiz eine Mindestharmonisierung innerhalb der EU herbeizuführen, um insgesamt ein höheres Datenschutzniveau in der Union zu erreichen. Die Mitgliedstaaten dürfen in ihren nationalen Gesetzen auch strengere Anforderungen erhalten oder aufstellen.

↑ zurück nach oben

Kleine und mittelständische Unternehmen (KMU)

Kleinstunternehmen, kleine und mittelständische Unternehmen (KMU) werden in der EU-Empfehlung 2003/361 definiert. Danach zählt ein Unternehmen zu den KMU, wenn es nicht mehr als 249 Beschäftigte hat und einen Jahresumsatz von höchstens 50 Millionen € erwirtschaftet oder eine Bilanzsumme von maximal 43 Millionen € aufweist.

↑ zurück nach oben

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz, DSK) ist ein Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Die Konferenz besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht.

↑ zurück nach oben

Künstliche Intelligenz

Erforschung „intelligenten” Problemlösungsverhaltens sowie die Erstellung „intelligenter” Computersysteme. Künstliche Intelligenz (KI) beschäftigt sich mit Methoden, die es einem Computer ermöglichen, solche Aufgaben zu lösen, die, wenn sie vom Menschen gelöst werden, Intelligenz erfordern.

↑ zurück nach oben

LDA Bbg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist eine unabhängige Bürgerbehörde. Sie überwacht die Einhaltung datenschutzrechtlicher Vorschriften durch öffentliche und private Stellen im Land Brandenburg. Außerdem kontrolliert sie öffentliche Stellen hinsichtlich der Wahrung des Grundrechts auf Akteneinsicht und Informationszugang. Sie wird vom Landtag für die Dauer von sechs Jahren berufen und in ihrer Arbeit durch eine Behörde mit derzeit 32 Stellen unterstützt.

↑ zurück nach oben

LDI Bremen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen hilft bei der Wahrnehmung von Rechten, berät bei Fragen zum Datenschutz, kontrolliert die Verwaltung des Landes und der Stadtgemeinden Bremen und Bremerhaven, sowie Firmen und andere private Stellen, die ihren Sitz im Lande Bremen haben.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit wird von der Bremischen Bürgerschaft (Landtag) für acht Jahre gewählt. Sie ist bei der Ausübung ihres Amtes unabhängig; niemand kann ihr Weisungen erteilen.

↑ zurück nach oben

LDI NRW

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat die Aufgabe über die Einhaltung der datenschutzrechtlichen Vorschriften in Nordrhein-Westfalen (NRW) zu wachen. Außerdem kümmert sie sich darum, dass die Bürgerinnen und Bürger ihr Recht auf freien Zugang zu behördlichen Informationen in NRW wahrnehmen können.

↑ zurück nach oben

LfD MV

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern trägt durch stete Beratung und Kontrolle dazu bei, dass sowohl Behörden und andere öffentliche Stellen (sog. öffentlicher Bereich) als auch Unternehmen, Vereine etc. (sog. privater oder nicht-öffentlicher Bereich) ordnungsgemäß mit personenbezogenen Daten umgehen und so das Recht des Einzelnen auf informationelle Selbstbestimmung gewahrt wird. Darüber hinaus ist er Ansprechpartner für alle Fragen, die mit dem Recht auf Zugang zu Informationen, die bei der öffentlichen Verwaltung vorhanden sind, zusammenhängen.

↑ zurück nach oben

LfD Niedersachsen

Die vom Landtag gewählte Landesbeauftragte für den Datenschutz Niedersachen ist die Ansprechpartnerin in Sachen Datenschutz. Zu ihren Aufgaben gehört es, datenschutzrechtliche Interessen von Bürgerinnen und Bürgern gegenüber öffentlichen Stellen und Unternehmen in Niedersachen zu vertreten sowie die Öffentlichkeit für die Belange des Datenschutzes zu sensibilisieren.

↑ zurück nach oben

LfDI Baden-Württemberg

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg kümmert sich um die Einhaltung des Grundrechts der informationellen Selbstbestimmung. Im öffentlichen Bereich kontrolliert er, ob die Behörden (z.B. Polizeidienststellen, Finanzämter, Bürgermeisterämter usw.) und sonstigen öffentlichen Stellen (z.B. städtische Krankenhäuser) in Baden-Württemberg die Vorschriften des Landesdatenschutzgesetzes und andere Datenschutzregelungen (z.B. das Sozialgeheimnis, das Steuergeheimnis und das Arztgeheimnis) einhalten. Er berät die Landesregierung, die Ministerien sowie die Behörden und sonstigen öffentlichen Stellen in Datenschutzfragen und gibt ihnen Empfehlungen zur Verbesserung des Datenschutzes.

↑ zurück nach oben

Der Landesbeauftragte ist seit dem 1. April 2011 auch Aufsichtsbehörde für den nicht-öffentlichen Bereich. In dieser Funktion kontrolliert er, ob die in Baden-Württemberg ansässigen nicht-öffentlichen Stellen (z.B. Unternehmen oder Verein) die Vorschriften des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz einhalten. Er kann auch die nicht-öffentlichen Stellen im Land und deren betriebliche Datenschutzbeauftragte in Datenschutzfragen beraten und unterstützen.

↑ zurück nach oben

LfDI Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist in Rheinland-Pfalz als Kontrollinstanz für den öffentlichen Bereich sowie als Datenschutzaufsichtsbehörde für die privaten Stellen (Unternehmen) tätig. Er berät und unterstützt Bürger weiterhin bei der Wahrnehmung Ihres Rechts auf Informationszugang, insbesondere dann, wenn Ihr Antrag ganz oder in Teilen abgelehnt wurde.

Er ist als unabhängige oberste Landesbehörde beim Landtag Rheinland-Pfalz eingerichtet. In Bezug auf die öffentlichen und die privaten Stellen überwacht er die Einhaltung der Datenschutzgesetze und anderer Vorschriften über den Datenschutz, berät den Landtag, die Landesregierung und ihre Mitglieder sowie die datenverarbeitenden Stellen in Fragen des Datenschutzes und führt örtliche Kontrollen durch. Bedeutsam ist auch seine Aufgabe, Beschwerden von Bürgern nachzugehen.

↑ zurück nach oben

Legal Tech

Legal Tech – zusammengesetzt aus „legal services“ und „technology“ fasst den digitalen Fortschritt in der juristischen Arbeitswelt zusammen und bildet den Kern der Digitalisierung der juristischen Arbeit. Legal Tech kann in drei Bereiche unterschieden werden:

  • Recherche-, Kommunikations- und Assistenzsysteme für juristische Arbeiten
  • Technologien, die die juristische Arbeit in einzelnen Bereichen automatisieren und
  • Smart Contracts und künstliche Intelligenz, mittels der eng abgegrenzte Rechtsdienstleistungen autonom bewältigt werden können

↑ zurück nach oben

Logfile

Als Logfile (dt. Logdatei) wird eine Datei bezeichnet, in der Prozesse, die in einem Computer- oder Netzwerksystem ablaufen, protokolliert werden. Eine andere Bezeichnung für Logfile ist daher auch Protokolldatei. Logfiles liefern wichtige Daten zur Analyse von Netzwerken oder Zugriffen auf einen Webserver bzw. eine Website. Die Logfile Analyse war lange Zeit die gängigste Methode, um Daten über Besucher einer Internetseite zu erhalten.

↑ zurück nach oben

Londoner Initiative

Auf der 28. Internationalen Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre in London (November 2006) wurde eine Erklärung mit dem Titel „Datenschutz vermitteln und effektiver gestalten“ vorgelegt, die bei den Datenschutzbehörden der ganzen Welt breite Unterstützung fand.

Es handelte sich um eine gemeinsame Initiative des Präsidenten der französischen Datenschutzbehörde, des Datenschutzbeauftragten des Vereinigten Königreichs und des Europäischen Datenschutzbeauftragten. Diese wird als „Londoner Initiative“ bezeichnet.

↑ zurück nach oben

Löschprotokoll

Ein Protokoll zeichnet auf, hält fest oder schreibt vor, zu welchem Zeitpunkt oder in welcher Reihenfolge welcher Vorgang durch wen oder durch was veranlasst wurde oder wird. In Bezug zur Löschung von personenbezogenen Daten wird dabei der Prozess des Löschens dokumentiert.

↑ zurück nach oben

Löschung

Löschung (von personenbezogenen Daten) bedeutet sicherzustellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Dabei reicht es aus, die Daten zu anonymisieren und alle bezüglichen Logfiles zu löschen. Eine Vernichtung der Daten ist nicht notwendig.

↑ zurück nach oben

Machine Learning

Machine Learning ist ein Teilbereich der künstlichen Intelligenz. Mithilfe des maschinellen Lernens werden IT-Systeme in die Lage versetzt, auf Basis vorhandener Datenbestände und Algorithmen Muster und Gesetzmäßigkeiten zu erkennen und Lösungen zu entwickeln. Es wird sozusagen künstliches Wissen aus Erfahrungen generiert. Die aus den Daten gewonnenen Erkenntnisse lassen sich verallgemeinern und für neue Problemlösungen oder für die Analyse von bisher unbekannten Daten verwenden.

↑ zurück nach oben

Maßgeblicher und begründeter Einspruch

Unter maßgeblicher und begründeter Einspruch versteht die Europäische Datenschutz-Grundverordnung (EU-DSGVO) „einen Einspruch im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder nicht oder ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen“.

↑ zurück nach oben

Marktortprinzip

Das Marktortprinzip regelt und erweitert den räumlichen Anwendungsbereich des europäischen Datenschutzrechts durch datenverarbeitende Stellen außerhalb der EU bei der Verarbeitung personenbezogener Daten, sofern das jeweilige Angebot auf den europäischen Markt („Marktort“) gerichtet ist. Dies bedeutet, wenn weder Sitz noch Niederlassung des Unternehmens sich in der EU befinden, aber dieses den betroffenen Personen entgeltlich oder unentgeltlich in der Union Waren oder Dienstleistungen anbietet (Art. 3 II a) DSGVO) oder deren Verhalten beobachtet (Art. 3 II b) DSGVO). Im Gegensatz dazu findet nach dem Herkunftslandprinzip das Recht des Staates Anwendung, wo das Unternehmen niedergelassen ist.

↑ zurück nach oben

Mikrozensus

Mikrozensus ist die statistische Erhebung von wirtschaftlichen und sozialen Daten der Einwohner in Deutschland durch stichprobenartige Befragung ausgewählter, repräsentativer Mitglieder der Bevölkerung. Der Mikrozensus dient z. B. der Weiterführung der durch eine Volkszählung gewonnenen Informationen.

↑ zurück nach oben

Mitgliedsstaat

Als Mitgliedstaat wird im Völkerrecht ein Staat bezeichnet, der Mitglied in einer übernationalen oder internationalen Organisation oder Teil eines Bündnisses bzw. einer geregelten Staatengemeinschaft ist. Es handelt sich dabei um einen Einzelstaat in einer völkerrechtlichen Verbindung mehrerer Staaten.

↑ zurück nach oben

Natural Language Processing (NLP)

Natural Language Processing (NLP) ist ein Teilbereich der Künstlichen Intelligenz (KI). Bei Natural Language Processing handelt es sich um Techniken und Methoden zur maschinellen Verarbeitung von natürlicher Sprache. Hiermit soll eine weitreichende Kommunikation zwischen Mensch und Computer mittels Sprache ermöglicht werden.

↑ zurück nach oben

Need-to-know-Prinzip

Bei dem sogenannten Need-to-know-Prinzip (auch Erforderlichkeitsprinzip) handelt es sich um eine Zugriffskontrolle auf personenbezogene Daten. Hierbei soll gewährleistet werden, dass grundsätzlich nur diejenigen Personen Zugriff auf Daten haben, welche diese unmittelbar für die Erfüllung einer konkreten Aufgabe benötigen.

↑ zurück nach oben

One-Stop-Shop-Prinzip

Nach Art. 56 Abs. 6 DSGVO ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datentransfers oder -verarbeitungen nur noch einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben werden, auf dessen Aussagen sie sich dann auch verlassen dürfen.

↑ zurück nach oben

Opt-In

Von einer Opt-in-Lösung spricht man, wenn eine Zustimmung des Nutzers über die Verarbeitung seiner Daten nicht automatisch vorausgesetzt wird (siehe auch: Opt-out). Dieses Verfahren kann mittels einfachem Opt-in, aber auch mittels Double-Opt-in realisiert werden, beispielsweise durch eine weitere Bestätigung im Rahmen einer E-Mail.

↑ zurück nach oben  

Opt-Out

Hierbei handelt es sich um ein Verfahren, das in Bezug auf die Speicherung von Daten, die Benutzung von Cookies oder den Erhalt von Werbematerial eingesetzt wird. Dabei wird die Zustimmung des Nutzers automatisch vorausgesetzt, sollte dieser nicht selbst aktiv werden und der Nutzung ausdrücklich widersprechen.

↑ zurück nach oben  

Passwort

Bei einem Passwort handelt es sich um eine festgelegte Zeichenfolge, welche zur Authentifizierung dient. Hiermit können zum einen die Identität einer Person und zum anderen auch bestimmte Berechtigungen nachgewiesen werden.

↑ zurück nach oben   

Personenbezogene Daten

Nach Art. 4 Nr. 1 DSGVO handelt sich bei personenbezogenen Daten um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In diesem Zusammenhang spricht man auch von der „betroffenen Person“. Personenbezogene Daten können unter anderem der Name, die Telefonnummer, die Anschrift oder die E-Mail-Adresse sein.

↑ zurück nach oben  

Phishing

Phishing bezeichnet den Vorgang mittels gefälschter Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen.

↑ zurück nach oben

Privacy by Default

Privacy by Default bedeutet Datenschutz durch datenschutzfreundliche Voreinstellungen. Gemeint ist hiermit, dass Werkseinstellungen so datenschutzfreundlich auszugestalten sind, dass auch weniger technikaffine Nutzer vor einer unrechtmäßigen Verarbeitung geschützt werden. Demnach sollen sie aufgrund dessen nicht bei der Einstellung ihrer Wünsche benachteiligt werden.

↑ zurück nach oben

Privacy by Design

Privacy by Design bedeutet Datenschutz durch Technikgestaltung. Der Grundgedanke ist hierbei, dass Datenschutz am besten gewährleistet werden kann, sofern dieser bereits bei der Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert wird.

↑ zurück nach oben  

Privacy Dashboard

Bei einem Privacy Dashboard handelt es sich um ein Programm, welches einem Nutzer bei der Verwaltung von Datenschutzeinstellungen unterstützt.

↑ zurück nach oben  

Privatsphäre

Als Privatsphäre wird der nichtöffentliche Bereich bezeichnet, in dem ein Mensch unbeteiligt von äußeren Einflüssen sein Recht auf freie Entfaltung der Persönlichkeit wahrnimmt. Dieser Bereich gewinnt vor allem in Zeiten der Digitalisierungen im Internet eine immer wichtigere Bedeutung. Denn auch durch das Internet darf nicht in die Privatsphäre der Menschen eingegriffen werden.

↑ zurück nach oben

Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten – insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

↑ zurück nach oben

Prümer Vertrag

Der Prümer Vertrag ist ein zwischenstaatliches Abkommen zwischen derzeit 13 Mitgliedstaaten der EU, das die grenzüberschreitende Zusammenarbeit und insbesondere den Informationsaustausch zwischen den Vertragsparteien zum Zweck der Verhinderung und Verfolgung von Straftaten verbessern soll.

↑ zurück nach oben

Pseudoynmisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

↑ zurück nach oben

Qualität der Daten

Data Quality, im Deutschen Datenqualität, gibt Auskunft darüber, wie gut sich vorhandene Daten für bestimmte Anwendungen oder Aufgaben eignen. Anhand von Kriterien lässt sich die Data Quality eines Datenbestands bestimmen. Neben der Korrektheit und Verlässlichkeit der Daten spielen zahlreiche weitere Kriterien wie die Relevanz und Verfügbarkeit eine wichtige Rolle für die Datenqualität. Für ein Unternehmen kann die Data Quality entscheidend für den geschäftlichen Erfolg sein. Nur wenn die Datenqualität gegeben ist, lassen sich operative Prozess zuverlässig steuern, relevante Berichte erstellen oder Business-Analytics- und Business-Intelligence-Anwendungen effizient ausführen.

↑ zurück nach oben

Ransomware

Der Begriff Ransomware leitet sich vom englischen Wort "ransom" (Lösegeld) ab. Ransomware ist eine erpresserische Malware, die versucht, die Nutzung von Systemen oder Daten zu blockieren. Anwender werden aufgefordert ein Lösegeld zu zahlen, um die Blockade aufzuheben. Da die Schadprogramme häufig Daten durch Verschlüsselung blockieren, wird Ransomware auch Kryptotrojaner oder Verschlüsselungstrojaner genannt.

↑ zurück nach oben

Rechenschaftspflicht

Die Rechenschaftspflicht ist die Pflicht des Verantwortlichen die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 Abs. 1 DSGVO einzuhalten. Dies kann durch eine ausreichende Dokumentation der Verarbeitungsvorgänge und Prozesse geschehen.

↑ zurück nach oben

Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

↑ zurück nach oben

Recht auf Beschwerde bei einer Aufsichtsbehörde

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

↑ zurück nach oben

Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. A DSGVO oder Art. 9 Abs. 2 lit. A DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

↑ zurück nach oben

Recht auf Information

Jeder hat das Recht, zu wissen, dass seine personenbezogenen Daten verarbeitet werden und für welchen Zweck. Das Recht auf Information ist wichtig, da es die Basis für die Ausübung anderer Rechte ist. Das Recht auf Information bezieht sich auf die Informationen, die eine betroffene Person zu erhalten hat, unabhängig davon, ob die Daten bei der betroffenen Person erhoben wurden oder nicht.

Die Informationspflicht umfasst die Identität des für die Verarbeitung Verantwortlichen, den/die Zweck(e) der Verarbeitung, die Empfänger sowie das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich der Daten.

↑ zurück nach oben

Recht auf informationelle Selbstbestimmung

Mithilfe des Rechts auf informationelle Selbstbestimmung soll jeder selbst darüber entscheiden können, welche personenbezogenen Daten er von sich preisgeben möchte und wer sie verwenden darf. Hierbei handelt es sich um eine noch relativ junge Ausprägung des Allgemeinen Persönlichkeitsrechts, das mittlerweile jedoch eigenständige Bedeutung hat. Erst 1983 hatte es das Bundesverfassungsgericht in seinem Volkszählungs-Urteil herausgearbeitet.

↑ zurück nach oben

Recht auf Löschung ("Recht auf Vergessenwerden")

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

↑ zurück nach oben

Rechte und Freiheiten der betroffenen Person

„Rechte und Freiheiten natürlicher Personen“ ist ein zentraler Begriff in der DSGVO. Ziel der DSGVO ist es gem. Art. 1 Abs. 2 DSGVO, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen. Diese bestimmen sich nach der Charta der Grundrechte und Grundfreiheiten der Europäischen Union (Grundrechtecharta – GrCh) und der Europäischen Menschenrechtskonvention (EMRK). Der Begriff Rechte und Freiheiten natürlicher Personen umfasst zudem einfachgesetzliche individuelle Rechte. Er ist im Rahmen des europarechtlichen Kontextes und nicht nach rein nationalem Verständnis auszulegen.

↑ zurück nach oben

Rechtmäßigkeit der Verarbeitung

Nach den Grundsätzen der Verarbeitung von personenbezogenen Daten muss eine Verarbeitung rechtmäßig sein. Dies ist sie, wenn personenbezogene Daten nach mindestens einer der Bedingungen aus Art. 6 Abs. 1 DSGVO eingehalten werden:

  • Einwilligung durch die Betroffenen Person
  • Verarbeitungszweck zur Vertragserfüllung
  • Verarbeitungsgrund zur Erfüllung einer rechtlichen Verpflichtung
  • Verarbeitung zum Schutz lebenswichtiger Interessen einer Person
  • Datenverarbeitung zum Schutz vom öffentlichen Interesse
  • Wahrung berechtigten Interessen der Verantwortlichen selbst oder Dritten

↑ zurück nach oben

RFID

„RFID“ steht für „radio frequency identification“ (Funkfrequenzkennzeichnung). Es ist eine automatische Kennzeichnungsmethode, die auf der Speicherung und dem Fernabruf von Daten mit Hilfe so genannter RFID-Transponder beruht.

Ein RFID-Transponder ist ein Objekt, das an Produkten, Tieren oder Menschen angebracht, in Produkte eingebaut oder im Körper von Tieren oder Menschen implantiert werden kann, um eine Kennzeichnung oder eine Fernverfolgung (Tracking) per Funkwellen zu ermöglichen.

↑ zurück nach oben

Risiko

Risiko ist das Produkt aus Eintrittswahrscheinlichkeit und Schadensschwere. Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.

↑ zurück nach oben

Robotik

Die Robotik oder Robotertechnik beschäftigt sich mit dem Entwurf, der Gestaltung, der Steuerung, der Produktion und dem Betrieb von Robotern, z.B. von Industrie- oder Servicerobotern. Bei anthropomorphen oder humanoiden Robotern geht es auch um die Herstellung von Gliedmaßen und Haut, um Mimik und Gestik sowie um natürlichsprachliche Fähigkeiten. Im Fokus sind Hardwareroboter mit Hard- und Software. Reine Softwareroboter (Bots) werden in erster Linie in der Informatik entwickelt, Nanoroboter in der Zukunft in der Nanotechnologie.

↑ zurück nach oben

Rollen- und Rechtekonzept

In einem Berechtigungskonzept wird beschrieben, welche Zugriffsregeln für einzelne Benutzer oder Benutzergruppen auf die Daten eines IT-Systems gelten. Außerdem sollten dort die Prozesse geregelt werden, die Benutzerrechte betreffen, wie der Anlegung von Usern oder der regelmäßigen Kontrolle des Ist-Zustands zum Soll-Zustand. Das Berechtigungskonzept deckt den vielfältigen Bereich der Berechtigungen bei einem IT-System ab. Das Feld erstreckt sich dabei von Passwortrestriktionen, über Rollendefinitionen bis zu Prozessbeschreibungen. Zur Erstellung eines Berechtigungskonzepts empfiehlt es sich „Vorne“ zu beginnen, also bei der Neudefinition von Nutzern.

↑ zurück nach oben

Der Sächsische Datenschutzbeauftragte

Der Sächsische Datenschutzbeauftragte – derzeitiger Amtsinhaber ist seit Dezember 2015 Andreas Schurig - ist seit dem 25. Mai 2018 Aufsichtsbehörde im Sinne des Art. 51 Abs. 1 der DSGVO. Der Sächsische Datenschutzbeauftragte ist nach § 15 SächsDSDG eine oberste Staatsbehörde mit Dienstsitz in Dresden. Der Amtsinhaber wird nach § 16 SächsDSDG vom Landtag mit der Mehrheit seiner Mitglieder gewählt.

Im öffentlichen Bereich, z. B. bei Staatsbehörden, dürfen der Sächsische Datenschutzbeauftragte und seine Mitarbeiter nach § 19 SächsDSDG wie bisher jederzeit Diensträume betreten; auch muss ihnen wie bisher Zugang zu allen Datenverarbeitungsanlagen und -geräten gewährt werden. Auch darf der Sächsische Datenschutzbeauftragte, wenn er einen strafbewehrten Verstoß gegen eine Vorschrift über den Datenschutz festgestellt hat, diesen wie bisher bei der zuständigen Behörde, meist der zuständigen Staatsanwaltschaft, anzeigen.

↑ zurück nach oben

Scamming

Der Vorschussbetrug (engl. Scam) ist die kriminologische Bezeichnung für eine Unterart des Betrugs in Deutschland (§ 263 StGB). Die Empfänger werden unter Vorspiegelung falscher Tatsachen (vgl. Social Engineering) dazu bewogen, an Schneeballsystemen teilzunehmen oder in Erwartung zugesagter Vermittlungsprovisionen gegenüber den Absendern (den Betrügern) finanziell in Vorleistung zu treten. Dem Opfer wird zunächst glaubhaft gemacht, ein enormes Vermögen verdienen zu können. Auf diese Gegenleistung des Geschäfts – Geld oder Waren – wartet der Vorschussleistende vergeblich, weil eine Gegenleistung von Anfang an nicht beabsichtigt war.

↑ zurück nach oben

Schaden

Ein Schaden ist allgemein definiert als ein Nachteil, der durch Minderung oder Verlust an materiellen oder immateriellen Gütern entsteht. Der Begriff ist, aufgrund der Tatsache, dass mit einem Schaden immer eine unfreiwillige Einbuße an geschützten Rechtsgütern einhergeht, also gleichwohl juristischer als auch wirtschaftlicher Art.

↑ zurück nach oben

Schengener Informationssystem (SIS)

Das Schengener Informationssystem (SIS) ist ein großes IT-System, das mit der Abschaffung der Grenzkontrollen an den Binnengrenzen des Schengen-Gebiets (das den überwiegenden Teil des EU-Hoheitsterritoriums sowie einige andere Länder umfasst) verknüpft ist.

Das SIS wird durch das SIS II ersetzt, um den Anschluss weiterer Länder zu erlauben und neue Funktionalitäten zu ermöglichen.

Das SIS enthält Informationen über Objekte (gestohlene Fahrzeuge, Ausweisdokumente usw.) und Menschen. Personenbezogene Daten über die folgenden Personen können im SIS gespeichert werden:

  • Drittstaatsangehörige, denen die Einreise in das Schengen-Gebiet untersagt ist;
  • im Zusammenhang mit Strafverfahren gesuchte Personen und Personen unter polizeilicher Überwachung;
  • Vermisste, die in Gewahrsam genommen werden sollten, insbesondere Minderjährige

↑ zurück nach oben

Sensible Daten

Die folgenden personenbezogenen Daten gelten als „sensibel“ und unterliegen besonderen Verarbeitungsbedingungen:

  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

↑ zurück nach oben

Sicherheitsverletzung

Eine Verletzung der Sicherheit liegt vor, wenn eine Organisationsanweisung oder eine rechtliche Anforderung in Bezug auf Datensicherheit verletzt wurde. Jedes Ereignis, dass Hinweise auf Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen gibt, kann allerdings als ein sicherheitsrelevantes Ereignis betrachtet werden. Jede Sicherheitslücke wird immer durch ein sicherheitsrelevantes Ereignis eingeleitet, das sich, wenn es bestätigt wird, als eine Sicherheitsverletzung erweisen kann.

↑ zurück nach oben

Sperrung

Sperrung oder Einschränkung der Verarbeitung von personenbezogenen Daten meint Methoden, die unter anderem darin bestehen, dass ausgewählte personenbezogenen Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können.

↑ zurück nach oben

Standardvertragsklauseln

Standardvertragsklauseln sind Rechtsinstrumente zur Bereitstellung angemessener Garantien für Datenübermittlungen aus der EU oder dem Europäischen Wirtschaftsraum in Drittländer.

Die Europäische Kommission hat drei Beschlüsse angenommen, in denen erklärt wird, dass Standardvertragsklauseln angemessen sind; daher können Unternehmen diese Klauseln in einen Übermittlungsvertrag aufnehmen.

Grundsätzlich ist keine Genehmigung von Datenschutzbehörden erforderlich, um diese Klauseln verwenden zu können. Eine formelle Meldung an die Behörde kann jedoch trotzdem erforderlich sein.

↑ zurück nach oben

Stellungnahme

Stellungnahmen sind ein wichtiges Instrument für den Europäischen Datenschutzbeauftragten (EDSB), sowohl für seine Aufsichtspflichten als auch in seiner Rolle als Berater zu Vorschlägen für neue EU-Rechtsvorschriften.

Im Kontext einer Vorabkontrolle wird eine Stellungnahme abgegeben, aus der hervorgeht, ob die Bestimmungen der Verordnung (EU) 2018/1725 durch eine bestimmte Verarbeitung eingehalten werden, und in der Empfehlungen für das betreffende Organ bzw. die betreffende Einrichtung ausgesprochen werden. Diese Stellungnahmen werden auf der EDSB-Website (Abschnitt 'Aufsicht') veröffentlicht.

↑ zurück nach oben

SWIFT

SWIFT ('Society for Worldwide Interbank Financial Telecommunication') ist ein weltweiter Dienst für den Nachrichtenverkehr im Finanzbereich, der internationale Zahlungsanweisungen erleichtert.

Nach den Terroranschlägen vom 11. September 2001 hat das amerikanische Finanzministerium (Department of the Treasury) von SWIFT per administrativer Anordnungen die Übermittlung von auf dem SWIFT-Server in den Vereinigten Staaten gespeicherten personenbezogenen Daten verlangt, damit Personen, die terroristische Aktivitäten finanziell unterstützen, ermittelt, ausfindig gemacht und verfolgt werden können.

↑ zurück nach oben

Swiss-US Privacy Shield

Das Swiss-US Privacy Shield ist nach gleichem Maße, wie das EU-US Privacy Shield ein Abkommen nachdem die Datenübermittlung von personenbezogenen Daten zwischen der Schweiz und den USA rechtmäßig erfolgen kann. Hierbei werden einige Standards als Grundsätze und zur Rechtmäßig mit dem Umgang der Daten festgelegt.

↑ zurück nach oben

Technologien zum Schutz der Privatsphäre

Technologien zum Schutz der Privatsphäre werden auch mit dem englischen Akronym 'PETs' (Privacy Enhancing Technologies) bezeichnet. Der Begriff bezeichnet ein kohärentes System von Maßnahmen der Informations- und Kommunikationstechnologie (IKT), die die Privatsphäre schützen, indem sie personenbezogene Daten eliminieren oder reduzieren oder indem sie eine unnötige und/oder unerwünschte Verarbeitung personenbezogener Daten vermeiden, ohne dass die Funktionalität des Informationssystems beeinträchtigt wird.

↑ zurück nach oben

Telemedizin

Telemedizin ist ein Sammelbegriff für verschiedenartige ärztliche Versorgungskonzepte, die als Gemeinsamkeit den prinzipiellen Ansatz aufweisen, dass medizinische Leistungen der Gesundheitsversorgung der Bevölkerung in den Bereichen Diagnostik, Therapie und Rehabilitation sowie bei der ärztlichen Entscheidungsberatung über räumliche Entfernungen (oder zeitlichen Versatz) hinweg erbracht werden. Hierbei werden Informations- und Kommunikationstechnologien eingesetzt.

↑ zurück nach oben

Telekommunikationsdaten

Telekommunikationsdaten beschreibt alle Daten, die mit Telekommunikation zu tun haben. Das können zum Beispiel Verbindungsdaten aus dem Internet sein. Meistens sind hiermit aber die Daten gemeint, die beim Telefonieren anfallen. Dies umfasst gewöhnlich die Nummer des Anrufers, die Nummer des Angerufenen, sowie das Datum, die Uhrzeit und die Länge eines Gesprächs. Bei einem Handy kann auch noch der ungefähre Standort ermittelt werden, je nach Basisstation, über die man sich in das Mobilfunknetz einwählt.

↑ zurück nach oben

Telekommunikationsgeheimnis

Das Fernmeldegeheimnis wird durch Art. 10 GG geschützt. Dabei handelt es sich um einen Spezialfall des Postgeheimnisses. Gegenstand des Fernmeldegeheimnisses sind Inhalte und Umstände des individuellen Kommunikationsvorgangs über das Medium drahtloser oder drahtgebundener elektromagnetischer Wellen. Neben dem Telefon- und Funkverkehr wird auch die Kommunikation über Mobilfunk und Internet geschützt. Geschützt wird der gesamte laufende Kommunikationsvorgang, von der Absendung der Nachricht bis zu ihrem Empfang. Nicht geschützt werden also die Träger von Informationen nach dem Abschluss des Kommunikationsvorgangs.

↑ zurück nach oben

TFTP

Das Programm zum Aufspüren der Finanzierung des Terrorismus (ebenfalls TFTP genannt) ist ein Programm der US-Regierung, das darauf zielt, Zugang zur SWIFT-Datenbank zu bekommen. Dieses Programm wurde von der New York Times im Juni 2006 enthüllt. Mit Sitz in Belgien, legt SWIFT (Society for Worldwide Interbank Financial Telecommunication) gemeinsame Standards für die finanziellen Transaktionen weltweit fest. Das Programm zum Aufspüren der Finanzierung des Terrorismus wird als Werkzeug im "globalen Krieg gegen den Terror" angesehen.

↑ zurück nach oben

Der Thüringer Landesbeauftragte für den Datenschutz (TLFD)

Der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit beschäftigt sich mit der Entgegennahme und Bearbeitung von Bürgereingaben zu datenschutzrechtlichen Verstößen durch Landesbehörden und Unternehmen in Thüringen. Außerdem ist seine Aufgabe die Beratung der Behörden bei der Einhaltung und Verbesserung des Datenschutzes sowie Beratung der Bürger bei der Durchsetzung ihrer Datenschutzrechte und die Berichterstattung gegenüber dem Landtag und der Landesregierung über seine Aktivitäten (jährlich) im öffentlichen und nicht-öffentlichen Bereich.

↑ zurück nach oben

Transparenz

Der Grundsatz der Transparenz stellt eine Ausprägung der Verarbeitung nach Treu und Glauben dar. Demnach ist der Betroffene bei der Verarbeitung seiner personenbezogenen Daten auf faire Art und Weise zu behandeln.

Eine Datenverarbeitung gilt in Bezug auf Transparenz als fair, wenn der Betroffene durch Aufklärung über den Umfang und die Ausmaße der Verarbeitung mehr Entscheidungsmacht über seine Daten erhält und seine Rechte besser ausüben kann.

↑ zurück nach oben

Trojaner

Ein Trojaner ist eine Malware, die sich oftmals als legitime Software ausgibt. Trojaner werden von Cyberdieben und Hackern eingesetzt, um Zugang zum System des Benutzers zu erlangen. Benutzer werden für gewöhnlich über eine Social-Engineering-Masche dazu bewegt, den Trojaner auf ihr System herunterzuladen und auszuführen. Einmal aktiviert, können die Cyberkriminellen Sie mithilfe des Trojaners ausspionieren, vertrauliche Daten stehlen und Backdoor-Zugang zu Ihrem System erhalten.

↑ zurück nach oben

Übereinkommen Nr. 108 (Europarat)

Das Übereinkommen Nr. 108 bezeichnet das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, das der Europarat im Jahr 1981 annahm.

Dieses Übereinkommen ist das erste rechtsverbindliche internationale Instrument, das im Bereich des Datenschutzes angenommen wurde.

In dem Übereinkommen werden Mindestanforderungen festgelegt, die auf den Schutz natürlicher Personen gegen den Missbrauch ausgerichtet sind, der möglicherweise mit der Erhebung und Verarbeitung personenbezogener Daten einhergeht. Außerdem soll die grenzüberschreitende Übermittlung personenbezogener Daten geregelt werden. Insgesamt 40 europäische Staaten haben das Übereinkommen bisher ratifiziert.

↑ zurück nach oben

Übermittlung

Die Datenübermittlung (oder Datenübertragung) ist der elektronische Transport von Daten (= Datentransfer) vom Erfassungsort zum Speicherort, sowie vom Speicherort zum Empfänger. Bei diesen Orten handelt es sich entweder um ein und denselben Computer oder um zwei verschiedene Geräte. Gemäß Kapitel V der EU-DSGV und der Verordnung (EG) Nr. 2018/1725 unterliegt die Übermittlung an Empfänger in Ländern außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) besonderen Schutzmaßnahmen.

↑ zurück nach oben

Unabhängiges Datenschutzzentrum Saarland

Die Landesbeauftragte für Datenschutz überwacht die Einhaltung der datenschutzrechtlichen Vorschriften sowohl bei den öffentlichen Stellen des Saarlandes als auch bei den nicht öffentlichen Stellen, die ihren Sitz im Saarland haben, und sichert hierdurch das Grundrecht der Bürger auf informationelle Selbstbestimmung. Darüber hinaus nimmt sie die Aufgabe der Landesbeauftragten für Informationsfreiheit des Saarlandes wahr.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit berät die öffentlichen und nicht öffentlichen Stellen und gibt Empfehlungen zur Verbesserung des Datenschutzes und zu Fragen zur Informationsfreiheit.

↑ zurück nach oben

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein beschäftigt sich mit der Einhaltung des Datenschutzrechts in Schleswig-Holstein. Hierzu gehört das Nachgehen von Hinweisen auf Datenschutzverstöße, die Kontrolle der Datenverarbeitung in schleswig-holsteinischen Behörden und Unternehmen, die Beratung von Behörden Wirtschaftsunternehmen und Privatpersonen in allen Fragen des Datenschutzes, z.B. bei Auslegungsfragen zum Datenschutzrecht oder in der Gesetzgebung.

↑ zurück nach oben

Unternehmen

Unternehmen eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.

↑ zurück nach oben

Unternehmensgruppe

Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

↑ zurück nach oben

UWG

Das Gesetz zum unlauteren Wettbewerb (UWG) ist im deutschen Recht die gesetzliche Grundlage der Bekämpfung unlauteren Wettbewerbs Es dient dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen. Es schützt zugleich das Interesse der Allgemeinheit an einem unverfälschten Wettbewerb.

↑ zurück nach oben

Verantwortlicher

Der Verantwortliche im Sinne der Verordnung (EU) 2018/1725 sowie der Datenschutz-Grundverordnung (DSGVO) ist die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Die eigentliche Verarbeitung kann an eine andere Stelle, die als Auftragsverarbeiter bezeichnet wird, übertragen werden. Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung, den Schutz der Daten und die Achtung der Rechte der betroffenen Personen zuständig. Der Verantwortliche ist auch die Stelle, an die sich betroffene Personen zur Ausübung ihrer Rechte wenden können.

↑ zurück nach oben

Verarbeitung

Verarbeitung meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

↑ zurück nach oben

Verhaltensregeln

Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.

↑ zurück nach oben

Verbindliche interne Datenschutzvorschriften

Binding Corporate Rules (in der Datenschutz-Grundverordnung als verbindliche interne Datenschutzvorschriften bezeichnet), häufig auch BCR abgekürzt, sind ein von der Europäischen Kommission eingesetzten Artikel-29-Datenschutzgruppe entwickelter Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogene Daten.

↑ zurück nach oben

Verbot mit Erlaubnisvorbehalt

Das Verbot mit Erlaubnisvorbehalt beschreibt ein grundsätzliches Prinzip im Datenschutzrecht, nachdem eine Verarbeitung von personenbezogenen Daten erstmal verboten ist, sofern keine Erlaubnistatbestände erfüllt sind. Im Fall der DSGVO sind diese in Art. 6 Abs. 1 DSGVO geregelt.

↑ zurück nach oben

Verkehrsdaten

Verkehrsdaten sind Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Diese sind nach § 96 TKG sind z.B.

  • E-Mail-Adressen (u.U. auch Bestandsdaten),
  • Datum und Uhrzeit des Zugriffes bzw. der Zustellung
  • Routing-Informationen und Angaben über IP-Adressen und MAC-Adressen
  • Nummer oder Kennung beteiligter Telefon-Anschlüsse
  • bei mobilen Anschlüssen auch die Standortdaten (Funkzellen)

Nicht zu den Verkehrsdaten zählen Angaben mit Bezug zum Inhalt, z.B. Bezeichnungen von Datei-Anhängen, der Betreff einer E-Mail oder der Inhalt einer SMS.

↑ zurück nach oben

Verletzung des Schutzes personenbezogener Daten

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevanten Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss das Unternehmen/die Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten.

↑ zurück nach oben

Vernetztes Fahren

Das vernetzte Fahren bezeichnet die Kommunikation zwischen Fahrzeugen (auch Fahrzeug-zu-Fahrzeug-Kommunikation) sowie zwischen Fahrzeugen und Infrastrukturen (auch Fahrzeug-zu-Infrastruktur-Kommunikation). Beim vernetzten Fahren werden verkehrsbezogene Informationen über Funktechnologien ausgetauscht. Dies sind beispielsweise aufbereitete Informationen zu Verkehrsfluss, Unfällen, Baustellen oder Wetterlagen. In der Regel erfassen Sensoren die notwendigen Informationen. Diese werden computergestützt aufbereitet und stehen dann zur Übermittlung an Fahrzeuge zur Verfügung.

↑ zurück nach oben

Vertraulichkeit

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

↑ zurück nach oben

Vertreter

Vertreter ist eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.

↑ zurück nach oben

Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.

↑ zurück nach oben

Videoüberwachung

Videoüberwachung ist die ständige oder systematische Überwachung eines bestimmten Bereichs, einer Veranstaltung, Aktivität oder Person mit Hilfe eines CCTV-Systems oder eines anderen elektronischen Geräts oder Systems für eine visuelle Überwachung.

↑ zurück nach oben

Vier-Augen-Prinzip

Das Vier-Augen-Prinzip oder die Vier-Augen-Kontrolle kann in unterschiedlichsten Bereichen als Absicherung zum Einsatz kommen. Es besagt, dass zwei Personen eine bestimmte, kritische Tätigkeit oder Entscheidung bestätigen müssen.

↑ zurück nach oben

Visa-Informationssystem (VIS)

Das Visa-Informationssystem (VIS) ist ein großes IT-System, das Informationen, einschließlich Fotos und Fingerabdruckdaten, über Visumantragsteller enthalten wird. Der Europäische Datenschutzbeauftragte hat im Jahr 2005 eine Stellungnahme zum Aufbau des VIS und im Jahr 2006 eine weitere Stellungnahme zum Zugang von Strafverfolgungsbehörden zum VIS (PDF) abgegeben. Die Informationen werden von den Konsulaten in den verschiedenen Mitgliedstaaten zusammengetragen und dann an eine zentrale Datenbank, VIS, übermittelt; dort sind sie für alle Mitgliedstaaten zugänglich. Die Einführung des VIS sollte grundsätzlich im Jahr 2009 beginnen.

↑ zurück nach oben

Volkszählungsurteil

Mit dem sogenannten Volkszählungsurteil setzte das BVerfG die geplante Volkszählung zunächst aus und kam dann in seiner endgültigen Entscheidung zu folgendem Ergebnis:

  • Die Vorschriften des VZG, die sich mit dem Inhalt und der Durchführung der Befragung befassten, verstießen nicht gegen Vorschriften des Grundgesetzes.
  • Teile der Vorschrift, die die Verwendung der gewonnenen Informationen (Daten) regelten, standen nicht im Einklang mit der Verfassung. Die Voraussetzungen, unter denen die Daten an bestimmte andere Stellen weitergegeben werden durften, waren nicht mit dem Grundgesetz zu vereinbaren.

In der Entscheidung spricht das BVerfG erstmals vom "Grundrecht auf informationelle Selbstbestimmung". Zunächst stellt es allgemeine Voraussetzungen für einen Umgang mit persönlichen Daten auf, der mit diesem Grundrecht vereinbar ist. Danach geht es auf Besonderheiten im Bereich von statistischen Erhebungen ein, um die es ja in diesem Fall ging und misst daran die fragliche Regelung.

↑ zurück nach oben

Vorherige Konsultation

Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

↑ zurück nach oben

Vorratsdatenspeicherung

Vorratsdatenspeicherung bezeichnet alle Verpflichtungen der für die Verarbeitung Verantwortlichen, personenbezogene Daten für bestimmte Zwecke aufzubewahren.

Die Richtlinie zur Vorratsdatenspeicherung (Richtlinie 2006/24/EG) enthält eine Verpflichtung für Anbieter elektronischer Kommunikationsdienste, Verkehrs- und Standortdaten für die Kommunikation per Telefon, E-Mail usw. auf Vorrat zu speichern. Diese Vorratsdatenspeicherung erfolgt zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten.

↑ zurück nach oben

Weitere Auftragsverarbeiter

Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt.

↑ zurück nach oben

Widerrufsrecht

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

↑ zurück nach oben

Widerspruchsrecht

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 5 Abs. 1 lit. a DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

↑ zurück nach oben

Zertifizierung

Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.

Eine Zertifizierung nach Art. 42 DSGVO wird durch die Zertifizierungsstellen nach Art. 43 DSGVO oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Art. 58 Abs. 3 DSGVO oder – gemäß Art. 63 DSGVO – durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.

↑ zurück nach oben

Zertifizierungsstellen

Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Art. 57 und 58 DSGVO erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde – damit diese erforderlichenfalls von ihren Befugnissen gemäß Art. 58 Abs. 2 lit. h DSGVO Gebrauch machen kann – die Zertifizierung.

↑ zurück nach oben

Zweck/e der Verarbeitung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“).

↑ zurück nach oben

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentisierung, häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten.

↑ zurück nach oben