Datenschutz steckt voller Fachbegriffe. Hier erklären wir die wichtigsten — verständlich, ohne Juristendeutsch, mit Praxisbezug.
Art. 6 DSGVO Rechtsgrundlagen der Verarbeitung. Jede Datenverarbeitung braucht eine dieser sechs Grundlagen: Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigtes Interesse.
Art. 9 DSGVO Besondere Datenkategorien mit verstärktem Schutz: Gesundheitsdaten, genetische Daten, biometrische Daten, ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftsmitgliedschaft, Sexualleben.
Auftragsverarbeiter Ein Dienstleister, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Beispiele: Cloud-Anbieter, E-Mail-Dienste, Lohnbuchhaltungsdienstleister. Erfordert einen schriftlichen Auftragsverarbeitungsvertrag (AVV).
AVV Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Schriftliche Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter. Regelt, welche Daten wie verarbeitet werden dürfen, Sicherheitsmaßnahmen, Löschpflichten und Kontrollrechte.
Betroffene Person Die natürliche Person, deren personenbezogene Daten verarbeitet werden. Hat Rechte nach Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch.
Datenpanne Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO: Unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugang zu personenbezogenen Daten. Meldepflicht: 72 Stunden an die Behörde.
Datenschutzbeauftragter (DSB) Natürliche oder juristische Person, die die Einhaltung des Datenschutzes überwacht und beratend tätig ist. Kann intern oder extern bestellt werden. Muss fachkundig und weisungsunabhängig sein.
Datensparsamkeit Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Nur so viele Daten verarbeiten, wie für den konkreten Zweck erforderlich. "So wenig wie möglich, so viel wie nötig."
DSFA Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Risikoanalyse für Verarbeitungen mit hohem Risiko für Betroffene. Pflicht bei z. B. umfangreichem Profiling, Verarbeitung besonderer Datenkategorien im großen Maßstab, systematischer Überwachung öffentlicher Bereiche.
DSGVO Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Gilt seit 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden.
Einwilligung Freiwillige, informierte, unmissverständliche Zustimmung zur Datenverarbeitung (Art. 7 DSGVO). Muss aktiv gegeben werden (kein Pre-Tick), jederzeit widerrufbar sein und vor der Verarbeitung vorliegen.
ISMS Informationssicherheits-Managementsystem. Systematischer Ansatz zur Steuerung der Informationssicherheit in einer Organisation. Basis für ISO 27001-Zertifizierung.
Löschkonzept Dokumentation, wann welche Daten gelöscht werden müssen. Berücksichtigt gesetzliche Aufbewahrungsfristen (Steuerrecht: 10 Jahre) und den Datenschutzgrundsatz der Speicherbegrenzung.
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Beispiele: Name, E-Mail, IP-Adresse, Kundennummer, Kennzeichen, biometrische Merkmale.
Pseudonymisierung Verarbeitung personenbezogener Daten so, dass sie ohne zusätzliche Informationen nicht mehr direkt einer Person zugeordnet werden können. Verringert das Risiko, aber ist kein vollständiger Schutz (im Gegensatz zur Anonymisierung).
TOM Technische und organisatorische Maßnahmen (Art. 32 DSGVO). Maßnahmen zum Schutz personenbezogener Daten: Verschlüsselung, Zugangskontrollen, Backups, Pseudonymisierung, Zutrittskontrollen, Schulungen.
Verantwortlicher Die natürliche oder juristische Person, die über Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). In Unternehmen ist das die Geschäftsführung. Trägt die rechtliche Verantwortung.
VVT Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Pflichtdokument, das alle relevanten Datenverarbeitungen dokumentiert: Zweck, Rechtsgrundlage, betroffene Personen, Kategorien, Empfänger, Löschfristen, TOM.
Zweckbindung Grundsatz (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden. Neue Zwecke erfordern eine neue Rechtsgrundlage oder müssen mit dem ursprünglichen Zweck kompatibel sein. 