Begriffsbestimmungen – Datenschutz
Die Datenschutzbestimmungen gelten für alle Unternehmen, die
- in irgendeiner Art und Weise personenbezogene Daten verarbeiten (Auftragsverarbeiterin/Auftragsverarbeiter) oder
- über die Zwecke und Mittel der Verarbeitung solcher Daten entscheiden (Verantwortliche/Verantwortlicher).
Zum besseren Verständnis werden nachfolgend die wichtigsten Begriffe aus der Datenschutz-Grundverordnung (DSGVO) erklärt.
Personenbezogene Daten
Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte "betroffene Person") beziehen.
Beispiele: Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Kontonummer, Kfz-Kennzeichen, Interessen und Vorlieben etc., aber auch Fotos von Personen
Die genannten Beispiele zählen zur allgemeinen Kategorie personenbezogener Daten.
Daneben gibt es auch besondere Kategorien personenbezogener Daten (sogenannte "sensible Daten"). Die DSGVO versteht darunter Daten, aus denen z.B. die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie z.B. Gesundheitsdaten oder Daten zur sexuellen Orientierung einer natürlichen Person. Diese Daten unterliegen einem besonderen Schutz.
Beispiele: Fingerabdruck, Krankengeschichte
Strafrechtsrelevante Daten dürfen nur unter sehr engen Voraussetzungen verarbeitet werden (z.B. unter behördlicher Aufsicht).
Beispiele: Strafurteil, Waffenverbot
Verarbeitung
Verarbeitung ist jeder Umgang mit personenbezogenen Daten. Dies kann sowohl mit als auch ohne Hilfe automatisierter Verfahren erfolgen. Verarbeitungsvorgänge sind z.B. das Erheben, Erfassen, Speichern, Verändern, Abfragen, Löschen oder Vernichten personenbezogener Daten.
Beispiele für die Verarbeitung: Erstellung und Wartung einer Mitarbeiterdatenbank, Erstellung und Wartung einer Kundendatei
Auftragsverarbeiter
Das ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Nach dem derzeit geltenden Datenschutzrecht werden diese Personen als "Dienstleister" bezeichnet.
Verantwortlicher
Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Nach dem derzeit geltenden Datenschutzrecht werden diese Personen als "Auftraggeber" bezeichnet.
Pseudonymisierung
Der Begriff "Pseudonymisierung" steht für Datenverarbeitung in einer Weise, dass die personenbezogenen Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Die zusätzlichen Informationen müssen gesondert aufbewahrt werden und Maßnahmen unterliegen, die gewährleisten, dass die Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Beispiel: Namen von Kunden werden durch Zufallscodes ersetzt
Online-Ratgeber und -Rechner
- Datenschutz-Grundverordnung (DSGVO)
- Informationsverpflichtungen nach der Datenschutz-Grundverordnung (→ WKO)
Weiterführende Links
- Kompakter Folder Datenschutz-Grundverordnung (→ WKO)
- EU-Datenschutz-Grundverordnung − DSGVO (→ WKO)
- Checkliste zur DSGVO (→ WKO)
Rechtsgrundlagen
- Datenschutz-Grundverordnung (DSGVO)
- Datenschutzgesetz (DSG)
Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.
Für den Inhalt verantwortlich: USP-Redaktion