Artikel 4 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union enthält wichtige Definitionen, die im Kontext der Verordnung verwendet werden. Die DSGVO ist eine Verordnung des Europäischen Parlaments, des Rates der Europäischen Union und der Europäischen Kommission, die Datenschutz und Privatsphäre für alle Einzelpersonen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) regelt. Sie zielt darauf ab, die Kontrolle der Bürger über ihre persönlichen Daten zu verstärken und die Datenschutzvorschriften innerhalb des EU-Binnenmarktes zu vereinheitlichen.
Artikel 4 spezifiziert Begriffsdefinitionen und ist für das Verständnis der Verordnung entscheidend.
Zum Beispiel:
„personenbezogene Daten“: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
„Verarbeitung“: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Diese und andere Definitionen sind für die Anwendung und Durchsetzung der DSGVO wichtig, da sie den Rahmen dafür abstecken, wie personenbezogene Daten gehandhabt werden müssen. Die DSGVO verlangt von Organisationen, die in der EU tätig sind oder personenbezogene Daten von in der EU ansässigen Personen verarbeiten, ein hohes Maß an Schutz und transparente Informationspraktiken, was mitunter auch die Einrichtung von Datenschutzbeauftragten, Datenschutz-Folgenabschätzungen und die Meldung von Datenschutzverletzungen umfasst.
Artikel 4 der Datenschutz-Grundverordnung (DSGVO) definiert die Begriffe, die in der Verordnung verwendet werden. Eine klare Definition der Begriffe ist wichtig, um ein gemeinsames Verständnis von Datenschutz und Datensicherheit zu gewährleisten. Im Folgenden werden einige der wichtigsten Begriffe aus Art. 4 DSGVO erläutert.
- Personendaten: Unter Personendaten versteht die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies können beispielsweise Name, Adresse, E-Mail-Adresse oder IP-Adresse sein. Auch besondere Kategorien von Personendaten wie Gesundheitsdaten oder Informationen zu politischen Meinungen werden von der DSGVO erfasst.
- Verarbeitung: Verarbeitung ist ein weiterer wichtiger Begriff in der DSGVO. Er bezieht sich auf alle Vorgänge, bei denen Personendaten erhoben, genutzt, gespeichert oder gelöscht werden. Dazu zählen auch die Weitergabe oder der Abruf von Personendaten.
- Verantwortlicher: Der Verantwortliche ist eine natürliche oder juristische Person, die über den Zweck und die Mittel der Verarbeitung von Personendaten entscheidet. Der Verantwortliche muss sicherstellen, dass die Verarbeitung der Personendaten im Einklang mit den Grundsätzen der DSGVO steht und dass die betroffenen Personen über ihre Rechte informiert sind. Beispiele für Verantwortliche sind Unternehmen, die personenbezogene Daten ihrer Kunden verarbeiten, sowie öffentliche Stellen, die Personendaten verwalten.
- Auftragsverarbeiter: Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die im Auftrag des Verantwortlichen Personendaten verarbeitet. Hierbei handelt es sich um eine Unterbeauftragung, bei der der Verantwortliche die Kontrolle über die Daten behält und der Auftragsverarbeiter nur im Rahmen der Weisungen des Verantwortlichen tätig wird. Beispiele für Auftragsverarbeiter sind IT-Dienstleister oder Cloud-Service-Anbieter.
- Einwilligung: Ein weiterer wichtiger Begriff in der DSGVO ist die Einwilligung. Wenn Personendaten verarbeitet werden sollen, muss der Verantwortliche in der Regel die Einwilligung der betroffenen Person einholen. Eine Einwilligung muss freiwillig, informiert und unmissverständlich sein. Die betroffene Person muss über den Zweck der Verarbeitung, die betroffenen Personendaten und die Rechte, die sie hat, informiert werden. Eine Einwilligung kann jederzeit widerrufen werden.
- Pseudonymisierung: Pseudonymisierung bezieht sich auf die Verarbeitung von Personendaten, bei der diese Daten so verändert werden, dass sie nicht mehr direkt einer bestimmten Person zugeordnet werden können. Das bedeutet, dass die Daten weiterhin verarbeitet werden können, ohne dass die Identität der betroffenen Person bekannt ist. Die Pseudonymisierung kann dazu beitragen, die Risiken für die betroffenen Personen zu reduzieren und die Datensicherheit zu erhöhen.
- Datenübermittlung: Datenübermittlung ist der Prozess, bei dem Personendaten von einem Ort zum anderen übertragen werden. Die DSGVO erlegt strenge Anforderungen an die Datenübermittlung auf, um sicherzustellen, dass die Personendaten angemessen geschützt werden. Die Datenübermittlung ist nur zulässig, wenn bestimmte Bedingungen erfüllt sind. Dazu gehört beispielsweise, dass die betroffene Person ihre Einwilligung gegeben hat oder dass es eine rechtliche Grundlage für die Datenübermittlung gibt.
- Datenschutzbeauftragter: Unternehmen und öffentliche Stellen, die Personendaten verarbeiten, müssen in bestimmten Fällen einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte ist für die Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze verantwortlich. Er ist Ansprechpartner für die betroffenen Personen und kann als Vermittler zwischen dem Verantwortlichen und den betroffenen Personen fungieren. Der Datenschutzbeauftragte muss über umfassende Kenntnisse im Bereich Datenschutz und Datensicherheit verfügen.
- Betroffene Person: Der Begriff „betroffene Person“ bezieht sich auf die natürliche Person, deren Personendaten verarbeitet werden. Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten, wie das Recht auf Auskunft, das Recht auf Berichtigung oder Löschung von Personendaten und das Recht auf Einschränkung der Verarbeitung. Die betroffene Person hat auch das Recht, gegen die Verarbeitung ihrer Personendaten Widerspruch einzulegen.
- Datenschutzverletzung: Eine Datenschutzverletzung liegt vor, wenn Personendaten unrechtmäßig oder versehentlich verloren gehen, zerstört werden oder Dritten unbefugt zugänglich gemacht werden. Im Falle einer Datenschutzverletzung muss der Verantwortliche die betroffenen Personen sowie die zuständige Aufsichtsbehörde informieren. Der Verantwortliche muss auch geeignete Maßnahmen ergreifen, um weitere Datenschutzverletzungen zu vermeiden.