Kleines Glossar zur DSGVO
Wichtige Begriffe und Konzepte erklärt.

Die DSGVO kann, wie jedes andere rechtliche Thema auch, auf den ersten Blick verwirrend wirken. Sie führt zahlreiche juristische Begriffe ein, die zum Verständnis der Regelungen wichtig sind.

Was etwa ist ein Verantwortlicher und wie unterscheidet er sich vom Auftragsverarbeiter? Und an welchen der beiden muss ich mich wenden, wenn ich meine Rechte gegen ein Unternehmen geltend machen möchte?

Damit Du den Überblick behältst und Deine Datenschutzrechte in Anspruch nehmen kannst, erklären wir Dir in diesem Artikel die wichtigsten Begriffe und Konzepte rund um die DSGVO. Du wirst merken: So schwer ist das gar nicht, wenn man einmal ein bisschen in der Thematik ist.

Die DSGVO (kurz für Datenschutz-Grundverordnung) ist eine EU-Verordnung, die am 25. Mai 2018 in Kraft getreten ist und die den Datenschutz in der Europäischen Union regelt. Sie soll den Bürger_innen eine bessere Kontrolle über ihre Daten geben und die Rechtslage EU-weit harmonisieren.

Als EU-Verordnung muss die DSGVO nicht erst von den Mitgliedsstaaten umgesetzt werden, sondern sie ist unmittelbar geltendes Recht. Dabei ersetzt sie in großen Teilen das bisher geltende nationale Datenschutzrecht, wie etwas das deutsche BDSG (Bundesdatenschutzgesetz). Einzelne Aspekte dürfen die Mitgliedsstaaten aber auch individuell ausgestalten, weshalb es in Deutschland seitdem das BDSG (neu) gibt.

Die Datenschutz-Aufsichtsbehörden sind unabhängige Stellen in jedem EU-Land, deren Aufgabe es ist, die Einhaltung der Datenschutzgesetze, insbesondere natürlich der DSGVO, sicherzustellen.

Dafür dürfen sie Verantwortliche kontrollieren, sie ggf. zur Einhaltung der Datenschutzgesetze auffordern und wenn nötig sogar Bußgelder verhängen.
Dir als Verbraucher_in stehen sie als unkomplizierte Hilfe zur Seite: Wenn Du meinst, dass ein Verantwortlicher Deine Daten nicht richtig verarbeitet, kannst Du Dich jederzeit kostenlos an die Datenschutz-Aufsichtsbehörden wenden.

Falls Du Dir nicht sicher bist, an welche Behörde Du Dich wenden solltest, schau Dir doch einmal unseren Datenschutz-Aufsichtsbehörden-Finder an.

Ein Auftragsverarbeiter ist – wie der Name schon andeutet – ein Unternehmen, das im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet. Lässt ein Unternehmen bspw. seinen E-Mail-Server von einem externen Hoster betreiben, so tritt dieser als Auftragsverarbeiter auf.

Verantwortlicher und Auftragsverarbeiter schließen einen sogenannten „Auftragsdatenverarbeitungs-Vertrag“ (ADV-Vertrag) ab, der genau regeln soll, wie die Daten verarbeitet werden.
Für Dich als Verbraucher_in wichtig: In aller Regel ist der Auftragsverarbeiter nicht der Ansprechpartner, wenn Du Deine Rechte ausüben möchtest. Wende Dich stattdessen direkt an den Verantwortlichen.

Manche Daten sind sensibler als andere. So hast Du vielleicht kein Problem damit, einer neuen App Deinen Namen zu verraten – Deine religiösen Ansichten muss sie aber nicht unbedingt wissen. Die DSGVO erkennt an, dass diese sogenannten „besonderen Kategorien personenbezogener Daten“ einen besonderen Schutz verdienen und brauchen. Deshalb ist die Verarbeitung solcher Daten nur unter genau bestimmten Umständen erlaubt.

Konkret geht es dabei um die folgenden Daten:

• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische Daten
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung

Die betroffene Person (selten auch „Datensubjekt“, von engl. „data subject“) ist der Mensch, dessen personenbezogene Daten verarbeitet werden. Als Verbraucher_in bist das also in der Regel Du.

Datenminimierung (oder Datensparsamkeit) ist ein wichtiges Konzept für den Datenschutz, das auch von der DSGVO vorgeschrieben wird. Die Idee dahinter ist simpel: Es sollten nur die Daten erhoben und verarbeitet werden, die auch tatsächlich für den jeweiligen Zweck nötig sind. Möchte ein Unternehmen Dir einen Newsletter schicken, braucht es dafür eigentlich nur Deine E-Mail-Adresse. Im Sinne der Datenminimierung sollte es dann auch nicht mehr Daten erheben.

Wichtig ist dieses Konzept nicht zuletzt aus Gründen der Sicherheit. Wir leben in einer Zeit, in der regelmäßig private Daten von Nutzer_innen an die Öffentlichkeit gelangen, weil Unternehmen diese nicht ausreichend gesichert haben. Daten, die ein Unternehmen nicht hat, kann es auch nicht verlieren.

Ein Datenschutzbeauftragter hat die Aufgabe sicherzustellen, dass ein Unternehmen (oder eine sonstige Organisation, z. B. auch eine Behörde) sich an das Datenschutzrecht hält. Er wird von dem Unternehmen selbst bestellt und muss eine gewisse Unabhängigkeit haben, um seine Aufgabe ausüben zu können.

Wenn ein Verantwortlicher einen Datenschutzbeauftragten bestellt hat, sollte dieser Dein Ansprechpartner für datenschutzbezogene Anfragen sein, etwa wenn Du Deine Rechte ausüben möchtest.

Das One-Stop-Shop-Prinzip regelt die Zuständigkeit der Datenschutz-Aufsichtsbehörden. Für Dich als Verbraucher_in heißt das konkret, dass Du Beschwerden auch bei der Aufsichtsbehörde an Deinem Wohnort oder Arbeitsplatz einreichen darfst, was insbesondere dann hilfreich ist, wenn der Verantworliche, über den Du Dich beschwerst in einem anderen Land sitzt.

Beim Finden der für Dich zuständigen Aufsichtsbehörde hilft Dir unser Datenschutz-Aufsichtsbehörden-Finder.

Das Konzept der personenbezogenen Daten ist Dreh- und Angelpunkt der DSGVO. Fast alle Regelungen beziehen sich darauf. Sobald sich eine Information einem konkreten Menschen zuordnen lässt, ist sie ein personenbezogenes Datum. Für die Zuordnung ist dabei nicht unbedingt ein Name erforderlich, es reicht auch z. B. eine IP-Adresse, ein Benutzername, eine Cookie-ID oder eine Kennnummer.

Die Information, dass die IP-Adresse 31.41.59.26 am 25. Mai 2018 unseren Generator aufgerufen hat, wäre also bspw. auf jeden Fall personenbezogen. Die Information, dass in einer Bäckerei am gleichen Tag ein Drittel der Kund_innen mit Bargeld gezahlt hat, hingegen nicht.

Profiling ist eine Form der automatisierten Entscheidungsfindung, bei der der Verantwortliche Deine personenbezogenen Daten nutzt, um automatisch ohne Eingriff eines Menschen bestimmte persönliche Aspekte von Dir zu bewerten. Häufig geht es darum, Aspekte wie die folgenden über Dich zu analyisieren und vorherzusagen:

• Arbeitsleistung
• wirtschaftliche Lage
• Gesundheit
• persönliche Vorlieben
• Interessen
• Zuverlässigkeit
• Verhalten
• Aufenthaltsort oder Ortswechsel

Ein klassisches Beispiel ist das Abschließen von Kredit- oder Mobilfunkverträgen. Viele Unternehmen werden vor dem Vertragsschluss Deine Daten an eine Auskunftei wie die Schufa, Creditreform Boniversum oder infoscore weiterleiten, die dann anhand bestimmter Aspekte (wie Deinem bisherigen Zahlungsverhalten oder der Anzahl Deiner Bankkonten) Aussagen dazu trifft, wie wahrscheinlich Du Deine Vertragspflichten erfüllen würdest.

Die DSGVO gewährt Dir umfangreiche Rechte im Bezug auf Deine personenbezogenen Daten. Das fängt an beim Recht auf Information: Wenn ein Verantworlicher Deine Daten verarbeiten möchte, muss er Dich darüber informieren und Dir mitteilen, wie Du ihn bei Fragen erreichen kannst.

Auch nachdem die Verarbeitung Deiner Daten einmal begonnen hat, hast Du noch zahlreiche weitere Rechte. So darfst Du bspw. anfragen, welche personenbezogenen Daten zur Dir verarbeitet werden und eine Kopie davon verlangen, die Berichtigung falscher Daten fordern und unter bestimmten Umständen sogar Deine Daten löschen lassen.

Einen umfassenden Überblick und eine genaue Erklärung zu diesem Thema findest Du in unserem Artikel zu Deinen DSGVO-Rechten.

Der Verantwortliche ist die Stelle, welche die Verarbeitung von personenbezogenen Daten selbst betreibt oder durch einen Auftragsverarbeiter durchführen lässt. Der Begriff der „Stelle“ ist hierbei sehr weit gefasst, es kann sich dabei z. B. um einen Menschen, ein Unternehmen, eine Behörde oder eine Organisation handeln.

Als eine Verarbeitung bezeichnet die DSGVO quasi alles, das ein Verantwortlicher mit personenbezogenen Daten tun kann. Dazu zählen insbesondere:

• das Erheben
• das Erfassen
• die Organisation und das Ordnen
• die Speicherung
• die Anpassung oder Veränderung
• das Auslesen oder Abfragen
• die Verwendung
• die Offenlegung
• den Abgleich oder die Verknüpfung
• die Einschränkung
• das Löschen oder die Vernichtung

Der Begriff bezieht sich dabei sowohl auf automatisierte als auch manuelle Vorgänge.