Glossar
© SMI
| Begriff | Erklärung |
|---|---|
|
Aufsichtsbehörde |
Jeder Mitgliedsstaat muss über eine Aufsichtsbehörde (eine oder mehrere öffentliche Organe) verfügen, welche die Anwendung dieser Verordnung überwacht. Im Freistaat Sachsen nimmt der Sächsische Datenschutzbeauftragte diese Aufgabe wahr. |
|
Auftragsverarbeiter |
Begriff nach Artikel 4 Nummer 8 Datenschutz-Grundverordnung, entspricht dem bisherigen Auftragnehmer einer Auftragsdatenverarbeitung nach § 7 Sächsisches Datenschutzgesetz, ist eine natürliche oder juristische Person, Behörde, Agentur oder andere Körperschaft, die im Auftrag des Verantwortlichen Daten verarbeitet. |
|
Beschäftigtendaten |
Auch die Daten von Beschäftigten sind personenbezogene Daten. Die Verarbeitung von Beschäftigtendaten ist in § 11 Sächsisches Datenschutzdurchführungsgesetz geregelt. |
|
betroffene Person |
Begriff nach Artikel 4 Nummer 1 Datenschutz-Grundverordnung, entspricht dem bisherigen »Betroffenen« im Sinne von § 3 Absatz 1 Sächsisches Datenschutzgesetz |
|
Dateisystem |
Begriff nach Artikel 4 Nummer 6 Datenschutz-Grundverordnung, entspricht dem bisherigen Dateibegriff gemäß § 3 Absatz 7 Sächsisches Datenschutzgesetz |
|
Daten von Kindern |
Daten von Kindern unter 16 Jahren dürfen nur verarbeitet werden, wenn das Einverständnis eines Erziehungsberechtigten vorliegt. (Artikel 8 Absatz 1 Datenschutz-Grundverordnung). |
|
Datenschutzbeauftragter |
Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte bei allen mit dem Schutz persönlicher Daten zusammenhängenden Problemen korrekt und zeitnah hinzugezogen wird. Betroffene Personen können sich mit Fragen zur Verarbeitung ihrer Daten sowie um die ihnen durch die Verordnung eingeräumten Rechte auszuüben, direkt an den Datenschutzbeauftragten wenden. Die Kernaufgabe des Datenschutzbeauftragten liegt darin, die Einhaltung der Vorgaben der Datenschutz-Grundverordnung zu überwachen und den Aufsichtsbehörden als Ansprechpartner zu dienen. |
|
Datenschutz durch Technikgestaltung (Privacy by Design, Privacy by Default) |
Diese Grundsätze verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen, in dem sie geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden (Artikel 25 Absatz 1 und 2 Datenschutz-Grundverordnung). |
|
Datenschutz- Folgenabschätzung |
Die Datenschutz-Grundverordnung sieht vor, dass der Verantwortliche bei erhöhtem Datenschutzrisiko eine Datenschutz-Folgeeinschätzung durchführt, um die Risiken für die betroffene Person zu minimieren (Artikel 35 Absatz 1 Datenschutz-Grundverordnung). Im Wesentlichen entspricht die Datenschutz-Folgenabschätzung der bisherigen datenschutzrechtlichen Vorabkontrolle gemäß § 10 Absatz 4 Sächsisches Datenschutzgesetz, die entfallen ist. |
|
Datenschutzverletzung |
Ein Sicherheitsproblem, das versehentlich oder gesetzwidrig zur Zerstörung, zum Verlust, zur Änderung oder zur nicht autorisierten Offenlegung von gespeicherten, übermittelten oder anderweitig verarbeiteten persönlichen Daten führt oder den Zugriff auf sie ermöglicht. |
|
Datenübertragung |
Eine Übertragung persönlicher Daten in ein Drittland oder an eine internationale Organisation sind statthaft, wenn die Kommission bestimmt hat, dass das betreffende Land, die Region oder anders spezifizierte Bereiche des Drittlandes bzw. die internationale Organisation ein angemessenes Datenschutzniveau sicherstellen können. Eine solche Übertragung erfordert keine besondere Genehmigung. |
|
Dritter |
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten (Artikel 4 Nummer 10 Datenschutz-Grundverordnung) |
|
Einschränkung der Verarbeitung |
Begriff nach Artikel 4 Nummer 3 Datenschutz-Grundverordnung, entspricht dem bisherigen Sperren von Daten gemäß § 3 Absatz 2 Satz 2 Nummer 7 Sächsisches Datenschutzgesetz |
|
Einwilligung |
Ein aus freien Stücken von der betroffenen Person gegebener, spezifischer, eindeutiger und auf entsprechenden Informationen basierender Hinweis (eine Aussage oder eine als solche zu wertende Handlung), dass die Person der Verarbeitung ihrer persönlichen Daten zustimmt. (Artikel 4 Nummer 11 Datenschutz-Grundverordnung) |
|
Empfänger |
Ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht (Artikel 4 Nummer 9 Datenschutz-Grundverordnung). Damit wird deutlich, dass insbesondere der Auftragsverarbeiter – und nicht (nur) der ihn beauftragende Verantwortliche – nun auch ein Empfänger von Daten ist. |
|
Minimierung (Datenminimierung) |
Die erfassten persönlichen Daten sollen adäquat, relevant und auf das für den vorgesehenen Verarbeitungszweck absolut notwendige Minimum beschränkt werden (Artikel 5 Absatz 1 Buchstabe c Datenschutz-Grundverordnung). |
| öffentliche Stelle |
Öffentliche Stellen sind zum einen die Behörden des Freistaates Sachsen, der Gemeinden und der Landkreise. Zum anderen sind auch sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und Landkreise erfasst. Hierzu gehören insbesondere rechtlich unselbständige Eigenbetriebe wie beispielsweise gemeindliche Wasserwerke oder vom Landkreis betriebene Krankenhäuser. Darüber hinaus sind die der sonstigen Aufsicht des Freistaates Sachsen unterstehenden juristischen Personen des öffentlichen Rechts als öffentliche Stellen anzusehen. Dies sind beispielsweise Körperschaften, Anstalten oder Stiftungen des öffentlichen Rechts, Hochschulen oder Kammern. |
|
personenbezogene Daten |
Alle Daten, die sich auf eine bekannte oder identifizierbare natürliche Person (Betroffene Person) beziehen. Unter einer identifizierbaren natürlichen Person versteht man ein Individuum, das direkt oder indirekt identifiziert werden kann. Das gilt vor allem mit Blick auf Kennungsmerkmale wie Namen, Identifikationsnummern, Standortdaten und Online-IDs sowie einen oder mehrere Faktoren, die sich auf die physische, psychologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person beziehen. (Artikel 4 Nummer 1 Datenschutz-Grundverordnung). Die Verordnung gilt nicht für die personenbezogenen Daten Verstorbener (Erwägungsgrund 27). |
|
Pseudonymisierung |
Ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr ohne zusätzliche, gesondert aufbewahrte und gegen Zugriff gesicherte Informationen einer bestimmten oder bestimmbaren Person zugeordnet werden können (Artikel 4 Nummer 5 Datenschutz-Grundverordnung). |
|
Recht auf Auskunft |
Die betroffene Person hat das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, ob ihre persönlichen Daten verarbeitet werden und, so das der Fall ist, Zugriff auf diese sowie weitere Informationen nach Artikel 15 Absatz 1 Datenschutz-Grundverordnung zu erhalten. |
|
Recht auf Berichtigung |
Die betroffene Person hat das Recht, vom Datenverantwortlichen die Berichtigung seiner inkorrekten persönlichen Daten zu verlangen (Artikel 16 Datenschutz-Grundverordnung), entspricht im Wesentlichen dem bisherigen Recht nach § 19 Sächsisches Datenschutzgesetz. |
|
Recht auf Löschung/ Recht auf Vergessenwerden |
Recht nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung. Es gibt keine wesentlichen Änderungen im Vergleich zum bisherigen § 20 Sächsisches Datenschutzgesetz. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, bleiben erhalten. Der Datenverantwortliche ist dann verpflichtet, diese ebenfalls ohne unangemessene Verzögerung zu löschen. Hat ein Verantwortlicher, der nach Artikel 17 Absatz 1 Datenschutz-Grundverordnung zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so muss er die anderen Verantwortlichen ermitteln und informieren. |
|
Sensitive Daten oder besondere Datenkategorien |
Die Verarbeitung persönlicher Daten, die Aufschluss über ethnische Herkunft, politische Ansichten, religiösen oder philosophischen Glauben oder die Mitgliedschaft in Gewerkschaften geben, bzw. die Verarbeitung genetischer und biometrischer Daten sowie von Daten, die Aufschluss über die Gesundheit, das Sexualleben und die sexuelle Orientierung der Person geben, ist grundsätzlich untersagt. Ausnahmen sind insbesondere zulässig, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder wenn die Verarbeitung zum Schutz lebenswichtiger Interesse der betroffenen Person erforderlich ist. Ausnahmen können außerdem durch Rechtsvorschriften zum Beispiel im Gesundheitswesen, zu Archivzwecken oder aufgrund erhebliche öffentlicher Interessen zugelassen sein. (Artikel 9 Datenschutz-Grundverordnung) |
|
Verantwortlicher, der für die Verarbeitung Verantwortliche |
Begriff nach Artikel 4 Nummer 7 Datenschutz-Grundverordnung, entspricht der bisherigen verantwortlichen Stelle, datenverarbeitenden Stelle nach § 3 Absatz 3 Sächsisches Datenschutzgesetz |
|
Verarbeiten |
Begriff nach Artikel 4 Nummer 2 Datenschutz-Grundverordnung, umfasst alle Phasen der Datenverarbeitung, entspricht im Wesentlichen dem bisherigen Verarbeitungsbegriff in § 3 Absatz 2 Sächsisches Datenschutzgesetz. Verarbeitung ist jede Art von Handlung, die an persönlichen Daten (einzeln oder in Gruppen, automatisiert oder manuell) durchgeführt wird. Das bezieht sich auf die Erfassung, Aufzeichnung, Organisation, Strukturierung und Speicherung ebenso wie auf die Anpassung, Änderung, Abruf, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder Bereitstellung, Harmonisierung und Integration, Beschränkung, Löschung und Vernichtung. |
|
Verarbeitungstätigkeit
|
Unter diesem Begriff ist die Gesamtheit an Verarbeitungen zu verstehen, mit deren Hilfe eine Zweckbestimmung oder ein Bündel zusammengehöriger Zweckbestimmungen realisiert wird. Es handelt sich also um eine Vielzahl von einzelnen Verarbeitungsschritten, die für eine oder mehrere zusammengehörende Zweckbestimmungen zusammengefasst werden, z. B. als ein Verfahren. Eine Verarbeitungstätigkeit kann daher aus einer Vielzahl an Programmen und Dateien bestehen. Die Datenschutz-Grundverordnung definiert diesen Begriff nicht. |
|
Verordnung |
Eine Verordnung hat im Gegensatz zu einer Richtlinie bindenden Charakter. Sie muss in der gesamten EU befolgt werden. |
|
Widerruf der Einwilligung |
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf hat keinen Einfluss auf die Rechtmäßigkeit zu dem Zeitpunkt bereits erfolgter Datenverarbeitungsaktivitäten. Vor Erteilung der Einwilligung muss die betroffene Person hierüber informiert werden. Der Widerruf muss genauso einfach erfolgen können wie die Erteilung der Einwilligung (Artikel 7 Absatz 3 Datenschutz-Grundverordnung). |
|
Zweckbindung |
Personenbezogene Daten dürfen grundsätzlich nur zu einem bestimmten, offen dargelegten und rechtmäßigen Zweck erfasst und keiner weiteren Verarbeitung zugeführt werden, die mit diesem Zweck nicht übereinstimmt. Die bisher im nach § 13 Absatz 2 in Verbindung mit § 12 Absatz 4 Sächsisches Datenschutzgesetzzugelassenen Zweckänderungen gelten nun auch nach § 4 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz. |
