Glossar
Aufsichtsbehörde |
Jeder EU-Mitgliedsstaat muss über eine Datenschutz-Aufsichtsbehörde verfügen, welche die Anwendung der Datenschutz-Grundverordnung und anderer datenschutzrechtlicher Rechtsvorschriften überwacht. Im Freistaat Sachsen nimmt die Sächsische Datenschutzbeauftragte diese Aufgabe wahr. |
Auftragsverarbeiter |
Begriff nach Artikel 4 Nummer 8 Datenschutz-Grundverordnung. Eine natürliche oder juristische Person, Behörde, Agentur oder andere Körperschaft, die im Auftrag des Verantwortlichen Daten verarbeitet. |
betroffene Person |
Begriff nach Artikel 4 Nummer 1 Datenschutz-Grundverordnung, siehe »personenbezogene Daten« |
Dateisystem |
Begriff nach Artikel 4 Nummer 6 Datenschutz-Grundverordnung: »jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird«. |
Daten von Kindern |
Daten von Kindern unter 16 Jahren dürfen nur verarbeitet werden, wenn das Einverständnis eines Erziehungsberechtigten vorliegt (Artikel 8 Absatz 1 der Datenschutz-Grundverordnung). Mitgliedstaaten können nach Artikel 8 Absatz 1 Datenschutz-Grundverordnung die Altersgrenze für die Einwilligung eines Kindes national innerhalb des Korridors von 13 bis 16 Jahren regeln und so dem Kind direkt Dienste der Informationsgesellschaft – dazu gehören auch E-Government-Dienstleistungen – anbieten. |
Datenschutzbeauftragter |
Der betriebliche bzw. behördliche Datenschutzbeauftragte soll als interne Kontrollinstanz die Verantwortlichen bzw. Auftragsverarbeiter bei der Einhaltung des Datenschutzrechts unterstützen. Seine Kernaufgabe liegt darin, die Einhaltung der Vorgaben der Datenschutz-Grundverordnung zu überwachen und den Aufsichtsbehörden als Ansprechpartner zu dienen. Betroffene Personen können sich mit Fragen zur Verarbeitung ihrer Daten sowie zu den ihnen durch eingeräumten Rechten direkt an den Datenschutzbeauftragten wenden. Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte bei allen mit dem Schutz persönlicher Daten zusammenhängenden Problemen korrekt und zeitnah hinzugezogen wird. Betroffene Personen können sich mit Fragen zur Verarbeitung ihrer Daten sowie zu den ihnen durch eingeräumten Rechten direkt an den Datenschutzbeauftragten wenden. Die Kernaufgabe des Datenschutzbeauftragten liegt darin, die Einhaltung der Vorgaben der Datenschutz-Grundverordnung zu überwachen und den Aufsichtsbehörden als Ansprechpartner zu dienen. |
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen («privacy by design», «privacy by default») |
Diese Grundsätze verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen, in dem sie geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Artikel 25 Absatz 1 und 2 Datenschutz-Grundverordnung). |
Datenschutz- Folgenabschätzung |
Die Datenschutz-Grundverordnung sieht vor, dass der Verantwortliche bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung durchführen muss, um die Risiken für die betroffenen Personen zu minimieren (Artikel 35 Absatz 1 Datenschutz-Grundverordnung). |
Datenschutzverletzung |
Ein Sicherheitsproblem, das versehentlich oder gesetzwidrig zur Zerstörung, zum Verlust, zur Änderung oder zur nicht autorisierten Offenlegung von gespeicherten, übermittelten oder anderweitig verarbeiteten persönlichen Daten führt oder den Zugriff auf sie ermöglicht. |
Datenübermittlung in ein Drittland |
Eine Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation ist nur unter vergleichsweise engen, bestimmten Voraussetzungen zulässig, zum Beispiel wenn die EU-Kommission einen sogenannten Angemessenheitsbeschluss getroffen hat, bestimmte Standarddatenschutzklauseln verwendet werden oder — in Konzernen — verbindliche interne Datenschutzklauseln verwendet werden. Zusätzlich sind in bestimmten Fällen zusätzliche Maßnahmen zur Sicherheit der Daten erforderlich. |
Dritter |
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (Artikel 4 Nummer 10 Datenschutz-Grundverordnung) |
Einschränkung der Verarbeitung |
Begriff nach Artikel 4 Nummer 3 Datenschutz-Grundverordnung, wonach gespeicherte personenbezogene Daten markiert werden müssen, um ihre zukünftige Verarbeitung einzuschränken. |
Einwilligung |
Eine von der betroffenen Person freiwillig gegebene, spezifische, eindeutige und auf entsprechenden Informationen beruhende Erklärung – schriftlich, mündlich oder durch entsprechendes Verhalten –, dass die Person der Verarbeitung ihrer personenbezogenen Daten zustimmt (Artikel 4 Nummer 11 Datenschutz-Grundverordnung). |
Empfänger |
Ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht (Artikel 4 Nummer 9 Datenschutz-Grundverordnung). Damit wird deutlich, dass insbesondere der Auftragsverarbeiter – und nicht (nur) der ihn beauftragende Verantwortliche – auch Empfänger von Daten ist. |
Minimierung (Datenminimierung) |
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Artikel 5 Absatz 1 Buchstabe c Datenschutz-Grundverordnung). |
Öffentliche Stelle |
Öffentliche Stellen sind zum einen die Behörden und sonstigen öffentlichen Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise, aber auch Universitäten, Kammern, Anstalten, Stiftungen und sonstige in öffentlich-rechtlicher Form betriebene oder von solchen beherrschte Stellen. |
personenbezogene Daten |
Alle Daten, die sich auf eine bekannte oder identifizierbare natürliche Person (betroffene Person) beziehen. Unter einer identifizierbaren natürlichen Person versteht man einen Menschen, der direkt oder indirekt identifiziert werden kann. Das gilt vor allem mit Blick auf Identifikationsmerkmale wie Namen, Identifikationsnummern, Standortdaten und Online-IDs sowie einen oder mehrere Faktoren, die sich auf die physische, psychologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person beziehen (Artikel 4 Nummer 1 Datenschutz-Grundverordnung). Die Datenschutz-Grundverordnung gilt jedoch nicht für die Daten Verstorbener (Erwägungsgrund 27). |
Pseudonymisierung |
Ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr ohne zusätzliche, gesondert aufbewahrte und gegen Zugriff gesicherte Informationen einer bestimmten oder bestimmbaren Person zugeordnet werden können (Artikel 4 Nummer 5 Datenschutz-Grundverordnung). |
Recht auf Auskunft |
Die betroffene Person hat das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, ob ihre persönlichen Daten verarbeitet werden und, so das der Fall ist, Zugriff auf diese sowie weitere Informationen nach Artikel 15 Absatz 1 Datenschutz-Grundverordnung zu erhalten. |
Recht auf Berichtigung |
Die betroffene Person hat das Recht, vom Verantwortlichen die Berichtigung ihrer unrichtigen personenbezogenen Daten zu verlangen (Artikel 16 Datenschutz-Grundverordnung). |
Recht auf Löschung / Recht auf Vergessenwerden |
Recht nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung. Hat ein Verantwortlicher, der nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so muss er die anderen Verantwortlichen ermitteln und informieren. |
Sensitive Daten oder besondere Datenkategorien |
Die Verarbeitung persönlicher Daten, die Aufschluss über ethnische Herkunft, politische Ansichten, religiösen oder philosophischen Glauben oder die Mitgliedschaft in Gewerkschaften geben, bzw. die Verarbeitung genetischer und biometrischer Daten sowie von Daten, die Aufschluss über die Gesundheit, das Sexualleben und die sexuelle Orientierung der Person geben, ist grundsätzlich untersagt. Ausnahmen sind insbesondere zulässig, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist. Ausnahmen können außerdem durch Rechtsvorschriften zum Beispiel im Gesundheitswesen, zu Archivzwecken oder aufgrund erheblicher öffentlicher Interessen zugelassen sein (Artikel 9 Datenschutz-Grundverordnung). |
Verantwortlicher |
Begriff nach Artikel 4 Nummer 7 Datenschutz-Grundverordnung: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. |
Verarbeiten |
Begriff nach Artikel 4 Nummer 2 Datenschutz-Grundverordnung, der jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung als Oberbegriff beschreibt. |
Verarbeitungstätigkeit |
Unter diesem Begriff ist die Gesamtheit an Verarbeitungen zu verstehen, mit deren Hilfe eine Zweckbestimmung oder ein Bündel zusammengehöriger Zweckbestimmungen realisiert wird. Es handelt sich also um eine Vielzahl von einzelnen Verarbeitungsschritten, die für eine oder mehrere zusammengehörende Zweckbestimmungen zusammengefasst werden, zum Beispiel als ein Verfahren. Eine Verarbeitungstätigkeit kann daher aus einer Vielzahl an Programmen und Dateien bestehen. Die Datenschutz-Grundverordnung definiert diesen Begriff nicht. |
Verordnung |
Eine Verordnung der Europäischen Union ist – anders als eine Richtlinie der Europäischen Union – unmittelbar in allen Mitgliedstaaten anwendbar. Die Datenschutz-Grundverordnung ist eine solche Verordnung. |
Widerruf der Einwilligung |
Die betroffene Person hat das Recht, ihre einmal erteilte Einwilligung jederzeit zu widerrufen. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Datenverarbeitungen. Vor Erteilung der Einwilligung muss die betroffene Person unter anderem über ihr Recht zum Widerruf informiert werden. Der Widerruf muss genauso einfach erfolgen können wie die Erteilung der Einwilligung (Artikel 7 Absatz 3 Datenschutz-Grundverordnung). |
Zweckbindung |
Personenbezogene Daten dürfen grundsätzlich nur zu einem bestimmten, offen dargelegten und rechtmäßigen Zweck erhoben und grundsätzlich nur zu diesem Zweck weiterverarbeitet werden. |