Die Datenschutz-Grundverordnung (DS-GVO) definiert Begriffe mit dem Ziel, diese klar von einander abzugrenzen damit alle Betroffenen eine eindeutige Sprache verwenden. Die Begriffe weichen teils von der vorherigen Verwendung in Gesetzestexten ab, die Novellierungen erfahren, so wie beispielsweise das deutsche Bundesdatenschutzgesetz (BDSG-neu).
Wichtig ist die Unterscheidung der Rolle, die eine Organisation bei Tätigkeiten der Verarbeitung personenbezogener Daten einnimmt, sowie die Unterscheidung zwischen den Arten verarbeiteter Daten. Die wichtigsten Begriffe werden im Folgenden aufgeführt, sie bilden die Grundlage der DS-GVO.
Unterschiedliche Arten von Daten
Die Datenschutz-Grundverordnung ist darauf ausgelegt, die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schützen. Sie orientiert sich hierbei am Risikos, das diese bei einer der Verletzung des Datenschutzes für betroffene Personen darstellen.
„Personenbezogene Daten“ sind primär alle Daten, die zur Identifikation einer natürlichen Person, e.g. betroffenen Person, führen oder einer identifizierten Person zugeordnet werden können. Die Zuordnung von Daten zu Personen geschieht mit Hilfe einer Kennung, also dem Namen einer Person, einer IP-Adresse (Online-Kennung), Kundennummer oder auch gesammelten Standortdaten.
Darüber hinaus gelten spezielle Vorschriften für „besondere Kategorien personenbezogener Daten“ und ein generelles Verarbeitungsverbot. Also eine eindeutige Untersagung, die nur unter bestimmten Voraussetzungen zu umgangen werden darf. Zu besonderen Kategorien zählen folgende Daten:
- biometrische Daten (Videoaufnahmen, Fingerabdruck, etc.)
- rassische und ethnische Herkunft,
- politische Meinungen,
- Gewerkschaftszugehörigkeit,
- religiöse Überzeugung,
- genetische Daten,
- Gesundheitsdaten
- Daten zur sexuellen Orientierung
Rollen bei Verarbeitungstätigkeiten
Eine Organisation handelt dann in der Rolle des „Verantwortlichen“ für die Verarbeitungstätigkeiten, wenn sie alleine oder gemeinsam mit anderen über den Zweck der Datenverarbeitung und die gewählten Mittel entscheidet. Sofern sie Daten im Auftrag des Verantwortlichen verarbeitet, fällt einer Organisation die Rolle des „Auftragsverarbeiters“ zu. Dies ist u.a. relevant für Zulieferer und Dienstleistungsunternehmen, wie Paketdienste, Marketingsunternehmen und Hosting-Unternehmen die im Auftrag des Verantwortlichen mit Kundendaten umgehen.
Mit „Organisation“ kann ein Unternehmen oder z.B. einer Unternehmensgruppe gemeint sein, wobei die wirtschaftliche Tätigkeit im Vordergrund liegt, unabhängig von der gewählten Rechtsform. Es zählen hierzu auch Personengesellschaften und Vereinigungen, sofern einer wirtschaftliche Tätigkeit mit gewisser Regelmäßigkeit nachgegangen wird.
Behörden und öffentliche Stellen treten ebenfalls ihrer Verarbeitungstätigkeit nach als Verantwortlicher oder Auftragsverarbeiter auf. Nach der Datenschutz-Grundverordnung gelten allerdings teils andere Bestimmungen, auch in Abhängigkeit davon, ob diese national oder als EU-Behörde angesiedelt sind.
Relevante Begriffe der DS-GVO
Neben den grundlegenden Begriffen zur Art der verarbeiteten Daten oder der Rolle des Datenverarbeiters, gibt es verschiedene Begriffe, die hohe Relevanz besitzen. Hierzu gehören vor allem die folgenden Begriffe.
Verarbeitung ist der zentralste Begriff der DS-GVO. Er umfasst die gesamte „Lebensdauer“ von Daten, vom Erfassen über das Speichern, Ordnen, Verändern, Übermitteln und Löschen. Jede Tätigkeit die die Daten berührt, gilt als Verarbeitung. Häufig wird im Kontext personenbezogener Daten beispielsweise in Datenschutzerklärungen, Hinweistexten, etc. von einer „Erhebung“ oder „Erfassung“ und Verarbeitung personenbezogener Daten gesprochen. Tatsächliche sind die Erfassung oder Erhebung von Daten bereits Teil der Verarbeitung. Eine Einwilligung in die Verarbeitung muss entsprechend vor dem Erheben oder Erfassen vorliegen.
„Anonymisierung“ ist ein Grundsatz des Datenschutzes, bei dem Daten in einer Weise verändert werden, durch die jeglicher Bezug zu einer Person (möglichst) ausgeschlossen wird. Hierbei werden jegliche personenbezogenen Merkmale aus einem Datensatz wie auch der Bezug von Daten untereinander gelöscht.
Bei „Pseudonymisierung“ handelt es sich um eine Art der Anonymisierung, bei der die Bezüge einzelner Daten untereinander weiterhin möglich ist. Dies geschieht unter Hinzunahme weiterer Informationen. So könnte beispielsweise eine Auswertung verknüpfter Merkmale, wie Krankheitstage von Mitarbeitern und Dauer der Unternehmenszugehörigkeit, durch eine Personalabteilung durchgeführt werden, ohne ein hohes Risiko für betroffene Personen darzustellen. Pseudonymisierung muss stets kompetent angewandt werden. Denn es ist es durch statistische Methoden (oder auch bekannten Verweise) möglich, Daten mit relativer Sicherheit einer bestimmte Person zuzuordnen. Ein einfaches Beispiel hierfür sind Ausreißer einer Stichprobe oder Auswertung. Diese Ausreißer können bei ausreichender Bekanntheit mit der Gesamtmenge (z.B. dem Kollegenkreis) einzelne Werte Personen eindeutig zuzuordnen werden.
Der Begriff „Einwilligung“ begegnet Besuchern praktischer jeder Webseite tagtäglich, im Falle von Newslettern oder Kontaktformularen sogar als verpflichtend abzugebende Willenserklärung. Die Notwendigkeit zur Einwilligung in Verarbeitungstätigkeiten personenbezogener Daten ergibt sich aus verschiedenen Artikeln der DS-GVO und bildet die hauptsächliche Rechtsgrundlage, auf der Organisationen Daten verarbeiten dürfen. Eine Einwilligung z.B. in eine Datenschutzerklärung oder Newsletter-Versandt muss bestimmte Vorgaben erfüllen, allem voran muss die freiwillig abgegeben werden und verständlich formuliert sein.
„Profiling“ bezieht sich auf die automatisierte Verarbeitung von personenbezogenen Daten mit dem Ziel, zusätzliche Erkenntnisse über eine natürliche Person gewinnen. So lassen sich über eine ausreichende Menge an Daten bestimmte Aspekte wie wirtschaftliche Lage, Gesundheitszustand, Vorlieben, Ortswechsel, Bonität, Zuverlässigkeit bewerten sowie analysieren oder vorhersagen. Als Beispiel sei die Schufa genannt, die einen häufigen Wohnortwechsel als Zeichen für eine geringe Bonität in die Berechnung der Zahlungsfähigkeit natürlicher Personen einbezog (und unseres Wissens nach, weiterhin einbezieht).
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics