DSGVO-wichtige Begriffe Flashcards
Erkläre den Begriff “Personenbezogene Daten”
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen
Beispiele: Namen, Adresse,Geburtsdatum, Bankdaten
DSGVO gilt nicht für die personenbezogenen Daten Verstorbene (Mitgliedsstaaten können diesbezüglich Vorschriften vorsehen (Österreich macht das nicht))
Erkläre den Begriff “Sensible Daten”
Personenbezogene Daten aus denen herauskommt:
* rassische und ethnische Herkunft
* politische Meinungen
* religiöse oder weltanschauliche Überzeugungen
* Gewerkschaftszugehörigkeit
Genetische und Biometrische Daten zur eindeutigen Identifizierung:
* Gesundheitsdaten
* Daten zum Sexualleben
* sexuellen Orientierung einer natürlichen Person
Beispiele: Fingerabdruck, Irisscan, Krankengeschichte, …
Erkläre den Begriff “Verarbeitung”
Jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
Beispiele: Erstellung einer Kundendatei, Aufnahme der Daten zur Erstellung einer Rechnung, Mitarbeiterdatenbank, …
Verarbeitung (DSGVO) = Verwendung von Daten (DSG 2000)
Erkläre den Begriff “Verantwortlicher und Auftraggeber”
„Verantwortlicher“ löst den Begriff „Auftraggeber“ (aus DSG 2000) ab
Ein „Verantwortlicher“ ist:
* die natürliche oder juristische Person,
* Behörde,
* Einrichtung,
* oder andere Stelle,
die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
„Auftragsverarbeiter“ ist:
* eine natürliche oder juristische Person,
* Behörde,
* Einrichtung oder andere Stelle,
die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.
Beispiele:
- Der Unternehmer, der Kundendaten (von natürlichen Personen) zur Erstellung einer Rechnung an den Kunden erfasst, ist „Verantwortlicher“.
- Der externe Buchhalter, der die Rechnungsdaten für die Bilanzerstellung von diesem Unternehmer erhält und verarbeitet, ist „Auftragsverarbeiter“.
- Weitere Beispiele für den „Auftragsverarbeiter“: Cloud-Dienste-Anbieter, Newsletter-Management-Anbieter, IT-Datenwartungsanbieter.
- Steuerberater sind nach einer neusten Entscheidung der Datenschutzbehörde keine Auftragsverarbeiter.
Erkläre den Begriff “Empfänger”
Als „Empfänger“ bezeichnet die DSGVO:
* eine natürliche oder juristische Person,
* Behörde,
* Einrichtung oder andere Stelle,
der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch NICHT als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
Der Auftragsverarbeiter gilt auch als Empfänger.
Erkläre den Begriff “Einwilligung”
Als „Einwilligung“ der betroffenen Person gilt jede
* freiwillig für den bestimmten Fall,
* in informierter Weise und
* unmissverständlich abgegebene
Willensbekundung in Form
* einer Erklärung oder
* einer sonstigen eindeutigen bestätigenden Handlung,
mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Diese Einwilligung kann
* schriftlich,
* elektronisch oder auch
* mündlich
erfolgen, etwa auch
* durch Anklicken eines Kästchens auf einer Internetseite,
* durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft
* oder andere Erklärungen oder Verhaltensweisen,
die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisieren.
* Stillschweigen,
* bereits vorangekreuzte Kästchen oder
* Untätigkeit
können keine Einwilligung darstellen.
Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig.
Eine „ausdrückliche“ Einwilligung ist nur bei der Verarbeitung von sensiblen Daten erforderlich.
Erkläre den Begriff “Kind”
Für die Rechtmäßigkeit der Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft legt die DSGVO eine Altersgrenze von 16 Jahren fest.
Von EU-Mitgliedsstaaten können niedrigere Grenzen vorsehen (nicht unter vollendetes 13.)
In Österreich ab vollendetem 14. Lebensjahr
Erkläre den Begriff “Pseudonymisierung”
„Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Erkläre den Begriff “Dateisystem”
Ein „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung
* zentral,
* dezentral oder
* nach funktionalen oder geographischen Gesichtspunkten geordnet
geführt wird.
Das Dateisystem kann automatisiert oder manuell geführt werden (technologieneutral).
Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, fallen nicht in den Anwendungsbereich der DSGVO.
Beispiel: Kundendatei (elektronisch oder in Papierform)
Erkläre den Begriff “Gesundheitsdaten”
Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, werden als „Gesundheitsdaten“ definiert.
Erkläre den Begriff “Genetische Daten”
„Genetische Daten“ sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betroffenen natürlichen Person gewonnen wurden.
Erkläre den Begriff “Biometrische Daten”
„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen und verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder und daktyloskopische Daten.
Neben –wie bisher –z.B. „Gesundheitsdaten“ zählen nun auch ausdrücklich „genetische Daten“ und „biometrische Daten“ zu den „besonderen Kategorien personenbezogener Daten“ (sensible Daten) und unterliegen damit strengeren Verarbeitungsvoraussetzungen.
Erkläre den Begriff “Profiling”
Darunter versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich : * Arbeitsleistung, * wirtschaftliche Lage, * Gesundheit, * persönliche Vorlieben, * Interessen, * Zuverlässigkeit, * Verhalten, * Aufenthaltsort oder * Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.Das Profiling unterliegt den Vorschriften der DSGVO, wie etwa der Rechtsgrundlage für die Verarbeitung, den Datenschutzgrundsätzen, der Informations-und Auskunftspflicht und besonderen Regeln, wenn damit eine automatische Generierung von Einzelentscheidungen verbunden ist. Beispiel: Automationsunterstützte Analyse der Kreditwürdigkeit eines Kunden.