Glossar

„Personenbezogene Daten“ sind alle Daten und Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Dazu gehören Namen, Adressen, E-Mail-Adressen, Kennungen, Augenfarbe oder andere Daten, die einer natürlichen Person zugeordnet werden können.

Es umfasst alle Daten über eine identifizierbare Person, d. h. es kann sich nicht nur um PII (eine Untergruppe personenbezogener Daten) handeln, sondern auch um andere Informationen, die zwar nicht direkt zur Identifizierung einer Person führen, aber dennoch mit ihr in Verbindung gebracht werden können.

PII bezieht sich auf einen bestimmten Datensatz, der zur direkten Identifizierung einer Person verwendet werden kann. Dazu gehören Informationen wie Namen, Adressen, Sozialversicherungsnummern und Finanzdaten wie Kreditkartennummern. PII ist in erster Linie ein Begriff, der in Nordamerika im regulatorischen Kontext verwendet wird und sich auf Daten bezieht, die eine Person direkt identifizieren können.

In Europa bezieht sich der Begriff „personenbezogene Daten” auf Daten oder Informationen im Zusammenhang mit Datenschutz- und Datenschutzvorschriften. PII ist eine Untergruppe der personenbezogenen Daten, die für die DSGVO relevant sind.

„Verarbeitung personenbezogener Daten” bezeichnet den Umgang mit/die Nutzung von personenbezogenen Daten, wie z. B. das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Löschen oder Vernichten.

Im Rahmen der DSGVO sind „besondere Kategorien personenbezogener Daten“, oft auch als „sensible Daten“ bezeichnet, besonders sensibel und erfordern besonderen Schutz, da sie einen größeren Einfluss auf die Rechte natürlicher Personen haben können. In der DSGVO werden die folgenden Kategorien unter dieser Kategorie berücksichtigt:

• Rasse oder ethnische Herkunft
• politische Meinungen
• religiöse oder philosophische Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische Daten
• biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verwendet werden
• Gesundheitsdaten
• Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

Wenn besondere Kategorien verarbeitet werden, müssen verstärkte Schutzmaßnahmen (technische und organisatorische Maßnahmen) angewendet und eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden.

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach der DSGVO ist der Verantwortliche für die Erfüllung der Datenschutzverpflichtungen verantwortlich.

„Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag und auf Anweisung des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter darf personenbezogene Daten nur im Auftrag eines Verantwortlichen und gemäß den Anweisungen in einer Auftragsverarbeitungsvereinbarung (AVV) verarbeiten.

„Datenschutz durch Technikgestaltung“ ist ein Ansatz im Bereich Systemtechnik, bei dem der Datenschutz während der gesamten Konzeption und Entwicklung von Systemen, Produkten und Dienstleistungen im Vordergrund steht.

„Datenschutz durch Voreinstellung“ ist ein Grundsatz, der betont, wie wichtig es ist, dass die Standardeinstellungen aller Produkte oder Dienstleistungen so gestaltet sind, dass sie die Daten der Nutzer schützen, ohne dass diese die Einstellungen ändern müssen, um ihre Daten zu sichern.

Eine „Datenschutzvorfall“ bezieht sich auf die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unbefugte Offenlegung oder den unbefugten Zugriff auf personenbezogene Daten. Dazu gehören Vorfälle, die die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigen.

Anonymisierung ist der Prozess, bei dem Daten irreversibel anonymisiert werden, sodass die Personen, auf die sich die Daten beziehen, unter keinen Umständen mehr identifiziert werden können. Das bedeutet, dass die Daten nach der Anonymisierung nicht mehr mit einer bestimmten Person in Verbindung gebracht werden können. Anonymisierte Daten gelten nicht als personenbezogene Daten und unterliegen nicht denselben Beschränkungen hinsichtlich ihrer Verarbeitung wie personenbezogene Daten gemäß der Datenschutz-Grundverordnung (DSGVO). Ein Beispiel für Anonymisierung kann ein Datensatz mit 1 Million Nutzern und deren Alter sein. Wenn das Alter in vier Gruppen zusammengefasst wird – 0 bis 20 Jahre, 21 bis 40 Jahre, 41 bis 60 Jahre und 61 Jahre und älter – ist es anhand der rohen Nutzerzahlen in jeder Kategorie nicht möglich, das Alter eines einzelnen Nutzers zu identifizieren.

Wichtig: Anonymisierung ist sehr schwer zu erreichen und sollte nicht als Teil einer Verarbeitungstätigkeit genannt werden, wenn sie nicht ordnungsgemäß umgesetzt wurde.

Bei der Pseudonymisierung werden personenbezogene Daten so verarbeitet, dass sie ohne zusätzliche Informationen nicht mehr direkt einer bestimmten betroffenen Person zugeordnet werden können. Beispielsweise kann der Name eines Kunden aus einem Datensatz mit früheren Buchungen entfernt werden, sodass nicht mehr ersichtlich ist, wer die Buchungen vorgenommen hat. Wenn andere Daten oder nur der Name zum Datensatz hinzugefügt werden, kann dieser wieder mit einer natürlichen Person in Verbindung gebracht werden. Pseudonymisierte Daten fallen vollständig in den Anwendungsbereich der DSGVO, und es gelten alle Verpflichtungen. Bitte beachten Sie, dass die Pseudonymisierung, sofern zutreffend, von der DSGVO als bewährte Praxis vorgeschrieben ist.

Datenlöschung bedeutet, Daten so zu vernichten/entfernen, dass sie mit keinen Mitteln mehr wiederhergestellt werden können.