A
Anonymisierung
Anonymisierung bedeutet, dass personenbezogene Daten so verändert werden, dass sie keiner bestimmten Person mehr zugeordnet werden können. Im Gegensatz zur Pseudonymisierung ist dieser Vorgang nicht umkehrbar. Anonymisierte Daten fallen nicht mehr unter die DSGVO.
Auftragsverarbeitung
Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet, z. B. ein Hosting-Anbieter oder Newsletter-Tool. Es muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Der Auftraggeber bleibt datenschutzrechtlich verantwortlich.
Auskunftsrecht
Das Auskunftsrecht gibt jeder betroffenen Person das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Der Verantwortliche muss innerhalb eines Monats eine vollständige Auskunft erteilen. Dies umfasst auch Informationen über den Verarbeitungszweck und die Empfänger der Daten.
B
Berichtigung
Das Recht auf Berichtigung ermöglicht es Betroffenen, unrichtige personenbezogene Daten unverzüglich korrigieren zu lassen. Außerdem können unvollständige Daten vervollständigt werden. Der Verantwortliche muss die Berichtigung ohne unangemessene Verzögerung vornehmen.
Betroffenenrechte
Betroffenenrechte sind die Rechte, die die DSGVO den Personen einräumt, deren Daten verarbeitet werden. Dazu gehören u. a. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Unternehmen müssen die Ausübung dieser Rechte ermöglichen und innerhalb eines Monats reagieren.
Binding Corporate Rules
Binding Corporate Rules (BCR) sind verbindliche interne Datenschutzvorschriften für internationale Unternehmensgruppen. Sie ermöglichen den Datentransfer in Drittländer ohne angemessenes Datenschutzniveau. BCR müssen von der zuständigen Aufsichtsbehörde genehmigt werden.
C
Cloud Computing & DSGVO
Cloud Computing erfordert besondere Datenschutzmaßnahmen, da personenbezogene Daten auf externen Servern verarbeitet werden. Mit dem Cloud-Anbieter muss ein Auftragsverarbeitungsvertrag geschlossen werden. Bei Servern außerhalb der EU sind zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln erforderlich.
Cookie-Consent
Cookie-Consent bezeichnet die Einwilligung des Nutzers in die Verwendung von nicht-essentiellen Cookies auf einer Website. Seit dem TTDSG ist in Deutschland eine aktive Einwilligung (Opt-In) für Tracking- und Marketing-Cookies zwingend erforderlich. Ein bloßer Hinweis-Banner reicht nicht aus.
D
Datenminimierung
Datenminimierung bedeutet, dass nur so viele personenbezogene Daten erhoben werden dürfen, wie für den jeweiligen Zweck tatsächlich erforderlich sind. Überflüssige Datenfelder in Formularen oder unnötige Tracking-Tools verstoßen gegen diesen Grundsatz. Das Prinzip ist einer der wichtigsten Datenschutzgrundsätze der DSGVO.
Datenpanne
Eine Datenpanne (Data Breach) liegt vor, wenn personenbezogene Daten unbefugt offengelegt, vernichtet oder verändert werden. Der Verantwortliche muss die Aufsichtsbehörde innerhalb von 72 Stunden informieren. Bei hohem Risiko für die Betroffenen müssen auch diese benachrichtigt werden.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung der Datenschutzvorschriften in einem Unternehmen. In Deutschland ist ein DSB ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, Pflicht. Er kann intern oder extern bestellt werden und genießt besonderen Kündigungsschutz.
Datenschutzerklärung
Die Datenschutzerklärung informiert Nutzer darüber, welche personenbezogenen Daten auf einer Website erhoben und wie sie verarbeitet werden. Sie muss leicht zugänglich, verständlich und vollständig sein. Eine fehlerhafte oder fehlende Datenschutzerklärung kann zu Abmahnungen und Bußgeldern führen.
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) muss durchgeführt werden, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. Dies betrifft z. B. umfangreiche Videoüberwachung oder Profiling. Die DSFA dokumentiert Risiken und Gegenmaßnahmen.
Datenschutzsiegel
Datenschutzsiegel und -zertifizierungen dienen als Nachweis für die Einhaltung der DSGVO. Sie werden von akkreditierten Zertifizierungsstellen vergeben. Ein Siegel kann Vertrauen bei Kunden schaffen und als Wettbewerbsvorteil dienen.
Double-Opt-In
Double-Opt-In ist ein zweistufiges Einwilligungsverfahren, bei dem nach der Anmeldung (z. B. für einen Newsletter) eine Bestätigungsmail verschickt wird. Erst nach Klick auf den Bestätigungslink gilt die Einwilligung als erteilt. Dieses Verfahren gilt in Deutschland als Best Practice für rechtskonformes E-Mail-Marketing.
Drittland
Ein Drittland ist jedes Land außerhalb des Europäischen Wirtschaftsraums (EWR). Die Übermittlung personenbezogener Daten in Drittländer ist nur unter besonderen Voraussetzungen zulässig, etwa bei einem Angemessenheitsbeschluss oder Standardvertragsklauseln. Die USA gelten seit dem EU-U.S. Data Privacy Framework wieder als sicheres Drittland.
DSGVO (Datenschutz-Grundverordnung)
Die DSGVO ist die zentrale EU-Verordnung zum Schutz personenbezogener Daten, die seit dem 25. Mai 2018 gilt. Sie regelt einheitlich, wie Unternehmen und Organisationen personenbezogene Daten erheben, verarbeiten und speichern dürfen. Verstöße können mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes geahndet werden.
E
eIDAS
Die eIDAS-Verordnung regelt die elektronische Identifizierung und Vertrauensdienste in der EU. Sie schafft einen einheitlichen Rechtsrahmen für elektronische Signaturen, Siegel und Zeitstempel. Im Datenschutzkontext ist eIDAS relevant für die sichere Identifizierung bei der Ausübung von Betroffenenrechten.
Einwilligung
Die Einwilligung ist eine der wichtigsten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Sie muss freiwillig, informiert, eindeutig und für den bestimmten Fall erteilt werden. Die Einwilligung kann jederzeit widerrufen werden, und der Widerruf muss genauso einfach sein wie die Erteilung.
ePrivacy
Die ePrivacy-Richtlinie (und die geplante ePrivacy-Verordnung) ergänzt die DSGVO speziell für den Bereich elektronische Kommunikation. Sie regelt u. a. den Einsatz von Cookies, Tracking und die Vertraulichkeit der Kommunikation. In Deutschland wurde sie durch das TTDSG umgesetzt.
G
Gemeinsame Verantwortlichkeit
Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Dies ist z. B. bei Facebook-Fanpages oder gemeinsam genutzten CRM-Systemen der Fall. Die Beteiligten müssen in einer Vereinbarung ihre jeweiligen Pflichten festlegen.
I
Impressumspflicht
Die Impressumspflicht verpflichtet Website-Betreiber, bestimmte Angaben wie Name, Adresse und Kontaktdaten leicht erkennbar bereitzustellen. Sie ergibt sich aus § 5 TMG (bzw. künftig DDG) und gilt für alle geschäftsmäßigen Online-Auftritte. Ein fehlendes oder unvollständiges Impressum ist ein häufiger Abmahngrund.
Informationspflichten
Informationspflichten verpflichten Verantwortliche, betroffene Personen bei der Datenerhebung umfassend zu informieren. Dazu gehören Angaben über den Verantwortlichen, den Verarbeitungszweck, die Rechtsgrundlage und die Betroffenenrechte. Die Informationen müssen in klarer, einfacher Sprache bereitgestellt werden.
Interoperabilität
Interoperabilität beschreibt die Fähigkeit verschiedener Systeme, Daten nahtlos auszutauschen und zu nutzen. Im Datenschutzkontext ist sie besonders beim Recht auf Datenübertragbarkeit relevant. Standardisierte Formate wie JSON oder CSV erleichtern die Datenportabilität zwischen Diensten.
K
KI und Datenschutz
Der Einsatz von Künstlicher Intelligenz stellt den Datenschutz vor besondere Herausforderungen, da KI-Systeme oft große Mengen personenbezogener Daten verarbeiten. Die DSGVO verlangt Transparenz über automatisierte Entscheidungsfindung und gibt Betroffenen ein Recht auf menschliche Überprüfung. Mit dem EU AI Act kommen zusätzliche Regulierungen hinzu.
Kopplungsverbot
Das Kopplungsverbot untersagt es, einen Vertrag an eine nicht erforderliche Einwilligung zur Datenverarbeitung zu koppeln. Beispiel: Ein Download darf nicht zwingend an die Anmeldung zum Newsletter geknüpft werden. Die Einwilligung muss stets freiwillig sein.
L
Löschpflicht
Die Löschpflicht verpflichtet Verantwortliche, personenbezogene Daten zu löschen, wenn der Verarbeitungszweck entfällt oder die Einwilligung widerrufen wird. Auch auf Antrag der betroffenen Person kann eine Löschung verlangt werden. Gesetzliche Aufbewahrungsfristen können der Löschung jedoch entgegenstehen.
M
Marktortprinzip
Das Marktortprinzip besagt, dass die DSGVO für alle Unternehmen gilt, die Waren oder Dienstleistungen in der EU anbieten – unabhängig von ihrem Sitz. Auch die Beobachtung des Verhaltens von EU-Bürgern löst die Anwendbarkeit aus. Damit haben auch US-Tech-Konzerne die DSGVO einzuhalten.
O
Opt-In
Opt-In bedeutet, dass eine aktive Zustimmung des Nutzers erforderlich ist, bevor personenbezogene Daten verarbeitet werden dürfen. Vorangekreuzte Checkboxen gelten nicht als wirksames Opt-In. Besonders bei E-Mail-Marketing und Cookie-Tracking ist ein ausdrückliches Opt-In Pflicht.
Opt-Out
Opt-Out bezeichnet die Möglichkeit, einer Datenverarbeitung nachträglich zu widersprechen. Im Gegensatz zum Opt-In wird hier zunächst verarbeitet und der Nutzer kann ablehnen. Für Tracking und Marketing-Cookies reicht ein bloßes Opt-Out nach aktueller Rechtslage nicht mehr aus.
P
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, E-Mail-Adresse, IP-Adresse, Standortdaten und sogar Cookie-IDs. Die DSGVO schützt ausschließlich Daten natürlicher Personen, nicht von Unternehmen.
Privacy by Default
Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen) bedeutet, dass Systeme standardmäßig die datenschutzfreundlichste Einstellung verwenden müssen. Nutzer müssen aktiv werden, um mehr Datenverarbeitung zuzulassen. So wird sichergestellt, dass nicht-technikaffine Nutzer automatisch geschützt sind.
Privacy by Design
Privacy by Design (Datenschutz durch Technikgestaltung) verlangt, dass Datenschutz bereits bei der Entwicklung von Systemen und Prozessen berücksichtigt wird. Technische Maßnahmen wie Pseudonymisierung oder Verschlüsselung sollen von Anfang an integriert sein. Es handelt sich um eine Pflicht für Verantwortliche, nicht nur eine Empfehlung.
Profiling
Profiling ist die automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter Aspekte einer Person, z. B. Vorlieben, Verhalten oder Bonität. Die DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Profiling zu Werbezwecken erfordert in der Regel eine Einwilligung.
Pseudonymisierung
Pseudonymisierung bedeutet, dass personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Im Gegensatz zur Anonymisierung bleibt die Zuordnung mit einem separaten Schlüssel möglich. Pseudonymisierte Daten unterliegen weiterhin der DSGVO.
R
Rechenschaftspflicht
Die Rechenschaftspflicht verlangt, dass der Verantwortliche die Einhaltung aller DSGVO-Grundsätze nachweisen kann. Es reicht nicht, datenschutzkonform zu handeln – man muss es auch dokumentieren können. Dazu gehören Verarbeitungsverzeichnisse, Einwilligungsnachweise und Datenschutz-Folgenabschätzungen.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden erweitert das Löschungsrecht um eine Pflicht zur Information Dritter. Wurden die Daten öffentlich gemacht, muss der Verantwortliche andere Stellen über das Löschungsersuchen informieren. Suchmaschinen können so verpflichtet werden, Einträge aus den Ergebnissen zu entfernen.
S
Speicherbegrenzung
Der Grundsatz der Speicherbegrenzung verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach müssen die Daten gelöscht oder anonymisiert werden. Unternehmen sollten ein Löschkonzept mit klaren Fristen erstellen.
SSL/TLS
SSL/TLS ist eine Verschlüsselungstechnologie, die die Datenübertragung zwischen Browser und Webserver absichert. Websites, die personenbezogene Daten verarbeiten (z. B. Kontaktformulare), müssen eine SSL/TLS-Verschlüsselung (HTTPS) einsetzen. Das Fehlen von HTTPS ist ein häufiger DSGVO-Verstoß.
Standardvertragsklauseln
Standardvertragsklauseln (SCCs) sind von der EU-Kommission genehmigte Vertragsvorlagen für den Datentransfer in Drittländer. Sie verpflichten den Datenempfänger, ein angemessenes Datenschutzniveau einzuhalten. Seit 2021 gelten neue SCCs, die um ein Transfer Impact Assessment ergänzt werden müssen.
T
Technische und organisatorische Maßnahmen (TOMs)
TOMs sind Schutzmaßnahmen, die Verantwortliche ergreifen müssen, um personenbezogene Daten angemessen zu sichern. Technische Maßnahmen umfassen z. B. Verschlüsselung und Zugangskontrollen, organisatorische Maßnahmen z. B. Schulungen und Richtlinien. Die Maßnahmen müssen dem Risiko der Verarbeitung angemessen sein.
Transparenzprinzip
Das Transparenzprinzip verlangt, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Alle Informationen zur Datenverarbeitung müssen in klarer, einfacher Sprache bereitgestellt werden. Versteckte oder verschleiernde Formulierungen verstoßen gegen diesen Grundsatz.
TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)
Das TTDSG regelt seit Dezember 2021 den Datenschutz in der Telekommunikation und bei Telemedien in Deutschland. Es setzt die ePrivacy-Richtlinie um und schreibt u. a. eine Einwilligung für nicht-essentielle Cookies und Tracking vor. Das TTDSG ergänzt die DSGVO für den Online-Bereich.
U
Übermittlung
Übermittlung bezeichnet die Weitergabe personenbezogener Daten an Dritte oder in Drittländer. Jede Übermittlung bedarf einer Rechtsgrundlage, z. B. Einwilligung, Vertrag oder berechtigtes Interesse. Bei Übermittlungen in Länder außerhalb des EWR gelten besonders strenge Anforderungen.
V
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis (VVT) ist eine Dokumentation aller Datenverarbeitungstätigkeiten eines Unternehmens. Es muss u. a. Zwecke, Kategorien von Betroffenen, Empfänger und Löschfristen enthalten. Fast jedes Unternehmen ist zur Führung eines VVT verpflichtet.
Verarbeitungszweck
Der Verarbeitungszweck beschreibt, warum personenbezogene Daten erhoben und verarbeitet werden. Jede Verarbeitung muss einem eindeutigen, legitimen Zweck dienen, der vor der Erhebung festgelegt wird. Eine nachträgliche Zweckänderung ist nur unter engen Voraussetzungen zulässig.
Verantwortlicher
Der Verantwortliche ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Er trägt die Hauptverantwortung für die Einhaltung der DSGVO. Bei einer Website ist der Verantwortliche in der Regel der Betreiber.
Videoüberwachung
Videoüberwachung unterliegt strengen Datenschutzanforderungen, da sie in der Regel personenbezogene Daten (Bildaufnahmen) erfasst. Es bedarf einer Rechtsgrundlage, Hinweisschilder und einer Interessenabwägung. Bei umfangreicher Überwachung kann eine Datenschutz-Folgenabschätzung erforderlich sein.
W
Whistleblowing
Whistleblowing bezeichnet die Meldung von Missständen oder Rechtsverstößen innerhalb eines Unternehmens. Seit dem Hinweisgeberschutzgesetz (HinSchG) müssen Unternehmen ab 50 Mitarbeitern interne Meldekanäle einrichten. Dabei müssen die personenbezogenen Daten des Hinweisgebers besonders geschützt werden.
Widerspruchsrecht
Das Widerspruchsrecht erlaubt es Betroffenen, einer Datenverarbeitung zu widersprechen, die auf berechtigtem Interesse oder öffentlichem Interesse basiert. Bei Direktwerbung ist der Widerspruch immer wirksam, ohne dass Gründe angegeben werden müssen. Der Verantwortliche muss die Verarbeitung dann einstellen.
Z
Zweckbindung
Zweckbindung ist ein Grundsatz der DSGVO, der besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Eine Weiterverarbeitung für andere Zwecke ist grundsätzlich unzulässig. Ausnahmen gelten für wissenschaftliche Forschung, Statistik und Archivzwecke im öffentlichen Interesse.