INFORMATIONEN

DSGVO-Glossar: Neun Hauptbegriffe

Die Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 in Kraft. Lassen Sie uns die neun Grundprinzipien und ihr Zusammenspiel erläutern, damit Sie besser verstehen, worum es bei dieser neuen europaweiten Datenschutzregelung geht.

Personenbezogene Daten: Personenbezogene Daten sind alle Daten, die sich auf Einzelpersonen beziehen. Selbst wenn die Daten nicht persönlich zu sein scheinen, sollten Sie noch einmal darüber nachdenken. Daten, die potenziell Informationen über eine natürliche Person preisgeben, gelten nach der DSGVO oft als personenbezogene Daten. Dies gilt nicht nur für offensichtliche Daten wie Titel, Adressen und Porträtfotos, sondern auch für persönliche E-Mail-Adressen und IP-Adressen ohne Namen. Seien Sie vorsichtig und betrachten Sie alle Details als personenbezogen, es sei denn, sie sind es ganz offensichtlich nicht.

Verarbeitung: Man nennt es Verarbeitung, wenn man etwas mit personenbezogenen Daten macht, einschließlich ihrer Verwendung zur gezielten Ansprache von Personen oder ihrer bloßen Speicherung. Das Sammeln von Daten für eine „spätere Verwendung“ wird als Verarbeitung bezeichnet und unterliegt daher der Datenschutz-Grundverordnung. Ob in automatisierten Systemen oder nur auf Papier (in einem Dateisystem), es spielt keine Rolle, ob Sie dies mit personenbezogenen Daten tun. Sie sind von den Regeln der DSGVO nur ausgenommen, wenn Sie Daten in Form eines Haushalts verarbeiten oder wenn Sie in bestimmten Abteilungen sind, wie z. B..

Zweck: Die Erhebung personenbezogener Daten muss einen bestimmten Zweck erfüllen. Auch hier gilt, dass eine zufällige Speicherung von personenbezogenen Daten, die Sie erhalten, nicht zulässig ist. Die Verarbeitung muss einem bestimmten Zweck dienen (z. B. der Verwaltung von Abonnements oder der Zahlung von Gehältern). Ein Grund wie „diese Daten zu speichern, weil sie irgendwann in der Zukunft für unser Unternehmen nützlich sein könnten“ würde nicht als rechtmäßiger Verarbeitungszweck anerkannt.

Betroffene Person: Die betroffene Person ist die natürliche Person, auf die sich die personenbezogenen Daten beziehen. Die betroffene Person hat alle Arten von Rechten, die sie gegenüber dem für die Verarbeitung Verantwortlichen ausüben kann, einschließlich des Rechts auf Information über die Verarbeitung in knapper und verständlicher Form, des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung. Außerdem besteht das Recht auf Datenübertragbarkeit, das es der betroffenen Person ermöglicht, ihre Daten von einer Stelle zu einer anderen zu übertragen.

Verantwortlicher: Eine Stelle, die den Zweck und die Mittel dieses Vorgangs bestimmt, ist der für die Verarbeitung Verantwortliche. Indem Sie der für die Verarbeitung Verantwortliche sind, werden alle Arten von Verantwortlichkeiten gegenüber der Aufsichtsbehörde und der betroffenen Person (letztere vertreten die oben genannten Rechte der betroffenen Person) automatisch an Sie delegiert. Sie sind nicht verantwortlich für das, was ein Auftragsverarbeiter mit personenbezogenen Daten macht, außer dass Sie für das verantwortlich sind, was Ihr Unternehmen tut.

Auftragsverarbeiter: Ein Auftragsverarbeiter ist eine Person außerhalb des für die Verarbeitung Verantwortlichen, die im Auftrag des für die Verarbeitung Verantwortlichen personenbezogene Daten verarbeitet. Der für die Verarbeitung Verantwortliche sollte ausreichende Vorkehrungen treffen, damit in der Kette zwischen dem für die Verarbeitung Verantwortlichen und den (Unter-)Auftragsverarbeitern nichts mit personenbezogenen Daten schief geht. Da der für die Verarbeitung Verantwortliche immer noch haftbar ist, kann ein für die Verarbeitung Verantwortlicher niemals nur auf einen Auftragsverarbeiter verweisen.

Rechtmäßige Verarbeitung: In Artikel 6 der Datenschutz-Grundverordnung finden sich „sechs“ Verarbeitungsgründe, die zusammen mit einem hinreichend bestimmten Zweck und anderen Garantien die Verarbeitung rechtmäßig machen können. Zu diesen Faktoren gehören die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags und die Erfüllung eines öffentlichen Auftrags. Beachten Sie, dass die Verarbeitung solcher Daten im Falle der Verwendung besonderer Kategorien personenbezogener Daten verboten ist, es sei denn, es gelten die Bedingungen für eine Ausnahme von Artikel 9 der Datenschutz-Grundverordnung.

Besondere Kategorien personenbezogener Daten: Hierbei handelt es sich um eine restriktive Liste von Kategorien, die in Artikel 9 der Datenschutz-Grundverordnung aufgeführt sind, darunter Angaben zur rassischen Herkunft, zu politischen Überzeugungen und Gesundheitsdaten. Die Ausnahmeregelungen gemäß Artikel 9 der DSGVO können Anwendung finden, aber Vorsicht: Die Verarbeitung besonderer Kategorien personenbezogener Daten kann die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen, da diese Daten ein ernsthaftes Risiko für die betroffene Person darstellen sollen, wenn zum Beispiel ein Verstoß vorliegt.

Aufsichtsbehörde: Jeder EU-Mitgliedstaat hat eine (oder oft mehrere) Aufsichtsbehörde, die berechtigt ist, zu überprüfen, ob Organisationen die DSGVO-Vorschriften einhalten. Obwohl es einen Europäischen Datenschutzausschuss gibt, gibt es keinen einzigen EU-Aufsichtsbeamten, der eine Rolle bei der Beilegung von Streitigkeiten zwischen verschiedenen Aufsichtsbehörden spielt. Die Aufsichtsbehörde kann verlangen, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Arten von Informationen über seine Datenverarbeitungstätigkeiten vorlegt.

Wie hängen sie mit diesen neun Konzepten zusammen?

Nun, in einem bestimmten Verarbeitungsvorgang, der einen hinreichend spezifischen Zweck in Bezug auf die betroffene Person, deren Daten verarbeitet werden, verfolgt, werden personenbezogene Informationen verwendet. Für diesen Vorgang ist der für die Verarbeitung Verantwortliche zuständig und wird einen oder mehrere Auftragsverarbeiter damit beauftragen.

Die Verarbeitung ist jedoch nur dann rechtmäßig, wenn einer der sechs Verarbeitungsgründe zutrifft, oder wenn im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten einer der Ausnahmegründe für die Verarbeitung dieser Daten zutrifft. Letztendlich muss die Gültigkeit des Produktionsvorgangs von der Aufsichtsbehörde (oder dem zuständigen Gericht) festgestellt werden.

Sicherheit im Online-Banking

Viele Beschäftigte im Finanzsektor sind schon seit langem mit der Digitalisierung konfrontiert. Da sich immer mehr Bankkunden bei ihren Finanzgeschäften für digitale Dienste entscheiden, ist

mehr »