Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

Gebäude aus Sicht des Innenhofs Bildinformationen anzeigen

Gebäude aus Sicht des Innenhofs

Foto: Universität Paderborn, Adelheid Rutenburges

Datenschutz A-Z

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 

A

Anonymisierung

Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können.

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung (kurz: ADV), im Sinne der DSGVO, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle.

B

besondere Kategorien personenbezogener Daten

Gem. Artikel 9. Absatz 1 DSGVO zählen zu den schützenswerten besonderen Kategorien personenbezogener Daten:

  • Daten zur rassischen oder ethnischen Herkunft,
  • Daten zu politischen Meinungen,
  • Daten zu religiösen oder weltanschaulichen Überzeugungen,
  • Daten zur Gewerkschaftszugehörigkeit,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder zur sexuellen Orientierung,
  • genetische Daten,
  • biometrische Daten.

Ihre Verarbeitung ist an bestimmte Voraussetzungen geknüpft.

BigBrotherAwards

Bundesamt für Sicherheit in der Informationstechnik (BSI)

D

Dateisystem

Ein Dateisystem ist gem. Artikel 4 lfd. Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

Datenschutz

Datenschutz ist ein Persönlichkeitsrecht, das die informationelle Selbstbestimmung und den Schutz der Privatsphäre gewährleistet. Alle Personen sollen grundsätzlich selbst entscheiden, wer welche ihrer persönlichen Daten kennt und verarbeitet. Jede Datenverarbeitung muss daher durch eine gesetzliche Vorschrift oder eine Einwilligung legitimiert werden. Maßnahmen zur IT-Sicherheit sollen vor missbräuchlicher Datenverarbeitung schützen. Für die Universität regelt das Datenschutzgesetz Nordrhein-Westfalen die ordnungsgemäße Verarbeitung personenbezogener Daten.

Datenschutzgesetz des Landes Nordrhein-Westfalen (DSG NRW neu)

Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Diese ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

Datenschutzbeauftragter

Der Datenschutzbeauftragte unterstützt, berät und überwacht die Universität bei der Einhaltung des Datenschutzes. Er berät bei der der Auswahl und Einführung neuer IT-Verfahren und prüft diese jeweils vor Inbetriebnahme im Rahmen einer Vorabkontrolle. Er führt das Verfahrensverzeichnis, in dem alle IT-Verfahren dokumentiert werden und gewährt betroffenen Personen Einsicht. Angehörige der Universität können sich mit allen Datenschutzfragen direkt an den Datenschutzbeauftragten wenden.

Datensparsamkeit / Datenminimierung

Die Grundidee ist der Datensparsamkeit ist, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden sollen, wie für die jeweilige Anwendung unbedingt notwendig sind und steht in engem Zusammenhang mit dem traditionellen datenschutzrechtlichen Grundsatz, dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für die Erfüllung der jeweiligen Aufgabe benötigt werden (Erforderlichkeit).

E

Einwilligung

Jede freiwillige in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

F

Fernmeldegeheinmis

Das Fernmeldegeheimnis (in neuerer Terminologie auch Telekommunikationsgeheimnis) ist ein Verbot des unbefugten Abhörens, Unterdrückens, Verwertens oder Einstellens, von Fernemelde- (Fernschreib-, Freisprech-, Funk- und Telegrafen-) Botschaften.

I

informationelles Selbstbestimmungsrecht

Grundrecht des Einzelnen, grundsätzlich selber über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden.

Informationspflicht

Jeder dessen Daten erhoben, verarbeitet bzw. gespeichert werden, hat gem. den Artikeln 13 und 14 DSGVO ein Recht darauf, dies zu erfahren, den ohne dieses Wissen ist es nicht möglich ist, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessen werden oder das Recht auf Berichtigung ihrer Daten, wahrzunehmen.

Während Artikel 13 die Informationspflicht bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person regelt, enthält Artikel 14 die Regelungen zur Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Pflichten nach Art. 13 DSGVO

Erfolgt die Erhebung personenbezogener Daten direkt bei den betroffenen Personen, so müssen diese bereits zum Zeitpunkt der Erhebung davon in Kenntnis gesetzt werden. Über welches Medium (schriftlich oder elektronisch) die Information im Online- bzw. Offlinebereich jeweils zur Verfügung gestellt werden muss, ist nicht vorgeschrieben. Der Inhalt jedoch ist verbindlich und muss präzise, transparent leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen. Grob zusammengefasst handelt es sich dabei um folgende Punkte:

Inhalt der Informationspflicht

  1. Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Zweck und Rechtgrundlage der Verarbeitung
  4. Berechtigte Interessen des Verantwortlichen
  5. Konkrete Empfänger bzw. Kategorien von Empfängern
  6. Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten
  7. Konkrete Dauer der Speicherung
  8. Betroffene Personen sind über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verbreitung und Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit aufzuklären
  9. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  10. Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
  11. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  12. Information über eine mögliche Zweckänderung der Datenverarbeitung

Pflichten nach Art. 14 DSGVO

Werden personenbezogene Daten verarbeitet oder auch gespeichert, die nicht direkt bei der betroffenen Person erhoben wurden, unterliegt man auch der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen diese darüber hinaus Angaben zu den Quellen der Daten enthalten und darüber, ob diese öffentlich zugänglich sind.

Integrität

Integrität ist eines von drei Schutzzielen der IT-Sicherheit. Sie ist gewährleistet, wenn IT-Systeme und die durch sie übermittelten, verarbeiteten und gespeicherten Informationen nicht unbefugt bzw. unzulässig verändert werden können.

IT-System

Unter dem Begriff  IT-System versteht man jegliche Art elektronischer datenverarbeitender Systeme (z.B. Computer, Großrechner, Hochleitungsrechner, Serversysteme, Datenbanksysteme, Informationssysteme, Kommunikationssysteme u.a.m.).

P

Personenbezogene Daten

Daten sind personenbezogen, wenn sie einer bestimmten natürlichen Person zugeordnet sind oder zugeordnet werden können. Dies umfasst alle Angaben zu persönlichen oder sächlichen Verhältnissen, also beispielsweise Name, Adresse, Geburtsort, Augenfarbe, Beruf, Gehalt, Familienstand, Kontakte, … und auch Daten, über die sich ein Personenbezug herstellen lässt, wie Matrikelnummer, Personalnummer oder Kontonummer. Das Gesetz stuft darüber hinaus einige personenbezogene Daten als besonders schutzbedürftig ein. Diese betreffen u. a. die Gesundheit, die Religionszugehörigkeit, die ethnische Herkunft oder die politische Meinung.

Profiling

Gem. Artikel 4 lfd. Nr. 4 DSGVO ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Pseudonymisierung

Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination) ersetzt, um die Identifizierung des Betroffenen auszuschließen oder wesentlich zu erschweren. Im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten.

R

Rechtmäßigkeit der Verrabeitung

Gem. Artikel 6 DSGVO ist generell jede Erhebung, Speicherung und Verarbeitung personenbezogener Daten verboten!
Ausnahmen von diesem Grundsatz sind nur erlaubt wenn

  • sie ist durch eine Gesetzesvorschrift geregelt sind oder
  • die betroffene Person ihre Einwilligung gegeben hat.

Risikoanalyse

Eine Risikoanalyse untersucht systematisch die Wahrscheinlichkeit, dass eine vorhandene Bedrohung eintritt und wie hoch der zu erwartende Schaden ist. Ziel einer Risikoanalyse ist es, das Risiko durch angemessene Maßnahmen zu reduzieren bzw. zu minimieren. Risikoanalysen können, abhängig von der gewählten Analysemethode, sehr aufwendig und zeitintensiv sein. Beispiele für Risikoanalysen sind in den Standards ISO 17799 und ISO 27001 und in den Grundschutzkatalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) enthalten.

S

Schutzbedarf

Der Schutzbedarf beschreibt, welcher Schutz für ein IT-Verfahren, dessen verarbeitete Informationen und die IT-Komponenten ausreichend und angemessen ist.

Die Feststellung eines Schutzbedarfes erfolgt auf Basis der Schutzziele der IT-Sicherheit Vertraulichkeit, Verfügbarkeit und Integrität. Die Anwender bewerten anhand von typischen Szenarien die mögliche Schadenshöhe bei einer Verletzung der Schutzziele und das notwenige Schutzniveau. Differenziert wird zwischen einem normalen bis mittleren, einem hohen und einem sehr hohen Schutzbedarf. Wird für ein IT-Verfahren ein hoher bis sehr hoher Schutzbedarf festgestellt, wird eine detaillierte Risikoanalyse notwendig.

Schwellwertanalyse

Die Schwellwert-Analyse dient dem Verantwortlichen als Entscheidungsgrundlage, ob eine Datenschutzfolgenabschätzung notwendig ist.

T

technische und organisatorische Maßnahmen

Die Datenschutz-Grundverordnung (DSGVO) greift den Begriff auf und verlangt in Artikel 24 Absatz 1 i.V.m. Artikel 32 Absatz 1, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß den Vorgaben der Verordnung erfolgt.

Insbesondere gehören zu den technisch-organisatorischen Maßnahmen, die

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle (im Zusammenhang mit der Auftragsdatenverarbeitung)
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Telemediengesetz (TMG)

Transparenz (siehe Informationspflicht)

V

Verantwortlicher (ehemals Verantwortliche Stelle)

Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogene Daten erheben verarbeiten oder nutzen oder dies durch andere im Auftrag vornehmen lassen.

Verarbeitung

Eine Verabeitung ist gem. Artikel 4 lfd. Nr. 2 DSGVO jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verfügbarkeit

Verfügbarkeit ist eines von drei Schutzzielen der IT-Sicherheit. Sie ist gewährleistet, wenn IT-Systeme, ihre Komponenten und die auf Ihnen gespeicherte Informationen zu jedem Zeitpunkt zur Verfügung stehen.

Vertraulichkeit

Vertraulichkeit ist eines von drei Schutzzielen der IT-Sicherheit. Sie ist gewährleistet, wenn Informationen ausschließlich durch die dafür autorisierte Personen eingesehen bzw. abgerufen werden können.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Es dient den IT-Sicherheitsbeauftragten zur Bewertung des Schutzbedarfs und der Sicherheit des IT-Verfahrens und den behördlichen Datenschutzbeauftragten und der Aufsichtbehörde zur Erfüllung ihrer Aufgaben. Gegenüber der Aufsichtsbehörde ist es der Nachweis, dass die Vorschriften der DSGVO eingehalten werden.

Die Universität der Informationsgesellschaft