Begriffsdefinitionen
Personenbezogene Daten
sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (betroffene Person). Kundendaten gehören dabei ebenso zu den personenbezogenen Daten wie Personaldaten von Mitarbeitern. Beispielsweise lässt der Name eines Ansprechpartners ebenso einen Rückschluss auf eine natürliche Person zu, wie seine E-Mail-Adresse. Es genügt, wenn die jeweilige Information mit dem Namen des Betroffenen verbunden ist oder unabhängig hiervon aus dem Zusammenhang hergestellt werden kann. Ebenso kann eine Person bestimmbar sein, wenn die Information mit einem Zusatzwissen erst verknüpft werden muss, so z. B. beim Autokennzeichen. Das Zustandekommen der Information ist für einen Personenbezug unerheblich. Auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten darstellen.
Besondere Kategorien personenbezogener Daten
sind Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie eine eventuelle Gewerkschaftszugehörigkeit hervorgehen können sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben bzw. der sexuellen Orientierung einer natürlichen Person.
Verantwortlicher
ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter
ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeitung
ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Dritter
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiter befugt sind, die personenbezogenen Daten zu verarbeiten.
Einschränkung
der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Profiling
bezeichnet jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Pseudonymisierung
ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Empfänger
ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Einwilligung
des Betroffenen, ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der der Betroffene zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist.
Datenschutzmanagementsystem (DSMS)
ist ein internes Kontrollsystem, das vom Vorstand gesteuert wird. Das DSMS stellt sicher, dass der Umgang mit personenbezogenen Daten in der TÜV AUSTRIA Gruppe systematisch unter Einhaltung der datenschutzrechtlichen Vorgaben gesteuert und kontrolliert wird.
Ein Datenschutzmanagementsystem dient zur Sicherstellung der Einhaltung und zum Nachweis der Vorgaben zur Rechenschaftspflicht (Artikel 5 Abs. 2 DSGVO) und der Verantwortung des für die Verarbeitung Verantwortlichen (Artikel 24 DSGVO).
Die Gesamtheit aller Regelungen, Prozesse und Maßnahmen werden über das DSMS gesteuert. Diese Richtlinie ist ein Teil des Datenschutzmanagementsystems.
Datenschutz (DS)
Datenschutz gewährleistet jedem Individuum das Grundrecht selbst über den Gebrauch und die Preisgabe seiner persönlichen Daten zu entscheiden. Datenschutz hat zum Ziel die Wahrung aller schutzwürdigen Interessen eines Individuums bei der Verarbeitung seiner personenbezogenen Daten sicherzustellen.
Datenschutz-Anpassungsgesetz (DSG)
Unter dem Datenschutz-Anpassungsgesetz sind länderspezifische Anpassungen zu verstehen, welche die durch die Datenschutz-Grundverordnung (DSGVO) gegebenen Gestaltungsspielräume in konkrete rechtliche Vorgaben umsetzen.
Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
Internes Kontrollsystem (IKS)
Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten technischen und organisatorischen Regeln des methodischen Steuerns und dient zur Kontrolle im Unternehmen zum Einhalten von Richtlinien und Vorgaben und zur Abwehr von Schäden, die durch das eigene Personal oder durch Dritte verursacht werden können. Die Maßnahmen können sowohl prozessunabhängig als retrospektive Kontrollen, beispielsweise durch die Interne Revision, als auch prozessabhängig als präventive Absicherung durchgeführt werden.
Technisch-organisatorische Maßnahmen
Unter technisch-organisatorischen Maßnahmen sind sowohl technische als auch organisatorische Schutzmaßnahmen zu verstehen, damit den Anforderungen der DSGVO entsprochen wird. Die Umsetzung dieser technisch-organisatorischen Maßnahmen hat gemäß Stand der Technik zu erfolgen.
