Datei mit personenbezogenen Daten
Gemäß Artikel 3 (7) der Verordnung (EU) 2018/1725bezieht sich der Begriff „Datei mit personenbezogenen Daten“ auf „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.
Die Definition ist unabhängig von der Größe der Datei, die je nach den Umständen unterschiedlich sein kann. In einigen Fällen, wie z. B. bei Disziplinarakten für ein kleines EU-Organ, kann die Datei nur eine Handvoll Einträge umfassen.
Datenminimierung
Der Grundsatz der „Datenminimierung“ bedeutet, dass ein für die Verarbeitung Verantwortlicher die Erhebung personenbezogener Daten auf die Informationen beschränken sollte, die von direkter Relevanz und für die Erfüllung eines spezifischen Zwecks erforderlich sind. Außerdem sollten die Daten nur so lange aufbewahrt werden, wie es für die Erfüllung dieses Zwecks erforderlich ist. Anders ausgedrückt, sollten die für die Verarbeitung Verantwortlichen nur die personenbezogenen Daten erheben, die sie benötigen, und diese nur so lange aufbewahren, wie erforderlich.
Der Grundsatz der Datenminimierung ist verankert in Artikel 5 Absatz 1 Buchstabe c der DSGVO und Artikel 4 Absatz 1 Buchstabe c der Verordnung (EU) 2018/1725, in denen Folgendes festgelegt ist: Personenbezogene Daten mussen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
Data Mining
Data Mining ist der Prozess der Datenanalyse aus verschiedenen Perspektiven, um diese Daten dann in neue, nützliche Informationen zusammenzufassen. Die Data-Mining-Software ist eines aus einer Reihe von Werkzeugen für die Abfrage von Daten. Sie erlaubt den Benutzern, Daten aus vielen verschiedenen Dimensionen oder Gesichtspunkten zu analysieren und kategorisieren, und die identifizierten Beziehungen zusammenzufassen. Technisch gesehen ist Data Mining ein Suchprozess von Zusammenhängen oder Mustern unter Dutzenden von Bereichen in großen verwandten Datenbanken. Es wird allgemein in einem breiten Spektrum von Profiling-Verfahren verwendet, wie z. B. Marketing, Überwachung, Betrugserkennung und wissenschaftliche Forschung. Damit Data Mining wirksam ist, müssen große Mengen von zuvor gesammelten Daten analysiert werden.
Datenschutzbehörde
Eine Datenschutzbehörde ist eine unabhängige Stelle, die für folgende Aufgaben zuständig ist:
Überwachung der Verarbeitung personenbezogener Daten innerhalb ihres Zuständigkeitsbereichs (Land, Region oder internationale Organisation);
Beratung der zuständigen Stellen in Bezug auf gesetzgeberische und administrative Maßnahmen im Zusammenhang mit der Verwaltung personenbezogener Daten;
Anhörung von Beschwerden, die von Bürgern in Bezug auf den Schutz ihrer Datenschutzrechte eingereicht wurden.
Gemäß Artikel 28 der Richtlinie 95/46/EG muss jeder Mitgliedstaat in seinem Hoheitsgebiet mindestens eine Datenschutzbehörde einrichten, die über Untersuchungsbefugnisse (z. B. für den Zugang zu Daten und die Einholung von Informationen), wirksame Einwirkungsbefugnisse (z. B. die Befugnis, die Löschung von Daten anzuordnen oder ein Verbot einer Verarbeitung anzuordnen) und ein Klagerecht bei Verstößen gegen Datenschutzbestimmungen verfügt.
In fast allen europäischen Ländern sowie in zahlreichen anderen Ländern weltweit wurden nationale Datenschutzbehörden eingerichtet.
Datenschutz-Folgenabschätzung (DSFA)
Der Verantwortliche führt eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durch, wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Bewertung muss vor der Verarbeitung erfolgen und insbesondere bei Verwendung neuer Technologien die Art, den Umfang, den Kontext und den Zweck der Verarbeitung berücksichtigen. Gemäß Artikel 39 der Verordnung 2018/1725 kann bei einer Einzelbewertung eine Reihe ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken behandelt werden.
Weitere Informationen finden Sie hier und in den Leitlinien des EDSB zur DSFA.
Datenschutzkoordinator
Zusätzlich zu dem in der Verordnung (EU) 2018/1725 vorgesehenen behördlichen Datenschutzbeauftragten hat die Europäische Kommission in jeder ihrer Generaldirektionen einen Datenschutzkoordinator ernannt, der alle Datenschutzaspekte in der jeweiligen Generaldirektion koordiniert.
Datenschutzrichtlinie 95/46/EG
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (auch als „Datenschutzrichtlinie“ bezeichnet) ist das Kernstück der Rechtsvorschriften auf EU-Ebene im Bereich des Datenschutzes.
Die Richtlinie ist ein Rahmengesetz und wird infolgedessen in den EU-Mitgliedstaaten durch nationale Gesetze umgesetzt.
Ihr Ziel ist der Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten durch die Festlegung von Leitlinien, anhand derer bestimmt werden kann, wann eine Verarbeitung rechtmäßig ist. Die Leitlinien beziehen sich in erster Linie auf:
- die Datenqualität;
- die Rechtmäßigkeit der Verarbeitung;
- die Verarbeitung besonderer Kategorien personenbezogener Daten;
- die Informationspflicht gegenüber der betroffenen Person;
- das Auskunftsrecht der betroffenen Person;
- das Widerspruchsrecht gegen die Verarbeitung der Daten;
- die Vertraulichkeit und Sicherheit der Verarbeitung;
- die Meldung der Verarbeitung an eine Kontrollstelle.
Die Richtlinie legt auch Grundsätze für die Übermittlung personenbezogener Daten an Drittländer fest und sieht die Einrichtung von Datenschutzbehörden in allen EU-Mitgliedstaaten vor.
Datenschutzrichtlinie für elektronische Kommunikation 2009/136/EG
Die Richtlinie 2009/136/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, die im Mai 2011 in Kraft getreten ist, wird üblicherweise als "Datenschutzrichtlinie für elektronische Kommunikation“ bezeichnet. Sie ändert die Richtline 2002/58/EG.
Die Datenschutzrichtlinie für elektronische Kommunikation behandelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre, einschließlich Bestimmungen über:
- die Sicherheit von Netzen und Diensten;
- die Vertraulichkeit der Kommunikation;
- den Zugriff auf gespeicherte Daten;
- die Verarbeitung von Verkehrs- und Standortdaten;
- die Anzeige der Rufnummer des Anrufers;
- öffentliche Teilnehmerverzeichnisse;
- und unerbetene Werbenachrichten („Spam“).
Die wichtigsten Änderungen gegenüber der Richtlinie von 2002 enthalten die Regelung zur Meldung von Datenschutzverletzungen (z. B. jemand, dessen personenbezogene Daten bei der Verarbeitung durch den Internetdienstanbieter verloren, geändert oder unrechtmäßig zugegriffen werden, benachrichtigt werden sollte, wenn diese Verletzung ihn/sie möglicherweise negativ beeinflusst) und eine Erweiterung der Richtlinie, um auch verschiedene elektronische Etiketten, stärkere Durchsetzungsvorschriften u.a. zu decken.
Datenschutztag
Die Mitgliedstaaten des Europarates und die europäischen Einrichtungen begehen in jedem Jahr am 28. Januar den Europäischen Datenschutztag.
Dieses Datum ist der Jahrestag der Annahme des Übereinkommens Nr. 108 des Europarates, des ersten rechtsverbindlichen internationalen Instruments im Bereich des Datenschutzes.
Der Europäische Datenschutzbeauftragte begeht dieses Ereignis üblicherweise durch einen Informationsstand in den wichtigsten EU-Einrichtungen.
Datenübermittlung
Dritter
Gemäß Artikel 3 Buchstabe 14 der Verordnung (EG) Nr. 2018/1725 bezeichnet der Begriff „Dritter“ eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“.
Im Kontext der Organe und Einrichtungen der EU kann ein Dritter eine Behörde oder eine private Partei sein, die die personenbezogenen Daten eines Bediensteten vorübergehend bearbeiten muss. Das kann beispielsweise der Fall sein, wenn ein Bediensteter, der zu seinem Arbeitsort umzieht, um die Arbeit anzutreten, und der vorübergehend zu einer Mehrwertsteuerbefreiung berechtigt ist, ein Auto kauft. In diesem Fall wären die Autofirma, die Versicherungsgesellschaft, das Finanzministerium und die für die Kraftfahrzeugregistrierung zuständige Behörde Dritte.
Drittland
Ein Drittland ist ein Land, das nicht an die Datenschutz-Grundverordnung (DSGVO) gebunden ist – im Gegensatz zu den 28 Mitgliedstaaten der EU und den drei Ländern des Europäischen Wirtschaftsraums (EWR), Norwegen, Liechtenstein und Island.
Es kann anerkannt werden, dass Drittländer ein angemessenes Schutzniveau für personenbezogene Daten bieten, um die Übermittlung personenbezogener Daten von den EU- und EWR-Mitgliedstaaten in diese Länder zu ermöglichen.
Die Kommission hat bislang bestätigt, dass Andorra, Argentinien, die Färöer Inseln, Guernsey, die Isle of Man, Israel, Japan, Jersey, Kanada (nur Handelsorganisationen), Neuseeland, die Schweiz, Uruguay und die USA (wenn der Empfänger dem Datenschutzschild angehört) angemessenen Schutz bieten.
Ein solcher Beschluss bedeutet, dass personenbezogene Daten von den EU- und EWR-Mitgliedstaaten (innerhalb der Einschränkungen des sachlichen Geltungsbereichs des jeweiligen Beschlusses) ohne weitere Anforderungen an dieses Drittland übermittelt werden können.
Siehe auch: Fragen und Antworten zur Übermittlung personenbezogener Daten
Die Datenübermittlung bezeichnet die Übertragung bzw. Mitteilung von Daten an einen Empfänger auf beliebige Weise.
Gemäß Kapitel V der EU-DSGV und der Verordnung (EG) Nr. 2018/1725 unterliegt die Übermittlung an Empfänger in Ländern außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) besonderen Schutzmaßnahmen. Beispiele sind die Bedingungen für die Übermittlung von Fluggastdatensätzen oder im Zusammenhang mit der EU-US-Datenschutzschild.