DSGVO-Glossar: Eine Aufschlüsselung für vielbeschäftigte Menschen
Veröffentlicht: 2018-02-16
Ein Schlüsselprinzip der DSGVO: Präsentieren Sie Ihre Datenrichtlinien den Benutzern frei von „Rechtssprache“.
WARUM GABEN SIE UNS 200 SEITEN GEHIRNSCHMELZENDEN JARGON ZUM LESEN?
Das Durchlaufen der neuen Datenschutz-Grundverordnung ist super wichtig.
Aber es macht so viel Spaß, als würde man sich ein Golfturnier in Zeitlupe ansehen.
Hier ist also eine Aufschlüsselung dessen, was all diese juristischen Begriffe bedeuten – in Sätzen geschrieben, die Sie nicht auf halbem Weg einschlafen werden.
Fühlen Sie sich frei, STRG + F zu verwenden, um Kopfschmerzen zu vermeiden.
Definitionen
Binding Corporate Rules (BCRs) : Haben Sie personenbezogene Daten in der EU? Sie an Mitarbeiter in Ihrer multinationalen Organisation übertragen möchten. außerhalb der EU? BCRs sind Ihre Regeln, die Sie befolgen müssen.
Biometrische Daten : „Körperdaten“. Wenn es Sie identifizieren kann und mit körperlichen, physiologischen oder Verhaltensmerkmalen zu tun hat, dann ist es das.
EINVERSTÄNDNIS : Das ist eine große Sache. DIE EINWILLIGUNG ZUR VERWENDUNG DER PERSÖNLICHEN DATEN VON JEMANDEM IST JETZT KOMPLIZIERT.
Es muss sein:
- frei gegeben
- Spezifisch
- positiv
- explizit
Wenn Sie also jemandem eine E-Mail senden, müssen Sie dessen Zustimmung haben, um per E-Mail benachrichtigt zu werden. Werden Sie ein Cookie verwenden? Auch dafür benötigen Sie eine gesonderte Einwilligung.
Sie müssen die Zustimmung der Personen unabhängig einholen. Sie können es nicht mit demselben Kontrollkästchen wie Ihre Datenschutzrichtlinie in einen Topf werfen.
Und Sie können das Kästchen „Ich stimme ____ zu“ nicht vorab markieren. Das müssen sie selbst machen.
Sie können nicht Ihren altmodischen Haftungsausschluss „Diese Seite verwendet Cookies, wenn Sie hier sind, sind Sie damit einverstanden“ schreiben und erwarten, dass er funktioniert.
Die Leute haben verstanden, wie Sie ihre Daten verwenden. Sie müssen Ihnen das OK geben, es so zu verwenden.
Das ist viel.
Mehr darüber haben wir hier geschrieben.
Daten zur Gesundheit : Wie es sich anhört (Gott sei Dank).
Datenverantwortlicher : Wenn Sie ein Vermarkter sind, sind Sie das wahrscheinlich. Es ist jeder, der personenbezogene Daten in irgendeiner Weise erfragt, sammelt und verwendet. Wenn Sie sie verarbeiten, wenn Sie sie speichern, wenn Sie bestimmen, wie die Daten von Personen verwendet werden – Sie sind ein Datenverantwortlicher. Herzlichen Glückwunsch!
Datenlöschung: AKA: „Recht auf Vergessenwerden.“ Dies bedeutet nur, dass eine betroffene Person (menschliche Person) wählen kann, dass alle Daten, die Sie über sie haben, gelöscht werden. Sie sagen das Wort, und Sie müssen ihre Daten löschen, aufhören, sie zu verwenden, und aufhören, sie in irgendeiner Weise (grob) zu verbreiten.
Datenübertragbarkeit : Wenn jemand zu Ihnen kommt und sagt: „HEY, ich möchte eine Kopie aller Daten, die Sie über mich haben“, müssen Sie sagen: „Klar, bitte schön.“ Und Sie müssen ihnen eine Kopie dieser Daten in einem Format übergeben, das sie leicht an jemand anderen weitergeben können. (Mehr Infos dazu lebt hier)
Datenverarbeiter : Was auch immer Sie (der Datenverantwortliche) verwenden, um Daten zu sammeln und zu verarbeiten. Viele Ihrer Marketing-Tools sind Datenverarbeiter (denken Sie an Analyse-Tools, A/B-Test-Tools, Plugins und dergleichen).
Datenschutzbehörde : Die gruseligen Leute, die dafür sorgen, dass Sie die Regeln einhalten. Dies sind nationale Behörden, die für den Schutz von Daten und Privatsphäre zuständig sind und die Durchsetzung der DSGVO innerhalb der EU überwachen.
Datenschutzbeauftragter : Jemand, den Sie ernennen sollten, um diesen ganzen Regulierungswahnsinn zu handhaben, wenn Sie ein Unternehmen mit mehr als 250 Mitarbeitern sind (aber um ehrlich zu sein, die DSGVO kann sich nicht wirklich entscheiden, wie hoch diese Zahl sein sollte). Dies ist ein Experte für Datenschutz, der unabhängig mit Ihnen zusammenarbeitet und Sie auf dem neuesten Stand der DSGVO hält.
Datensubjekt : Mensch – der über Daten verfügt, die Sie haben, sehen oder verwenden.
Delegierte Rechtsakte : Lustige „Bonusgesetze“, die bestehende ergänzen, um mehr Klarheit oder Kriterien zu schaffen. Erwarten Sie eine Reihe davon von unabhängigen EU-Nationen, die sich weiterentwickeln.
Abweichung : Ausnahmen von Gesetzen!
Richtlinie : Dies ist das Gesetz, das ein „Ziel“ für alle EU-Länder festlegt. Dann erlässt jedes Land seine eigenen nationalen Gesetze, um dieses Ziel zu erreichen.
Verschlüsselte Daten : Mehr oder weniger: Sie schützen persönliche Daten, indem Sie alles durcheinander bringen. Die Datenverschlüsselung stellt sicher, dass nur Personen mit festgelegten Zugriffsrechten auf die von Ihnen gespeicherten Daten zugreifen oder diese lesen können. Soweit Sicherheitsmaßnahmen gehen, ist es eine sehr gute Idee.
Unternehmen : Alles, was eine wirtschaftliche Tätigkeit ausübt – unabhängig von seiner „Rechtsform“. Also Menschen, Organisationen, Vereine, wie Sie es nennen. Jeder, der Geld macht oder damit herumspielt.
Ablagesystem : Die DSGVO gilt an zwei Stellen: für automatisierte Systeme (Speicherung von Daten auf dem Computer und in Datenbanken) oder, für Papierkopien, in „relevanten Ablagesystemen“. Ein Ablagesystem ist „relevant“, wenn es nach bestimmten Kriterien durchsucht oder aufgerufen werden kann – wie Name, ID-Nummer, Telefonnummer usw.)
Wenn Sie also alle Ihre HR-Daten in nicht markierte, ungeordnete Kisten werfen, müssen Sie sich wegen der DSGVO wahrscheinlich keine Gedanken darüber machen. Sie sollten sich nur Sorgen um sie machen, denn Sie wissen schon, aus jedem anderen Grund.
Genetische Daten : Die offizielle Website der EU definiert dies, aber komm schon. Sie wissen, was Genetik ist.
Unternehmensgruppe : Es gibt eine Menge Rechtsprechung zu sichten, um zu verstehen, was ein „Unternehmen“ ist – aber es läuft mehr oder weniger darauf hinaus: Ein Unternehmen liegt vor, wenn ein Unternehmen die Kontrolle über ein anderes Unternehmen hat. Und Kontrolle bedeutet in diesem Fall die Fähigkeit, „entscheidenden Einfluss“ auszuüben.
Beispiel: Ein Mutterunternehmen hält eine Mehrheitsbeteiligung an einer Tochtergesellschaft. Es wird angenommen, dass sie die Kontrolle ausüben können. Das ist ein Unterfangen.
Und eine Unternehmensgruppe ist eine Unternehmensgruppe.
Hauptniederlassung : Dies hat mehr oder weniger damit zu tun, wo die Aufsicht angewendet wird. Es ist der Ort innerhalb der Gewerkschaft, an dem die Entscheidungen über die Datenverarbeitung getroffen werden. Das heißt – wenn Sie Ihre Daten in Deutschland verarbeiten, befindet sich Ihre „Hauptniederlassung“ in Deutschland, auch wenn Sie anderswo ansässig sind.
PERSONENBEZOGENE DATEN : EIN ANDERES GROSSES. Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen und mit deren Hilfe diese identifiziert werden kann. Dazu gehören Daten, die sie indirekt identifizieren oder in Kombination mit anderen eingehenden Daten identifizieren können.
Dies unterscheidet sich von PII (Personal Identifiable Information) . Und es ist eine strengere Definition, als wir sie jemals zuvor gesehen haben.
Hier ist eine vollständige Aufschlüsselung:
Personenbezogene Daten (PII) | Persönliche Daten |
|
+
|
Verletzung personenbezogener Daten : Ein großes „Ups“. Dies ist immer dann der Fall, wenn jemand versehentlich oder unrechtmäßig auf die von Ihnen gespeicherten personenbezogenen Daten zugreifen, diese zerstören oder missbrauchen kann. Gemäß der DSGVO sind Sie verpflichtet, alle Ihre betroffenen Personen innerhalb von 72 Stunden über eine davon zu informieren.
Privacy by Design : Hören Sie auf zu zögern. Wenn Sie ein System aufbauen, das mit Daten umgeht – eine Schnittstelle, eine Website, irgendetwas –, sollten Sie über den Datenschutz nachdenken, BEVOR Sie überhaupt anfangen. Es sollte unter Berücksichtigung von Datenrechten konzipiert werden. Sie sollten keine Last-Minute-Ausgabe sein.
Datenschutz-Folgenabschätzung : Das sollten Sie (zusammen mit Ihrem Datenschutzbeauftragten) tun! Im Grunde ist dies nur eine Prüfung auf potenzielle Datenschutzrisiken. Es bedeutet, einen Blick auf Ihre persönlichen Daten zu werfen, wie sie verarbeitet werden und was Sie gerade tun, um sie zu schützen.
Verarbeitung : ALLES, was Sie mit personenbezogenen Daten tun – manuell oder automatisch. Sammeln, aufnehmen, nutzen. Persönliche Daten blitzen nur so über Ihren Bildschirm und werden verarbeitet.
Profilerstellung : Wenn Sie personenbezogene Daten automatisieren und analysieren, um das Verhalten einer (bestimmten) Person vorherzusagen, gilt dies als Profilerstellung.
Pseudonymisierung – Sie haben personenbezogene Daten. Sie verarbeiten sie auf eine Weise, bei der Sie sie keiner betroffenen Person mehr zuordnen können – zumindest nicht ohne eine andere, separat gespeicherte Information. Das klassische Beispiel ist das Ersetzen identifizierbarer Daten durch einen reversiblen, konsistenten Wert – wie eine Folge von Zufallszahlen – die später „entsperrt“ und neu zugeordnet werden können.
Dies ist anders als tatsächlich anonymisierte Daten: bei denen die identifizierbare Information vollständig zerstört wird.
Welche Techniken unter der DSGVO als Pseudonymisierung „zählen“, ist noch nicht ganz geklärt, und es gibt viele Grauzonen darüber, welche Art von Daten als „wahrscheinlich identifiziert“ oder „ziemlich wahrscheinlich“ identifiziert werden.
Aber es gibt einige ausgefallene DSGVO-Anreize für die Pseudonymisierung Ihrer personenbezogenen Daten. Diese finden Sie in Erwägungsgrund 29.
Wenn Sie beispielsweise Ihre standardmäßigen, regelmäßigen alten personenbezogenen Daten erheben, dürfen Sie diese nur aus Gründen verwenden, die von der betroffenen Person ausdrücklich „gebilligt“ wurden. Aber mit der Pseudonymisierung haben Sie etwas mehr Spielraum, wie Sie Daten verarbeiten können – auch wenn sie für andere Zwecke als den ursprünglich gesammelten verwendet werden.
Empfänger – Eine Person, der personenbezogene Daten offengelegt werden.
Verordnung – Gesetz, das verbindlich ist und in der gesamten EU gilt.
Vertreter – Wenn die Leute, die die Einhaltung der DSGVO übersehen, Datenverantwortliche (z. B. Ihr Unternehmen) auffordern müssen, Bedenken auszuräumen, wenden sie sich an Ihre Vertreter. Vertreter müssen sich in der Union befinden und ausdrücklich für die Aufgabe benannt werden.
Recht auf Vergessenwerden : Siehe Datenlöschung oben.
Zugriffsrecht / Zugriffsrecht der betroffenen Person: Wenn Sie über die personenbezogenen Daten einer Person verfügen, kann diese um Zugriff darauf bitten. Man muss es ihnen geben können.
Aufsichtsbehörde : Jeder EU-Mitgliedstaat wird eine öffentliche Behörde ernennen, die die Einhaltung der DSGVO überwacht. Das ist eine Aufsichtsbehörde (vielleicht kennen Sie sie auch als DPA oder Datenschutzbehörde).
Triloge – Nachdem alle den ersten Gesetzesentwurf gelesen haben, treffen sich die Europäische Kommission, das Europäische Parlament und der Rat der EU informell, um zu verhandeln. Diese Sitzungen werden Triloge genannt und werden abgehalten, damit ein Kompromisstext schnell angenommen werden kann.
Akronyme:
BCRs : Binding Corporate Rules (siehe oben)
CFR : Die Charta der Grundrechte der Europäischen Union
EuGH : der Gerichtshof der Europäischen Union.
DPA : Datenschutzbehörde (siehe Aufsichtsbehörde)
DSB : Datenschutzbeauftragter
EMRK : Europäische Menschenrechtskonvention.
EDPB : Europäischer Datenschutzausschuss
DEPS : Europäischer Datenschutzbeauftragter
EWR : Europäischer Wirtschaftsraum (die 28 EU-Mitgliedsstaaten plus Island, Liechtenstein und Norwegen)
AEUV : Vertrag über die Arbeitsweise der Europäischen Union.
WP29 : Arbeitsgruppe Artikel 29. Es war ein Beratungsgremium auf EU-Ebene, das sich aus nationalen Datenschutzbehörden zusammensetzte. Aber das EDPB hat es unter GDPR mehr oder weniger ersetzt.
