Datenschutzexperten ABC
Letzte Bearbeitung: 9. Mai 2023 | Michael Ulm
Im Zuge des heutigen Datenschutztages haben wir uns, als Datenschutzexperten, dafür entschieden, dass wir Ihnen gerne einen Einblick in die wichtigsten Begrifflichkeiten geben möchten.
Sie haben keine Ahnung was im Konkreten die Begriffe Personenbezogene Daten, Profiling oder Gesundheitsdaten im Sinne der DSGVO bedeuten? Dann sind Sie hier genau richtig!
Wichtige Begriffe der DSGVO
Vorerst noch ein kurzer Einblick was die DSGVO grundsätzlich ist und bedeutet. Seit Mai 2018 gilt europaweit die Datenschutz-Grundverordnung (DSGVO). Die Datenschutz-Grundverordnung regelt die Verarbeitung personenbezogener Daten, die unter anderem den Schutz von personenbezogenen Daten innerhalb der EU gewährleistet. Diese Regelung löst die bis 2018 gültigen Nationalen Gesetze, sowie die europäische Datenschutz-Richtlinie aus dem Jahr 1995 ab.
Einen detaillierteren Einblick zum Thema DSGVO in Österreich bekommen Sie in einen weiteren Blogartikeln.
Personenbezogene Daten
Unter personenbezogenen Daten werden alle Informationen verstanden, welche sich auf eine identifizierte oder identifizierbare natürliche Person zurückführen lassen. Diese natürliche Person wird im Folgenden auch als „betroffene Person“ bezeichnet.
Was ist nun eine natürliche Person? Ganz einfach erklärt, ein Mensch aus Fleisch und Blut. Weswegen ein Unternehmen oder eine Behörde keine „betroffene Person“ ist.
Nun ist hier dennoch ein weiterer Begriff aufgetaucht, der einem manchmal den Kopf zerbricht.
Identifizierbar: Dies bedeutet im Zuge von personenbezogenen Daten jenes, dass die natürliche Person direkt oder indirekt mittels einer Kennung zugeordnet werden kann. Kennungen können Namen, Adresse, Geburtsdaten, Dankdaten oder ähnliches sein.
Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden außer:
- auf rechtmäßige Weise und in nachvollziehbarer Weise erfolgt
- für festgelegte, eindeutige und legitime Zwecke erfolgt
- auf das notwendige Maß beschränkt ist („Datenminimierung“)
- nur so lange erfolgt, wie dies für den erforderlichen Zweck unbedingt notwendig ist
- und angemessenen Schutz vor unrechtmäßiger Verarbeitung oder Verlust gewährleistet
Besondere Kategorie personenbezogener Daten
Auch sensible Daten genannt, sind jene Daten, welche beispielsweise die rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit preisgeben. Ebenso zählen zu sensiblen Daten genetische und/oder biometrische Daten sowie Daten zur sexuellen Orientierung. Konkrete Beispiele hierfür sind der Fingerabdruck, der Irisscan oder die Krankengeschichte einer natürlichen Person.
Verarbeitung
Wissen Sie, ab wann von einer Verarbeitung personenbezogener Daten gesprochen wird? Sobald Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst oder ähnliches werden.
Grundsätzlich ist wie eben schon erwähnt, die Verarbeitung von personenbezogenen Daten verboten – aber wie man so schön sagt: „Ausnahmen bestätigen die Regel“.
Personenbezogene Daten dürfen verarbeitet werden, wenn diese zum Beispiel, …
- … auf rechtmäßiger und nachvollziehbarer Art und Weise erfolgt,
- für festgelegt, eindeutige und legitime Zwecke erfolgt oder
- nur so lange erfolgt, wie dies für den erforderlichen Zweck unbedingt notwendig ist … .
Verantwortlicher und Auftragsverarbeiter
Dies ist eine natürliche oder juristische Person oder ein Unternehmen, die über die Verarbeitung von personenbezogenen Daten entscheidet. Beispiel:
Der Auftragsverarbeiter ist ebenso eine natürliche oder juristische Person oder ein Unternehmen. Dieser bearbeitet hingegen personenbezogenen Daten, im Auftrag des Verantwortlichen. Beispiel
Einwilligung
Eine Einwilligung zur Verarbeitung personenbezogener Daten ist dann gegeben, wenn die betroffene Person zu verstehen gibt, dass diese mit der Verarbeitung einverstanden ist. Eine Einwilligung muss freiwillig und nicht pauschal (nur für einzelne Verarbeitungsvorgänge) erfolgen. Es gibt ein Koppelungsverbot und die Einwilligung darf kein Teil der AGB sein. Wichtig ist hier noch anzumerken, dass Kinder bis zum vollendeten 14 Lebensjahr nur durch eine(n) Obsorgeberechtigte(n) einwilligen dürfen.
Pseudonymisierung
Der Begriff Pseudonymisierung oder auch Verschlüsselung ist ein wesentlicher Punkt im Datenschutz. Eine Pseudonymisierung erfolgt dann, wenn personenbezogenen Daten nicht mehr der betroffenen Person zugeordnet werden können. Es müssten zusätzliche Informationen zu den personenbezogenen Daten hinzugefügt werden, um diese zuordnen zu können.
Profiling
Das ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Ein Beispiel hierfür wäre die automationsunterstützte Analyse der Kreditwürdigkeit eines Kunden.
Warum ist mea IT Services der richtige Ansprechpartner zum Thema Datenschutz?
Michael Ulm, Geschäftsführer der mea IT Services, ist geprüfter Datenschutzexperte. Daher ist er auch die perfekte Ansprechperson für Beratungen zum Thema Datenschutz oder als externer Datenschutzbeauftragter. Dank dem Lehrgang von incite sowie dem Masterstudium IT-Recht und Management an der FH JOANNEUM konnte sich Michael Ulm ein grundlegendes Know-How im Bereich der DSGVO aneignen.
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten für Ihr Unternehmen? Wir können Sie bei der Umsetzung der Pflichten gemäß DSGVO unterstützen. Unter folgendem Link finden Sie einerseits den Ablauf der Umsetzung der DSGVO sowie einen Überblick eines möglichen Vorgehens in Ihrem Unternehmen.
Genießen Sie unsere exklusive Booster Datenschutzberatung
Unsere Booster Datenschutzberatung stärkt das Datenschutzbewusstsein innerhalb Ihres Unternehmens.
Die Beratung beinhaltet folgende Schwerpunkte:
- Durchsicht der technischen und organisatorischen Maßnahmen (TOM)
- Durchsicht der Verarbeitungsverzeichnisse
- Durchsicht möglicher Dokumentationen von IT-Landschaften und ggf. Zusammenstellung einer passenden Checkliste für IT-Administratoren
- Wie sehen (digitale) Sicherheitskonzepte aus? Ist Ihr Unternehmen gegen digitale Angriffe ausreichend geschützt?
- Wie können Sie sich gegen Social Engineering Attacken schützen?
- Sind Ihre Mitarbeiter*innen ausreichend zum Thema Datenschutz geschult?
- Wissen Ihre Mitarbeiter*innen darüber Bescheid, welche Daten innerhalb des Unternehmens verarbeitet werden?
- Wie sieht Ihre derzeitige Clean Desk Policy in den Büroräumen aus?
Wir bieten Ihnen ein flexibles Paket zur Betreuung und Unterstützung Ihres Unternehmens im Datenschutz.