Zum Nachlesen, Weitergeben und Archivieren
Infos rund um den Datenschutz

Anonymisierung ist ein Vorgang, bei dem personenbezogene Daten wie der Name, die Wohnadresse, die Telefonnummer, das Alter oder der Beruf aus einem Datensatz (z. B. Kundendaten) entfernt oder maskiert werden, damit die betreffende Person darüber nicht mehr identifiziert werden kann.

Anonymisierung wird häufig verwendet, um personenbezogene Daten für statistische Zwecke verarbeiten zu können, ohne die Privatsphäre und den Datenschutz zu verletzen.

Eine Anonymisierung kann in der Regel nicht rückgängig gemacht werden und unterscheidet sich darin von der Pseudonymisierung.

Laut Steuer- und Handelsgesetz müssen Unternehmen bestimmte Rechnungen und Vertragsunterlagen aufbewahren. Die Aufbewahrungsfristen liegen zwischen 2 und 10 Jahren. Damit wird sichergestellt, dass Geschäftsvorgänge auch zu einem späteren Zeitpunkt geprüft werden können. Die Aufbewahrungspflicht umfasst auch personenbezogene Daten, die selbst dann nicht gelöscht werden dürfen, wenn Sie dies verlangen. Ist die Aufbewahrungsfrist abgelaufen, müssen alle Unterlagen und Daten umgehend vernichtet bzw. gelöscht werden.

Eine Aufsichtsbehörde für Datenschutz (Datenschutzbehörde) ist eine unabhängige Kontrollinstanz, die für die Einhaltung und Durchsetzung der Datenschutzgesetze in einem bestimmten Land oder einer bestimmten Region sorgt. Sie überprüft Datenschutzverletzungen, bearbeitet Beschwerden, überwacht Datenverarbeitungsvorgänge und verhängt Bußgelder oder andere Sanktionen bei Verstößen gegen Datenschutzbestimmungen.

In der EU ist die Datenschutzbehörde der jeweiligen Mitgliedsstaaten für die Überwachung und Durchsetzung der Datenschutzgrundverordnung (DSGVO) verantwortlich. In Deutschland übernehmen die Aufgabe der Bundesdatenschutzbeauftragte und die Landesdatenschutzbeauftragten, da es noch keine einheitliche datenschutzrechtliche Überwachungsbehörde gibt.

Siehe Auftragsverarbeiter.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter handelt dabei nur gemäß den Weisungen des Verantwortlichen und darf die Daten nicht für eigene Zwecke nutzen oder an Dritte weitergeben, es sei denn, dies ist im Auftrag ausdrücklich vereinbart. Der Verantwortliche bleibt jedoch für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich und muss sicherstellen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um die Sicherheit der Daten zu gewährleisten. Die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter wird in einem Vertrag geregelt, der bestimmte datenschutzrechtliche Anforderungen erfüllen muss.

Siehe Auftragsverarbeiter.

Das Auskunftsrecht ist in Deutschland ein wichtiger Grundsatz des Datenschutzrechts. Es erlaubt gemäß der Datenschutzgrundverordnung (DSGVO) jeder Person, von einem Unternehmen oder einer sonstigen Einrichtung Auskunft darüber zu verlangen, ob und wenn ja welche personenbezogenen Daten über sie gespeichert, verarbeitet oder weitergegeben werden und wozu.

Es gibt den betroffenen Personen zudem die Möglichkeit, unrichtige oder unvollständige Daten korrigieren oder löschen zu lassen.

Die EU-Datenschutzgrundverordnung (DSGVO) definiert den Begriff „berechtigtes Interesse“ in Art. 6 Abs. 1 lit. dahingehend, dass die Verarbeitung personenbezogener Daten zulässig sein kann, wenn beispielsweise wirtschaftliche oder rechtliche Interessen (berechtigte Interessen) bestehen, die geschützt oder gefördert werden müssen. Selbst dann ist die Verarbeitung allerdings nur möglich, wenn nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Im Zweifel sollte hier deshalb immer ein Experte gefragt oder hinzugezogen werden.

Hierbei geht es um Datenschutz im Personalwesen. Die DSGVO regelt den Umgang von Unetrnehmen mit Personaldaten sehr streng. Über die Einhaltung kann zum Beispiel der Betriebsrat wachen. Dieser kann die Beschäftigten außerdem vor Überwachung und Kontrolle seitens des Arbeitgebers schützen. Bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, hat der Betriebsrat ein Mitbestimmungsrecht. Häufig wird in solchen Fällen zwischen Betriebsrat und Arbeitgeber eine Betriebsvereinbarung abgeschlossen, die Regeln und Rahmenbedingungen der Verwendung des Systems festlegt.

Als „Betroffenenrechte“ bezeichnet man die in der DSGVO festgelegten Rechte von Menschen, deren personenbezogene Daten gespeichert wurden. In den Artikeln 12 bis 23 der DSGVO sind die Rahmenbedingungen sowie die einzelnen Rechte festgelegt. Zu ihnen gehören das Auskunftsrecht, die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Weitere Betroffenenrechte sind das Widerspruchsrecht und das Recht, einer automatisierten Entscheidung rechtlich nicht unterworfen zu werden, wenn man dem nicht ausdrücklich zugestimmt hat.

Das Bundesdatenschutzgesetz, kurz BDSG, ist ein deutsches Gesetz, das den Schutz personenbezogener Daten regelt. Es setzt die EU-Datenschutzgrundverordnung (DSGVO) in deutsches Recht um und ergänzt sie um spezifischere Regelungen für bestimmte Bereiche. Dazu gehören beispielsweise der Beschäftigtendatenschutz und der Kirchendatenschutz.

Das BDSG enthält Bestimmungen darüber, wie personenbezogene Daten erhoben, gespeichert, verarbeitet und genutzt werden dürfen. Es definiert zudem die Rechte betroffener Personen (z. B. das Recht auf Auskunft oder Löschung von Daten) – und legt fest, welche organisatorischen und technischen Maßnahmen von Unternehmen ergriffen werden müssen, um die Sicherheit der Daten zu gewährleisten und Datenschutzverletzungen zu verhindern.

Der Certified Data Privacy Solutions Engineer™ (CDPSE™), auf Deutsch zertifizierter Ingenieur für Datenschutzlösungen, konzentriert sich auf die Validierung der technischen Fähigkeiten und Kenntnisse, die zur Bewertung, Entwicklung und Umsetzung umfassender Datenschutzmaßnahmen erforderlich sind. Er hilft dabei, Lücken im technischen Datenschutz zu schließen.

Der Certified Information Systems Auditor™ (CISA™) ist ein qualifizierter Experte für die Prüfung und Überwachung von IT-Prozessen und IT-Systemen, wozu auch das IT-Management und die IT-Strategie gehören. Die Zertifizierung ist weltweit anerkannt. Dementsprechend erfolgt die Prüfung auch mit weltweit anerkannten Standards und Richtlinien.

Cookies sind digitale Informationen, die beim Besuch einer Webseite als Datei auf dem Computer des Benutzers gespeichert werden. Sie ermöglichen es dem Betreiber der Webseite, Sie als Nutzer wiederzuerkennen und bestimmte Einstellungen zu speichern. Beispiele für den Einsatz von Cookies sind u.a. Warenkörbe oder Spracheinstellungen. Cookies können aber auch dazu genutzt werden, um möglichst viele Informationen über Sie zu sammeln und personalisierte Werbung anzuzeigen. Es ist daher gesetzlich festgelegt, dass es möglich sein muss, alle Cookies abzulehnen, die nicht unbedingt für die Funktion einer Website notwendig sind.

Bei einer Datenpanne (auch: Datenschutzpanne oder Datenschutzvorfall) erhalten Unberechtigte Zugang zu Daten. Dadurch können z.B. Betriebsgeheimnisse und/oder personenbezogene Daten veröffentlicht, gelöscht oder unberechtigt verwendet werden. Datenpannen können weitreichende Auswirkungen für Unternehmen haben, von Rufschädigung über wirtschaftliche Nachteile bis hin zu existenziellen Problemen. Werden personenbezogenen Daten öffentlich oder werden diese Daten für illegale Zwecke genutzt, können für die betroffenen Personen große finanzielle und persönliche Schäden entstehen – bis hin zum Identitätsdiebstahl.

Datenschutz meint den rechtlichen Schutz personenbezogener Daten. Es geht darum, Informationen, die sich auf eine bestimmte Person beziehen, vertraulich, sicher und rechtmäßig zu verarbeiten und verschiedene weitere Rechte zu wahren. Dazu gehören neben dem Recht auf Privatsphäre auch das Recht auf Zugriff, Änderung und Löschung sowie das Recht, der Verarbeitung personenbezogener Daten zu widersprechen.

Geregelt wird der Datenschutz in Europa insbesondere durch die Datenschutzgrundverordnung (DSGVO) und in Deutschland zusätzlich durch das Bundesdatenschutzgesetz (BDSG).

Ein Datenschutzbeauftragter ist eine Person, die von einem Unternehmen ernannt wird, um sicherzustellen, dass der Datenschutz und die Datensicherheit gemäß den Datenschutzgesetzen und -vorschriften eingehalten werden. Der Datenschutzbeauftragte klärt das Unternehmen über datenschutzrechtliche Pflichten auf, sensibilisiert die Beschäftigten, überwacht und koordiniert die erforderlichen Maßnahmen und ist Ansprechpartner für die Beschäftigten und die Aufsichtsbehörde.

Die Ernennung eines Datenschutzbeauftragten ist in vielen Fällen gesetzlich vorgeschrieben, insbesondere für Unternehmen, die mindestens 20 Beschäftigte haben, große Mengen an personenbezogenen Daten oder sensible Daten verarbeiten wie das Gesundheitswesen oder die Marktforschung.

Siehe Aufsichtsbehörden.

Eine Datenschutzerklärung ist eine schriftliche Erklärung, die auf einer Website bereitgestellt wird. Sie informiert darüber, wie das entsprechende Unternehmen personenbezogene Daten erfasst, verarbeitet und nutzt. Darüber hinaus enthält die Datenschutzerklärung Erläuterungen dazu, wie das Unternehmen die Privatsphäre seiner Kunden und Website-Besucher schützt (technische und organisatorische Maßnahmen) und welche Rechte diese in Bezug auf ihre Daten haben (Auskunft, Berichtigung, Löschung).

Eine Datenschutzerklärung ist in Deutschland zwingend erforderlich, um die Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu erfüllen.

Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt. Es handelt sich dabei um eine Risikoanalyse einer Verarbeitung von personenbezogenen Daten. Diese Bewertung muss vom Verantwortlichen vor der Datenverarbeitung erfolgen und – besonders bei Verwendung neuer Technologien – die Art, den Umfang, den Kontext und den Zweck der Verarbeitung umfassen. Die Datenschutz-Folgenabschätzung ist ein komplexer Vorgang, der bei besonders kritischen Datenverarbeitungstätigkeiten durchgeführt werden muss, zum Beispiel bei automatisierten Prozessen oder personenbezogenen Daten besonderer Kategorien.

Die Datenschutzgrundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft getreten ist. Sie regelt den Schutz personenbezogener Daten innerhalb der Europäischen Union und gilt für alle Unternehmen, Einrichtungen und Behörden, die personenbezogene Daten von EU-Bürgern verarbeiten – auch dann, wenn sie selbst nicht aus der EU kommen.

Ziel der DSGVO ist es, den Datenschutz innerhalb der Europäischen Union zu vereinheitlichen und zu stärken sowie den Schutz personenbezogener Daten zu erhöhen.

Gemäß der europäischen Datenschutzgrundverordnung (DSGVO) ist für den Datenschutz eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verantwortlich. Da juristische Personen nicht eigenständig handeln können, obliegt die Verantwortung dem Vertretungsberechtigten des Unternehmens oder der juristischen Person, üblicherweise dem Geschäftsführer oder einem Vorstandsmitglied.

Datensicherheit bezieht sich auf die konkreten Maßnahmen und Technologien, die ergriffen werden müssen, damit Daten vor unberechtigtem Zugriff, Verlust, Diebstahl oder Beschädigung geschützt sind. Zu den wichtigsten Maßnahmen der Datensicherheit gehören die Verschlüsselung von Daten, die Zugriffskontrolle, regelmäßige Backups, eine Firewall, eine Antivirus-Software, die entsprechende Schulung der Mitarbeiter sowie klare Sicherheitsrichtlinien.

Ein zentraler Grundsatz der DSGVO ist die Datensparsamkeit, also die Beschränkung bei der Erhebung oder Verarbeitung von Daten auf ein notwendiges Minimum sowie die Löschung von Daten, sobald diese nicht mehr benötigt werden.

Datenverarbeitung ist der Prozess der Erfassung, Verarbeitung, Speicherung, Nutzung, Übermittlung und Löschung von Daten. Dieser Prozess umfasst alle Tätigkeiten, die im Zusammenhang mit der Verarbeitung von personenbezogenen oder anderen Daten stehen, unabhängig davon, ob dies manuell oder automatisch, elektronisch oder papierbasiert erfolgt. Um die Datenschutzrechte der betroffenen Personen zu gewährleisten, unterliegt die Datenverarbeitung in der Europäischen Union sowie in vielen anderen Ländern rechtlichen Regelungen.

Der Begriff „Double Opt-in“ bezeichnet die doppelte Absicherung bei Anmeldungen für digitale Dienste wie z.B. Newsletter. Nach der Eintragung der E-Mail-Adresse in einen Verteiler (Single Opt-in) wird eine Bestätigungs-E-Mail mit einem Link oder Code verschickt. Erst mit einer erneuten Bestätigung (Double Opt-in) ist der Vorgang abgeschlossen. Das Verfahren bietet den Anbietern die Sicherheit, dass nur tatsächlich Interessierte den Dienst nutzen und der Nutzer hat den Vorteil, dass er nicht versehentlich ein Abonnement abschließt.

Eine Einwilligung, genauer „Einwilligungserklärung Datenschutz“, ist eine freiwillige, informierte und ausdrückliche Einverständniserklärung einer betroffenen Person zur Verarbeitung personenbezogener Daten durch einen Verantwortlichen oder Auftragsverarbeiter. Die Einwilligungserklärung muss transparent und verständlich sein und die betroffene Person über die Art der zu verarbeitenden Daten, den Zweck und die Dauer der Verarbeitung, die Empfänger der Daten sowie das Recht auf Widerruf der Einwilligung informieren. Ohne eine solche Einwilligung ist es nicht erlaubt, personenbezogene Daten zu verarbeiten, es sei denn, es gibt eine andere Rechtsgrundlage für die Verarbeitung.

Zu den personenbezogenen Gesundheitsdaten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Gesundheitsdaten gehören in der Regel zu den personenbezogenen Daten besonderer Kategorien, bei denen besonders hohe Ansprüche an den Datenschutz gestellt werden.

Artikel 13 und 14 der Datenschutz-Grundverordnung legen fest, dass Verantwortliche Betroffene darüber aufklären müssen, welche Daten und Informationen erhoben und verarbeitet werden.

Ein ISO/IEC 27001 Lead Auditor ist ein zertifizierter Auditor, der interne Audits im Bereich Informationssicherheit planen und durchführen darf. Er ist die oberste Instanz für das Informationssicherheitsmanagementsystem (ISMS) und hat die Aufgabe, bestehende Maßnahmen und Strukturen daraufhin zu prüfen, ob sie normkonform sind. Dazu ist er dafür zuständig, bei Bedarf Verbesserungen einzuleiten.

Personenbezogene Daten sind alle Informationen, die einer bestimmten Person zugeordnet werden können, dazu gehören Name, Adresse, E-Mailadresse und Telefonnummer ebenso wie z. B. Bankdaten, KFZ-Kennzeichen oder IP-Adresse.

Die Verarbeitung von personenbezogenen Daten unterliegt den geltenden Datenschutzbestimmungen (DSGVO und BDSG), um die Privatsphäre und den Datenschutz der betroffenen Personen zu schützen.

Personenbezogene Daten besonderer Kategorien, auch sensible oder besonders schützenswerte Daten genannt, sind personenbezogene Daten, die ein besonderes Risiko für die Privatsphäre und die Grundrechte von Personen darstellen. Gemäß DSGVO gehören dazu u. a. Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, politische Meinungen, Daten zur rassischen und ethnischen Herkunft und Weitere.

Die Verarbeitung von personenbezogenen Daten besonderer Kategorien unterliegt deshalb strengeren Datenschutzbestimmungen.

Privacy by Default heißt, dass Geräte, Anwendungen und Vorgänge so konzipiert sind, dass der größtmögliche Datenschutz voreingestellt ist. Benutzer haben in der regel die Möglichkeit, diese Einstellungen nachträglich zu ändern. Ein typisches Beispiel: Um Cookies auf einer Website zuzulassen, muss der Besucher dies aktiv bestätigen. Unternimmt er nichts, werden auch keine Cookies eingesetzt.

Der Begriff bedeutet, dass eine Software oder Hardware von Anfang an so konzipiert und entwickelt wird, dass sie alle geforderten Datenschutzmaßnahmen berücksichtigt. Das technische Konzept orientiert sich in allen Bereichen an den Datenschutzanforderungen, wie z.B. die DSGVO. Privacy by Design erleichtert im Betrieb die Einhaltung des Datenschutzes.

Pseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten auf eine Weise, dass die Daten einer bestimmten Person nicht mehr zugeordnet werden können.

Im Rahmen der Pseudonymisierung werden personenbezogene Daten also von direkten Identifikationsmerkmalen getrennt, wie zum Beispiel vom Namen oder den Adressdaten. Gleichzeitig wird eine Kennzeichnung erstellt, die mit den personenbezogenen Daten verknüpft ist. Diese Kennung lässt keine Rückschlüsse auf die tatsächliche Identität der Person zu, sofern die zusätzlichen Identifikationsmerkmale getrennt aufbewahrt werden. Im Gegensatz zur Anonymisierung kann die Pseudonymisierung durch die Kennung rückgängig gemacht werden.

Siehe personenbezogene Daten besonderer Kategorien.

Einmal jährlich müssen betriebliche und externe Datenschutzbeauftragte einen sog. Tätigkeitsbericht verfassen, der auf Verlangen einer Aufsichtsbehörde vorgelegt werden muss. Diese Dokumentation umfasst alle Datenschutzmaßnahmen und -prüfungen des Vorjahres, wie beispielsweise Betroffenenanfragen oder die Kommunikation mit Aufsichtsbehörden. So lassen sich alle durchgeführten Datenschutz-Maßnahmen gegenüber der Unternehmensleitung belegen.

Zweckbindung bezieht sich auf die Verarbeitung personenbezogener Daten für einen anderen Zweck als denjenigen, für den die Daten ursprünglich erhoben wurden. Dies kann beispielsweise der Fall sein, wenn eine Organisation personenbezogene Daten für einen bestimmten Zweck gesammelt hat, aber später beschließt, die Daten für einen anderen Zweck zu verwenden.

Eine zweckändernde Weiterverarbeitung darf nur stattfinden, wenn die betroffene Person ihre Einwilligung gegeben hat oder es eine andere gesetzliche Grundlage dafür gibt. Sofern eine Organisation beabsichtigt, personenbezogene Daten abweichend von der Zweckbindung zweckändernd weiterzuverarbeiten, muss sie die betroffenen Personen darüber informieren und sicherstellen, dass sie die erforderliche Rechtsgrundlage dafür hat.

Siehe Widerrufsrecht.

Das Widerrufsrecht bzw. der Widerruf bezieht sich auf das Recht einer Person, eine zuvor gegebene Zustimmung zurückzunehmen oder einen Vertrag aufzuheben.

Im Datenschutzrecht kann eine Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten somit jederzeit schriftlich oder elektronisch widerrufen. Der Widerruf gilt für alle zukünftigen Verarbeitungen.

Siehe Weiterverarbeitung, zweckändernde.