GLOSSAR / FAQ

Auftragsverarbeiter

Artikel 28: Ist jemand, dem Sie personenbezogenen Daten, die Ihnen anvertraut wurden, weitergeben, z.B. die Werbeagentur, die Ihre Kundenliste erhält oder ein Lohnverrechner, der Ihre Mitarbeiterdaten erhält und natürlich auch ihr ggf. externer IT-Provider, der diese Daten verarbeitet. Mit allen A. müssen Sie Verträge schließen. Es gibt Textvorlagen, die auf die jeweilige Situation abgestimmt werden sollten. Der Verantwortliche haftet für deren DSGVO-Konformität.

Auskunftspflicht des Verantwortlichen

Artikel 15: Sie können gefragt werden „Haben Sie etwas über mich gespeichert und wenn ja, was?“ Diese Frage müssen Sie, unter Einhaltung bestimmter formaler Kriterien in spätestens 30 Tagen beantworten können. Achten Sie darauf, die Identität der anfragenden Person festzustellen.

Autovervollständigen

Also Autovervollständigung bezeichnet man die Funktion, bestimmte einmal eingegebene Texte vom Browser oder Software wieder vorgeschlagen zu bekommen. Diese Funktion, erleichtert Ihnen – aber auch unbefugten Nutzern Ihrer IT-Systeme – die Eingabe von relevanten Inhalten, wie von Passwörtern. Unser Tipp: deaktivieren!

Bad Hotel

Als Bad Hotel bezeichnet man Hotels, die ungesicherte WLAN Netze haben, wodurch deren User leicht „gehackt“ werden können. Nutzen Sie das ungesicherte WLAN eines Hotels nicht – Don´t do it!

Backup

Was der Sicherheitsgurt im Auto ist, sind zuverlässige Backups im Unternehmen. Als Backup wird eine Sicherung Ihrer Daten bezeichnet. Backups zum erfolgreichen Restore – schon getestet? – sind das halbe Leben. Do it!

Betroffenenrechte

Artikel 12-21: Als Betroffener haben Sie vielfältige Möglichkeiten, um Daten, die jemand über Sie verarbeitet, sichbart zu machen, bis hin zu deren Löschung. Als Verantwortlicher müssen Sie genau das sicherstellen!

Besondere Kategorien von personenbezogenen Daten („sensible Daten“)

…bezeichnet die DSGVO das, was im DSG2000 als „sensible Daten“ aufgezählt wurde. Achtung: Sensible Daten werden vom Gesetztgeber definiert. Subjektiv als sensibel empfundene Inhalte, z.B. eine Neigung zu Haarsausfall, sind für den Gesetzgeber keine sensiblen Daten. Besonders Versicherungen, Ärzte, Pharmaunternehmen, Apotheken usw. sollten sich mit diesem Thema genau auseinandersetzen.

Niederlassung „Marktortprinzip“

Artikel 3: Die DSGVO gilt innerhalb der EU für Akteure, die Ihren Sitz außerhalb der EU haben auch dann, wenn diese Daten von EU-BürgerInnen verarbeiten. Man „entkommt“ der DSGVO also nicht, wenn man seinen Server z.B. in die Schweiz verlegt.

Biometrische Daten

Artikel 4, Z 14: Das sind personenbezogene „sensible“ Daten, die mit speziellen technischen Verfahren, wie Fingerprint oder Iris-Scan verarbeitet werden. Heikel!

Brandschutz

Damit Ihre Daten und Backups sicher sind, sollte auch auf Brandschutz geachtet werden. Was nützt ein Supercomputer in einem brennenden Rechenzentrum?

Browserverlauf löschen

Wer Ihren Browserverlauf kennt, der weiß sehr viel über Sie! Löschen Sie den Browserverlauf immer wieder oder speichern Sie ihn gar nicht.

BOD-Bring Your Own Device

Für jeden Cybercrime-Angreifer ideal! Für dumme User fatal. Vermeiden Sie, dass ungesicherte Laptops, USB-Sticks, Smartphones etc. mit Ihrer Unternehmes-IT Datenaustausch haben können!

Bugs

Bugs sind Software Fehler. Über diese gelingt es Hackern oft, in IT-Systeme einzudringen und dort Schaden zu verursachen.

Cloud Speicher

Private Cloud ist gut: dann können Sie wissen, wer und unter welchen Umständen in die Nähe Ihrer Daten kommt. Public Cloud ist schlecht, also gefährlich, weil Sie die Sicherheit Ihrer Daten dort nicht nachvollziehen können.

Data Breach Notification

Artikel 33: Oh je! Der Super-Gau. Sie haben essenzielle personenbezogene Daten, die die Rechte und Freiheiten von natürlichen Personen gefährden können „verloren“ und müssen das nun der DS-Behörde binnen längsten 72 Stunden nach dem Entdecken der „Lücke“ beichten. Ich hoffe, Sie haben diese unangenehme Verlustmeldung an die Datenschutzbehörde organisatorisch gut vorbereitet.

Dateiverschlüsselung

In aller Kürze: eine super Sache, die Ihnen massiv viele Probleme ersparen kann! Durch Dateiverschlüsselung können Sie viele etwaige Probleme beim Datenschutz vermeiden. Unbeding nutzen!

Daten über Straftaten

Sensibel. Aufpassen!

Datenfolgenabschätzung

Artikel 35 regelt die Datenfolgenabschätzung(DSFA). Achtung: Es geht nicht um die Folgen eines Datenverlustes für IHR Unternehmen, sondern um die möglichen Folgen für die Personen, DEREN Daten Sie oder Ihre Partner (Auftragsverarbeiter) verloren haben!

Datenimport

Roter Alarm! Jedes ungesicherte Datenimport kann Ihr IT-System zerstören. Auch das Ihrer IT-Partner. Sie haften dafür! Mein Tipp: NIEMALS einen fremden USB Stick an Ihren Laptop oder Computer stecken!

Datenschutzfreundliche Technikgestaltung

Artikel 25: Auch genannt „Privacy by design“: Nutzen Sie die Möglichkeiten von moderner IT-Technik zum Datenschutz. Wirtschaftliche Erwägungsgründe können bei der Interessensabwägung „bremsend“ geltend gemacht werden.

Datenschutzfreundliche Voreinstellungen

Artikel 25: Auch genannt „Privacy by default“: Ohne Ihre Mitwirkung, z.B. das anktive Anklicken eines Datenfeldes, dürfen Ihre Daten nicht verarbeitet werden. Das heißt, ein Feld wie „Ja, ich möchte Ihren Newsletter empfangen“ darf nicht bereits angehakt sein, sondern muss vom User aktiviert werden.

Datenträgerproblematik

Jeder Datenträger (USB-Stick, mobile Festplatten etc.) kann Schadsoftware /Malware in ein IT-System bringen. Vorsicht! Niemals Datenträger anschließen von denen Sie nicht absolut sicher sind, dass diese von Ihnen bekannten Personen kommen.

Datenschutzbeauftragte

Artikel 39: In Österreich für wenige Unternehmen verpflichtend. Jedoch: Ein freiwilliger Datenschutzbeauftragter macht SEHR viel Sinn! Aus kaufmännischer Sicht wie auch zur Risikobegrenzung.

Datenübertragbarkeit

Artikel 20: Auf Verlangen des Betroffenen muss ein Verantwortlicher personenbezogene Daten an einen anderen Verantwortlichen in maschinenlesbarer Form übertragen können: eher für Großunternehmen, wie Versicherungen, Banken oder Mobiltelefonanbieter relevant.

Denial of Service (DoS)

Die Nichtverfügbarkeit eines Internetdienstes (einer Webseite). Die häufigste Ursache ist die Überlastung des Datennetzes, möglicherweise verursacht durch einen konzentrierten Hacker-Angriff auf das Datennetz.

Diebstahlschutz

Auch der Diebstahlschutz von Geräten, die Firmen und Kundendaten enthalten, gehört zum Datenschutz. z.B. Wie sicher ist Ihr Laptop im Hotel? Wie sicher ist Ihr Handy im Restaurant?

Dokumentationspflicht

z.B. Artikel 30: Ein Verzeichnis von Verarbeitungstätigkeiten (VdV) ist verpflichtend zu erstellen. Im DSG 2000 gab es diese Dokumentationspflicht nicht. VdV-Dokumente können von der DS-Behörde einfach kontrolliert werden und sie sind garantiert das Erste, das die Behörde vom Verantwortlichen sehen will!

Dumpster-Diving

Frei übersetzt: im Müll anderer Leute graben. Gemeint ist hier der Daten-Müll, z.B. auf alten Festplatten. Auch dieser ist gewissenhaft unlesbar zu machen. Entweder durch einen IT-Profi oder durch einen Amateur mit einer Bohrmaschine.

Einwilligung

Ihre Einholung ist nur erforderlich, wenn nicht schon eine andere Rechtsgrundlage für die Datenverarbeitung vorliegt. Eine sehr häufige Fehlerquelle, mit deren Kenntnis Sie sich viel Arbeit sparen können!

Einwilligungserklärung

Das Dokument zur o.g. Einwilligung. Sie muss bestimmte formale Kritierien erfüllen, zB. die aktive Einwilligung. Sie muss in einfach verständlicher Sprache verfasst sein.

Entsorgung von Datenträgern

Siehe Dumpster Diving. Mein Rat: Übergeben Sie alte Datenträger einem Profi zur Entsorgung und zur sicheren, vollständigen Löschung Ihrer Daten.

E-Mail (Phishing-)Attacken

„Das fischen“ nach Informationen über gefälschte E-Mais. Sie sind für die Angreifer immer effizienter geworden, da Cyberkriminelle so genannte Phishing-Kits nutzen.

Exploits

Exploits sind Werkzeuge für Hacker. Mit ihnen wird in Computersysteme eingedrungen, um diese zu manipulieren. Sie werden auch zur Beseitigung von Sichercheitsschwachstellen eingesetzt.

Firewalls

Es gibt Hardware- und Software-Firewalls. Ihre Schutzwirkung hängt davon ab, wie intelligent diese konfiguriert sind. Welcher IT-Profi stellt das für Sie sicher? Achten Sie auf diesen essenziellen Schutz Ihrer IT-Systeme

Geldstrafen

DSGVO Artikel 83: Die Aufsichtbehörde ist verpflichtet, „… dass die Verhängung von Geldbußen (…) in jedem Einzelfall (…) abschreckend ist.“ Abschreckend! Aufgrund von Verstößen gegen die DSGVO können in Österreich zusätzlich Verwaltungsstrafen von bis zu € 50.000,- pro Einzell verhängt werden.

Genetische Daten

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“). Vorsicht!

Gesundheitsdaten

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“). Vorsicht!

Grundsätze der Verarbeitung

Artikel 5 – Die Grundsätze der Verarbeitung der DSGVO sind: Rechmäßigkeit, nach Treu und Glauben, Transparenz, für legitime Zwecke, Datenminimierung, Richtigkeit, Speicherbegrenzeung.

Haftungsrisiko durch Cyberangriffe

Trifft die den Verantwortlichen und damit die Organe der Gesellschaft, die persönlich und solidarisch haften, auch für Fehler der Auftragsverarbeiter!

Informationspflichten

Artikel 13: Ein wesentlicher Punkt, der inhaltlich neu zum DSG2000 ist und der laufend zu vielen Fehlern in der DSGVO-Umsetzung führt.

Internationaler Datenverkehr

Der Datenverkehr mit Drittländern außerhalb der EU ist unter bestimmten Voraussetzungen mit sicheren Drittländern zulässig.

Internetwurm

Ein Schadprogramm, das sich, nachdem es einmal ausgeführt wurde vervielfältigt, ohne dabei fremde Dateien oder Bootsektoren mit seinem Code zu infizieren.

IT-Notfallplan

Ist eines der ersten Dokumente, dass Sie der Datenschutzbehörde im Falle einer Prüfung vorlegen können sollten.

IT-Risikomanagement

Wird nur funktionieren, wenn Sie es zuvor intelligent vorbereitet, dokumentiert und wiederholt geübt haben.

Katastrophen-Test (K-Test)

Beim Betrieb von Rechenzentren wird der Terminus für die Simulation von zeitlich bedingten Ausfällen technischer Infrastruktur benutzt.

Kryptographie

Verschlüsselung von Informationen für mehr Darensicherheit. IT-Systeme werden so widerstandsfähig gegen Manipulation und unbefugtes Lesen.

E-Mail Verschlüsselung

Ermöglicht, vertrauliche Informationen so per E-Mail vom Absender zum Empfänger zu schicken, dass niemand außer den beiden Zugang zu diesen Informationen bekommt (Ende zu Ende-Verschlüsselung).

Malware

Ein Sammelbegriff für Programme, die dazu entwickelt wurden, um Benutzern Schaden zuzufügen. Zum Beispiel, Viren, Trojaner, Rootkits oder Spyware.

Man-in-the-middle

Auch Mittelsmannangriff oder Janusangriff: ist eine Angriffsform in Rechnernetzen. Der Angreifer täuscht vor, das jeweilige Gegenüber zu sein.

Meldung von Datenschutzverletzungen

Artikel 33: Sind binnen maximal 72 Stunden an die Datenschutzbehörde durchzuführen. Das schaffen Sie nur, wenn Sie sich und Ihr Team darauf vorbereitet haben!

Notfallplan

Das Wort sagt eigentlich alles. Haben Sie einen für Ihre IT? Wie gut ist die IT Ihrer Auftragsverarbeiter gesichert? Denn für deren Datenverluste haften Sie ebenfalls.

Notfalldokumentation

Siehe oben.

Notfallkommunikation

Wenn Sie diese nicht professionell vorbereitet haben und umsetzen, dann wird das Problem zumeist noch wesentlich größer.

Patch-Management

Patch ist Software, die ein Computerprogramm aktualisiert, auch um Fehler in Programmen zu beheben. Ohne Patches gibt es keine Sicherheit – zumeist.

Passwörter

Sie können und sollten deren Sicherheit testen. Das ist einfach möglich. Sie sollten weiters deren Vergabelogik vorgeben. Tun Sie das?/p>

Personenbezogene Daten (pbD)

Artikel 4 Z 1: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Beispiele: Name, Adresse, Geburtsdatum, Bankdaten, etc.

Pflicht zur Berichtigung

Artikel 16: Der Betroffen kann vom Verantwortlichen Berichtigung verlangen. Dieser muss daher darauf organisatorisch vorbereitet sein.

Pflicht zur Einschränkung

Artikel 18: Der Betroffen kann vom Verantwortlichen Einschränkung verlangen. Dieser muss daher darauf organisatorisch vorbereitet sein.

Pflicht zur Löschung

Artikel 17: Der Betroffen kann vom Verantwortlichen Löschung verlangen. Dieser muss daher darauf organisatorisch vorbereitet sein.

Pflichten des Auftragsverarbeiters

Die Pflichten und damit auch die Haftungen sind massiv verschärft geworden. Der Veranwortliche („Herr der Daten“) haftet auch für seine Auftragsverarbeiter („verlängerter Arm“)

Pflicht zur Umsetzung eines Widerspruchs

Die betroffene Person kann der Verarbeitung durch den Verantwortlichen oder seinen Auftragsverarbeiter widersprechen.

Pflichten des Verantwortlichen

Der Verantwortliche ist für den gesamten Datenverarbeitungsvorgang verantwortlich. Er muss den Nachweis erbringen können, dass er sämtliche Pflichten erfüllt (mit Beweislastumkehr !).

Pflichten gegenüber der Aufsichtsbehörde

Auch die Pflicht zur Zusammenarbeit mit der Behörde. Pro Verstoss kann diese Verpflichtung mit bis zu € 50.000,- eingemahnt werden.

Profiling

Artikel 4 Z4: Wenn personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, (…) zu analysieren oder vorherzusagen. Bsp.: Bonitätsanalyse der Bank.

Pishing

Kategorie Cybercrime: Der verbotene Versuch, Personen durch den Mißbrauch ihrer Daten zu schädigen.

Privacy by design

Siehe: Datenschutzfreundliche Technikgestaltung

Privacy by default

Siehe: Datenschutzfreundliche Voreinstellungen

Private E-Mails am Arbeitsplatz

Ein heikler Punkt, der mit dem gültigen Arbeitsrecht gemeinsam zu betrachten ist.

Pseudonymisierung

Etwa das Ersetzen des Namens durch ein Kennzeichen, um die Identifikation des Betroffenen möglichst auszuschließen.

Public Key Infrastructure (PKI)

Ein System in der Kryptologie, um digitale Zertifikate auszustellen, zu verteilen und zu prüfen.

RAID

Bei RAID-Systemen werden redundante Informationen erzeugt, um bei einem Ausfall einzelner Speichermedien die Integrität der gesicherten Daten zu wahren.

Ransomware

Schadprogramme, um dem Verantwortlichen den Zugriff auf seine Daten oder auf das ganze Computersystem zu verhindern. Böse!

„Recht auf Vergessenwerden“

Artikel 17: Löschung – Der Betroffen kann vom Verantwortlichen Löschung verlangen. Dieser muss daher darauf organisatorisch vorbereitet sein.

Rechtmäßigkeit der Verarbeitung

Personenbezogene Daten müssen auf rechtmäßige Weise (…) und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Rechtsdurchsetzung und Strafen

Die Datenschutzbehörde hat den Beschwerdeführer in seiner Rechtsdurchsetzung gegen den Verantwortlichen zu unterstützen.

Datenschutzfolgenabschätzung

Kurz gesagt: Ein arbeitsintensivers Prüf- und Dokumentationsverfahren, das sachlich nur in wenigen Fällen erforderlich ist. Sie sollten begründen können, warum Sie es NICHT gemacht haben.

Safety-Checklist

Wesentlich, um die Datensicherheit Ihrer IT dokumentiert und qualitätsgesichert zu überprüfen.

Soziale Netzwerke

Aus DSGVO-Sicht hochrelevant, da hier die Verbreitung personenbezogener Daten nicht nur aus privaten Zwecken erfolgen kann.

Spam

Unerwünschte Werbe E-Mails. Oft entstanden durch die unrechtmäßige Weitergabe von E-Mail Adressen. Ursprünglich war SPAM der Markenname für Dosenfleisch.

Informationspflichten

Artikel 13: Ein wesentlicher Punkt, der inhaltlich neu zum DSG2000 und daher besonders zu beachten ist.

Sub-Auftragsverarbeiter

Unternehmen, an die der Auftragsverarbeiter die Daten des Verantwortlichen weitergibt, z.B. ein externe IT-Partner.

Verzeichnis von Verarbeitungstätigkeiten

Artikel 30: Das erste Dokument, das die Datenschutzbehörde von Ihnen sehen will.

Verantwortlicher

Der Unternehmer („Herr der Daten“), also Sie.

Videokameraattrappe

In Österreich erlaubt. In Deutschland verboten.

Videoüberwachung

Ein heikles Thema. Die Überwachung des öffentlichen Raums steht nur Behörden zu. Auch arbeitsrechtliche Regelungen gilt es dabei strikt einzuhalten.

Virus

Software, die unerwünscht in ein IT-System eingeschleust wird mit dem Ziel, vorhandene Daten zu manipulieren, zu übertragen oder zu zerstören.

Voraussetzungen für Weiterverarbeitung

Werden personenbezogene Daten für einen anderen Zeck weiterverarbeitet, als für den ursprünglichen Zweck, so ist der Betroffene dann darüber zu informieren.

Zero-Day-Attacken

Schwachstelle in einer Software, die angegriffen wird, bevor nach ihrer Endeckung ein Tag vergangen ist.

Zutrittskontrolle

Dabei werden zumeist personenbezogene Daten genutzt, die zu schützen sind: von Passwörten bis zum „sensiblen“ Fingerprint oder Iris-Scan.