Datenschutz Glossar: Die wichtigsten DSGVO-Begriffe für dein Online-Business einfach erklärt

In diesem Datenschutz Glossar findest du die häufigsten DSGVO-Begriffe für Selbstständige und kleine Unternehmen mit einem Touch des Online-Business.

Aktualisiert am 2. Mai 2022 von Nicole Werner | min Lesezeit

Mit der Tastenkombi STRG+F (PC) oder CMD+F (MAC) kannst du das Glossar nach deinem Begriff ratzfatz durchsuchen. Das Glossar wird laufend erweitert. Dir fehlt noch ein Begriff? Dann melde dich bei mir.

Aufsichtsbehörden

In Deutschland gibt es pro Bundesland eine Landesaufsichtsbehörde. Für Baden-Württemberg ist es z.B. diese https://www.baden-wuerttemberg.datenschutz.de/. Ihre Aufgabe ist es, öffentliche und nicht öffentliche Stellen zu kontrollieren, ob sie die Vorschriften der DSGVO, dem Landesdatenschutz und sonstigen Datenschutzregelungen einhalten. Neben den Landesaufsichtsbehörden in Deutschland gibt es noch die Bundesaufsichtsbehörde und die Aufsichtsbehörden der Kirchen und des Rundfunks.

Andere Länder, wie z.B. Frankreich, Spanien und Irland haben nur eine einzelne Aufsichtsbehörde.

Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag wird geschlossen zwischen dir als Verantwortlicher und einem Anbieter, der in deinem Auftrag, die personenbezogenen Daten verarbeitet.

Beispiele sind:

  • Webhoster
  • E-Mail-Marketing Anbieter
  • Videoplattform

In diesem Vertrag werden u.a. die Verarbeitung der personenbezogenen Daten geregelt. Die Auftragsvereinbarung muss sicherstellen, dass die Verarbeitung DSGVO-konform geschieht.

Betroffener

Ein Betroffener ist, die Person, dessen personenbezogene Daten du verarbeitest.

Bußgeld

Aufsichtsbehörden können Bußgelder verhängen. Es gibt grob beschrieben u.a. die formellen Verstöße und die materiellen Verstöße.

  • Die formellen Verstöße können bis zu 10.000.000 EUR bzw. bei Unternehmen 2% des Vorjahresumsatzes kosten. z.B. Verarbeitung von personenbezogenen Daten, für die eine Identifizierung des Betroffenen nicht notwendig ist, die Sicherheit der Verarbeitung, …
  • Materielle Verstöße können bis zu 20.000.000 EUR bzw. bei Unternehmen 4% des Vorjahresumsatzes kosten. z.B. fehlerhaftes Widerspruchsrecht, fehlende Rechtmäßigkeit der Verarbeitung, …

Berücksichtigt werden dabei, u.a. Art, Schwere und Dauer des Verstoßes. Ist es vorsätzlich passiert? Oder fahrlässig?

Cookie

Cookies werden auf dem Endgerät eines z.B. Webseitenbesuchers abgelegt. Durch ein Cookie können Informationen, wie IP-Adresse, Bildschirmauflösung, eingestellte Sprache, Browser- und Betriebssystem Versionen und vieles mehr ausgelesen werden.

Cookie-Banner

Ein Cookie-Banner wird benötigt, wenn du Cookies auf deiner Webseite einbinden magst, die eine Einwilligung von deinem Webseitenbesucher benötigen. z.B. ein Facebook-Pixel, Google Analytics, …

Hingegen ist für Cookies, die für ein Login auf der Webseite benötigt werden oder Cookies für den Warenkorb, keine Einwilligung erforderlich. Dies sind sogenannte essenzielle Cookies, die für die Funktionalität deiner Webseite benötigt werden.

Double-Opt-in

Dies ist ein Prozess, der sicherstellen soll, dass ein Newsletter-Abonnent sich selbst angemeldet hat. Sobald du ein Newsletter-Anmelde-Formular als fast Newsletter-Abonnent auf der Webseite ausgefüllt und abgeschickt hast, stößt dein E-Mail-Marketing Tool die sogenannte Double-Opt-in E-Mail an. Der fast Newsletter-Abonnent erhält dann eine E-Mail, in der er konkret einwilligt, den Newsletter haben zu wollen. Klickt er auf den Bestätigungs-Button oder -link ist der fast Newsletter-Abonnent auf der E-Mail-Liste. Bestätigt er die Double-Opt-in E-Mail nicht, hat er dir keine Einwilligung gegeben, darf somit auch nicht angeschrieben werden.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter berät den Verantwortlichen datenschutzrechtlich und überwacht die Einhaltung der Datenschutzvorgaben. Er kann Beschäftigter (interner Mitarbeiter) oder ein externer Dienstleister sein.

Drittland

Zu den sicheren Drittländern gehören aktuell (01. Mai 2022):

  • Andorra,
  • Argentinien,
  • Kanada (nur kommerzielle Organisationen),
  • Färöer,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Jersey,
  • Neuseeland,
  • Schweiz,
  • Uruguay,
  • Japan,
  • das Vereinigte Königreich und
  • Südkorea.
  • Norwegen, Liechtenstein und Island als Teil des Europäischen Wirtschaftsraums ebenso.

Die Datenübermittlung in diese Länder ist erlaubt.

Zu den unsicheren Drittländern zählen alle Länder, deren nationalen Gesetzte nicht mit dem EU-Recht zur Verarbeitung personenbezogenen Daten gleichgestellt werden können. z.B. die USA, durch den Wegfall des Privacy Shields im Jahr 2020.

DSGVO

Ist die Abkürzung für Datenschutzgrundverordnung.

Einwilligung

Es gilt das Verbot mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden. Außer, du erhältst z.B. eine Einwilligung des Betroffenen oder es gibt eine gesetzliche Erlaubnis.

Für die Verarbeitung besonderer Kategorien sind zusätzliche Anforderungen notwendig.

Grundsätze der DSGVO

Folgende Grundsätze gilt für die DSGVO:

  • Rechtmäßigkeit,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit der Daten,
  • Speicherbegrenzung,
  • Integrität und Vertraulichkeit,
  • Rechenschaftspflicht.

Marktortprinzip

Das Marktortprinzip beschreibt einen räumlichen Anwendungsbereich. Wenn ein Unternehmen mit Sitz im Ausland (= nicht EU-Land) Waren und Dienstleistungen in die EU verkauft (auch unentgeltlich!), gilt das Marktortprinzip. Das Unternehmen muss sich an die Gesetze des jeweiligen Ziel-Landes halten und somit die Anforderungen der DSGVO umsetzen.

Nachweispflicht

Du hast eine Rechenschaftspflicht und musst nachweisen können, dass du eine Einwilligung für die konkrete Verarbeitung (und auch nur für den konkreten Zweck!) der personenbezogenen Daten des Betroffenen erhalten hast.

Öffnungsklauseln

Die DSGVO gilt für alle europäischen Länder. Es gibt Klauseln, wie z.B.:

  • Maßnahmen der Strafverfolgung,
  • die Einwilligung von Kindern in Bezug auf die Altersgrenze,
  • Befugnisse der Aufsichtsbehörden und
  • Sanktionen, die über eine Geldbuße hinausgeht, wie Freiheitsstrafen

die im nationalen Datenschutzgesetz des Mitgliedsstaats selbst (teilweise) geregelt werden dürfen und sich somit von anderen europäischen Ländern unterscheiden können.

Personenbezogene Daten

Das sind Daten, die sich auf eine Person beziehen. Beispiele sind:

  • Name,
  • Anschrift,
  • Geburtsdatum,
  • Telefonnummer,
  • Personalnummer,
  • Foto,
  • Benutzerkennung,
  • Nutzungsverhalten, …

Es gibt auch noch besondere Kategorien personenbezogener Daten, die durch das Gesetz einen besonderen Schutz erfahren.

Besondere Kategorien sind z.B.

  • Gesundheitsdaten,
  • die ethnische Herkunft,
  • politische Meinungen,
  • religiöse Überzeugungen,
  • genetische Daten,
  • biometrische Daten.

Privacy Shield

Das Privacy Shield war ein Angemessenheitsbeschluss, mit dem 2016 beschlossen wurde, dass die USA ein angemessenes Schutzniveau für die Daten der betroffenen Personen hatte. Dies ermöglichte die Übermittlung der Daten in die USA. Das ist aber durch das Schrems II Urteil in 2020 gekippt worden.

Schrems Urteile

Die Schrems Urteile beziehen sich u.a. auf ein Urteil des Europäischen Gerichtshof (EuGH) vom 16. Juli 2020, dass das Privacy Shield für ungültig erklärt hat.  Der im Jahre 2016 beschlossene Angemessenheitsbeschluss wurde für nichtig erklärt. Die Übermittlung der Daten in die USA ist als nicht mehr sicher eingestuft.

In diesem Rechtsstreit ging es um die Übermittlung der personenbezogenen Daten von Max Schrems als Privatperson durch Facebook Irland zum Mutterkonzern von Facebook in die USA.

Folgende Argumente führten zu diesem Urteil:

  • Es kann aufgrund der Zugriffsmöglichkeiten durch US-Geheimdienstes auf personenbezogenen Daten kein europäisches Datenschutzniveau eingehalten werden.
  • Die Betroffenen (hier: Max Schrems) haben weniger Rechte als in der DSGVO vorgesehen.
  • Fehlende unabhängige Person, die bei Missachten der Datenschutzverstöße eingreifen könnte.

TOMs

Das sind technisch / organisatorische Maßnahmen. Die TOMs werden im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten aufgestellt und stellen sicher, dass die Daten sicher verarbeitet werden.

Verantwortlicher

Wenn du selbstständig bist oder ein kleines Unternehmen hast, kannst du sicher davon ausgehen, dass du der Verantwortliche im Sinne der DSGVO bist. Du entscheidest über das Warum und Wie, wenn du personenbezogene Daten verarbeitest.

Verarbeitung

Eine Verarbeitung von Daten liegt dann vor, wenn diese

  • erhoben,
  • erfasst,
  • organisiert,
  • geordnet,
  • gespeichert,
  • angepasst,
  • verändert,
  • ausgelesen,
  • abgefragt,
  • verwendet,
  • durch Übermittlung offengelegt,
  • verbreitet,
  • abgeglichen,
  • verknüpft,
  • eingeschränkt,
  • gelöscht oder
  • vernichtet wird.

Du siehst, es gibt eine ganze Menge an Verarbeitungsmöglichkeiten.

Verzeichnis der Verarbeitungstätigkeiten

In diesem Verzeichnis sammelst du alle Tätigkeiten, bei denen du personenbezogene Daten verarbeitest. Hast du ein Unternehmen mit weniger als 250 Mitarbeitern und die Verarbeitung der personenbezogenen Daten stellt kein Risiko für die Rechte und Freiheit der Betroffenen dar, du keine besonderen Daten (wie z.B. Gesundheitsdaten) verarbeitest oder die Verarbeitung nur gelegentlich erfolgt, sehen die Chancen gut, dass du kein Verzeichnis der Verarbeitungstätigkeiten führen musst.

Wie das ganze beispielhaft für einen Online-Shop aussehen kann, hat die Aufsichtsbehörde Bayern zur Verfügung (Übersicht) gestellt. Der Direktlink zum PDF.

 

Suchst du noch einen Begriff und findest in hier nicht? Dann schreib mir gerne eine Nachricht.

Über die Autorin

Ich helfe Selbstständigen und kleinen Unternehmen zu verstehen, was sie bei der Bearbeitung der Daten (insbesondere ihrer Kundendaten) beachten sollten und wie sie ein Konzept für den Datenschutz in ihrem Unternehmen erstellen können.

Außerdem habe ich eine Superpower: Ich mache aus Mandarinen Elefanten.

Weitere spannende Artikel

Schreibe einen Kommentar


Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}