Datenschutz Glossar
DSGVO & Datenschutz schnell und einfach verständlich. Das Datenschutz Glossar erklärt die wichtigsten Definitionen und Fachbegriffe von A-Z.
A
Advanced Persistent Threat (APT)
Ein Advanced Persistent Threat (deutsch: „fortgeschrittene, andauernde Bedrohung") ist ein gezielter, technisch versierter Cyberangriff, bei dem über einen längeren Zeitraum unbemerkt Daten gesammelt oder Systeme sabotiert werden.
Mehr erfahren
Angemessenheitsbeschluss
Angemessenheitsbeschlüsse der Europäischen Kommission bestimmen, ob nicht an die DSGVO gebundene Drittländer oder Organisationen ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten.
Mehr erfahren
Anonymisierung
Bei der Anonymisierung werden sensible Daten so verändert, dass Personen nicht mehr identifizierbar sind.
Mehr erfahren
Auftragsverarbeiter
Auftragsverarbeiter sind externe Dritte (z.B. Callcenter), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Im Gegensatz zu eigenen Mitarbeitern müssen Externe dafür einen Auftragsverarbeitungsvertrag unterzeichnen.
Mehr erfahren
Auftragsverarbeitungsvertrag (AVV)
Werden personenbezogene Daten an Dritte (z.B. externe Dienstleister) weitergegeben, muss ein Auftragsverarbeitungsvertrag geeignete technische und organisatorische Maßnahmen zum Schutz der Daten sicherstellen.
Mehr erfahren
Auskunftsrecht
Betroffene Personen können vom Verantwortlichen Auskunft über ihre verarbeiteten personenbezogenen Daten verlangen.
Mehr erfahren
Authentifizierung
Eine Authentifizierung ist die Überprüfung einer Identität - beispielsweise über Benutzername und Passwort. Dieser Sicherheitsmechanismus gewährleistet, dass nur legitime Benutzer sich anmelden können.
Mehr erfahren
Autorisierung
Eine Autorisierung legt Berechtigungen von Benutzern fest. Je nach Berechtigung soll der Zugriff auf geschützte Bereiche gewährt oder verweigert werden.
Mehr erfahren
B
Backdoor
Eine Backdoor (deutsch: "Hintertür") ist ein versteckter Zugangspunkt, der einen Systemzugriff ohne Authentifizierung ermöglicht. Das ist oft erwünscht, um z.B. Wartung oder Tests zu vereinfachen, stellt aber auch ein Einfallstor für Cyberattacken dar.
Mehr erfahren
Berechtigtes Interesse
Rechtmäßig ist die Verarbeitung personenbezogener Daten nur, wenn mindestens eine Bedingung nach Artikel 6 DSGVO erfüllt ist – wie z.B. das „berechtigte Interesse". Es kann beispielsweise vorliegen, wenn der Verantwortliche Bestellungen auf Betrugsversuche überprüft oder Werbebriefe an Kunden schickt.
Mehr erfahren
Besondere Kategorien personenbezogener Daten
Strengere Regeln gelten bei besonders schützenswerten Daten: Politische Meinung, Religion oder Gesundheitsdaten gehören beispielsweise zu den besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO.
Mehr erfahren
Betroffenenrechte
Die DSGVO gewährt Betroffenen verschiedene Rechte hinsichtlich der Verarbeitung ihrer personenbezogenen Daten. Die wichtigsten sind:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung / Vergessenwerden (Art. 17 DSGVO)
- Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Mehr erfahren
Betroffener
„Betroffene Personen" nach Art. 4 Abs. 1 DSGVO sind natürliche Personen, deren Daten verarbeitet wurden.
Mehr erfahren
Bußgelder
Bei Datenschutzverstößen können nationale Aufsichtsbehörden Bußgelder verhängen. Die Höhe hängt u.a. von Art, Dauer und Schwere des Verstoßes und dem Umsatz des jeweiligen Unternehmens ab. Facebook wird als Rekordhalter mit über 4,5 Mrd. € in der aktuellsten und umfangreichsten DSGVO Bußgelddatenbank aufgeführt.
Mehr erfahren
BYOD (Bring Your Own Device)
Bei BYOD (deutsch: „Bring dein eigenes Gerät mit") nutzen Mitarbeiter ihre eigenen technischen Geräte wie Smartphones, Tablets und Laptops für Arbeitszwecke. Diese Praxis birgt neben Kostenvorteilen und höherer Mitarbeiterzufriedenheit leider auch erhebliche Sicherheitsrisiken und datenschutzrechtliche Probleme.
Mehr erfahren
C
CEO Fraud
Beim CEO-Fraud (deutsch: „Chef-Betrug") geben sich Cyberkriminelle als hochrangige Führungskraft (oft CEO) aus, um von „unterstellten" Mitarbeitern vertrauliche Informationen zu bekommen oder die Finanzabteilung zu Geldüberweisungen im Auftrag „ihres Vorgesetzten" zu bewegen.
Mehr erfahren
Cookie
Beim Besuch einer Website werden Nutzerinformationen in einer Datei (sog. Cookie) gespeichert, wie z.B. Login-Daten oder Artikel im Warenkorb. Die teils sensiblen Daten können den nächsten Websitebesuch vereinfachen, stellen aber auch ein Datenschutzrisiko dar.
Mehr erfahren
Credential Stuffing
Beim Credential Stuffing (deutsch: „Anmeldedaten stopfen") finden automatisiert und massenweise Anmeldeversuche mit gestohlenen Logindaten statt. Die Attacken sind oft erfolgreich, weil viele User ihre Passwörter immer wieder verwenden.
Mehr erfahren
Cybercrime
Cybercrime bezeichnet über Computer, Netzwerke oder Internet begangene Straftaten. Dazu gehören u.a. Identitätsdiebstahl, Phishing oder Ransomware.
Mehr erfahren
D
Datenkategorie
In Datenkategorien werden personenbezogene Daten zusammengefasst, die ähnliche Merkmale aufweisen oder ähnlich verarbeitet werden.
Mehr erfahren
Datenminimierung
Der Grundsatz der Datenminimierung besagt, dass die Verarbeitung personenbezogener Daten auf das absolut notwendige Maß beschränkt werden muss.
Mehr erfahren
Datenpanne
Werden personenbezogene Daten verloren, gestohlen oder offengelegt, liegt eine Datenpanne (auch Datenleck, Datenverlust oder Datenschutzvorfall) vor. Es drohen empfindliche Bußgelder der Aufsichtsbehörden und ein Imageschaden für das Unternehmen.
Mehr erfahren
Datenschutz
Datenschutz gewährleistet einen umfangreichen Schutz vor unrechtmäßiger Erhebung, Verarbeitung, Nutzung und Übermittlung personenbezogener Daten.
Mehr erfahren
Datenschutzbeauftragter (DSB)
Sind mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter im Unternehmen erforderlich. Dieser überwacht insbesondere die Einhaltung der DSGVO.
Mehr erfahren
Datenschutz-Folgenabschätzung
Eine besonders risikoreiche Datenverarbeitung (z.B. neue Technologie) verlangt gem. Art. 35 Abs. 1 DSGVO, dass potentielle Folgen für den Schutz sensibler Daten vorab ermittelt werden.
Mehr erfahren
Datenschutz-Grundverordnung (DSGVO)
Das Gesetz regelt die Verarbeitung und den Schutz personenbezogener Daten von Menschen, die sich in der EU aufhalten.
Mehr erfahren
Datensicherheit
Datensicherheit befasst sich mit dem Schutz aller Arten von Informationen - nicht nur, wenn sie personenbezogen sind wie beim Datenschutz.
Mehr erfahren
DDoS
DDoS-Angriffe (Distributed Denial of Service, deutsch: „verteilte Dienstverhinderung") nutzen mehrere Angriffssysteme, um Websites mit Anfragen zu überlasten und zum Absturz zu bringen. Die Erfolgsaussichten sind dadurch höher als bei DoS-Attacken mit oft nur einem Angriffssystem.
Mehr erfahren
DoS
DoS-Attacken (Denial Of Service, deutsch: „Verweigerung des Dienstes") sollen eine Webseite zum Absturz bringen. Dafür überlasten die Angreifer Server oder Netzwerke mit Anfragen.
Mehr erfahren
Dritter
Ein Dritter in der DSGVO ist jeder, der weder selbst von der Datenverarbeitung betroffen noch zur Datenverarbeitung befugt ist.
Mehr erfahren
Drittland
Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) sind nicht an die DSGVO gebunden. Für einen rechtmäßigen Datenaustausch müssen mit diesen sog. Drittländern bestimmte Voraussetzungen erfüllt sein: z.B. ein Angemessenheitsbeschluss.
Mehr erfahren
E
Einwilligung
Eine Einwilligung ist eine Zustimmung zur Datenverarbeitung. Diese muss jederzeit einfach widerrufbar sein und vom Verantwortlichen nachweisbar dokumentiert werden.
Mehr erfahren
Empfänger
Jeder, der personenbezogene Daten zur Kenntnis nimmt, ist nach der DSGVO ein Empfänger, der verschiedene datenschutzrechtliche Pflichten beachten muss.
Mehr erfahren
Ende-zu-Ende-Verschlüsselung (E2EE)
Bei der Ende-zu-Ende-Verschlüsselung (englisch: „end to-end encryption") bleiben Daten während der gesamten Übertragung verschlüsselt. Nur Absender und Empfänger (beide „Enden") können z.B. eine E-Mail entschlüsseln.
Mehr erfahren
Europäische Kommission (EU-Kommission)
Das wichtigste Exekutiv-Organ der EU überwacht u.a. die Einhaltung europäischer Verträge und Gesetze (z.B. DSGVO).
Mehr erfahren
F
Firewall
Das Sicherheitssystem sperrt unerlaubte Verbindungen zum/ vom Internet oder Netzwerk.
Mehr erfahren
G
Gemeinsam Verantwortliche
Gibt es mindestens zwei Verantwortliche, müssen Mittel und Zwecke der Datenverarbeitung gemeinsam festgelegt werden. Außerdem muss nachvollziehbar sein, wer welche Verpflichtungen hat.
Mehr erfahren
H
Haftung
Jeder beteiligte Verantwortliche muss für den Schaden durch eine unrechtmäßige Datenverarbeitung einstehen. Neben den konkret zuständigen Mitarbeitern können Strafen auch das Unternehmen selbst oder dessen Inhaber treffen.
Mehr erfahren
Hash
Eine Hashfunktion wandelt z.B. Passwörter in eine Zeichenfolge (Hashwert) um, die nicht zurückgerechnet werden kann. Damit lassen sich Passwörter sicher speichern und durch Vergleich der Hashwerte überprüfen.
Mehr erfahren
I
Identitätsdiebstahl
Dabei werden persönliche Identifikationsdaten (z.B. Kreditkartendaten oder Passwörter) einer Person gestohlen und zu ihrem Nachteil illegal eingesetzt. Schwerwiegende finanzielle, rechtliche und emotionale Folgen drohen.
Mehr erfahren
Informationssicherheit
Informationssicherheit dient dem Schutz von informationsverarbeitenden Systemen und Informationen. Das schließt IT-Sicherheit und zum Teil Datenschutz mit ein.
Mehr erfahren
Informationssicherheits-Managementsystem (ISMS)
Ein ISMS regelt Verfahren und Maßnahmen zum Schutz aller Informationen in einem Unternehmen. Zuverlässige Sicherheit bieten ISMS, die nach der internationalen Norm ISO 27001 zertifiziert sind.
Mehr erfahren
ISO 27001
Die internationale Norm ISO 27001 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS), das auch zertifiziert werden kann.
Mehr erfahren
IT-Sicherheit
IT-Sicherheit betrifft den Schutz von IT-Systemen (z.B. Computer, Netzwerke) und digital verarbeiteten Informationen.
Mehr erfahren
J
Joint Control
Vereinbarungen zur Joint Control (deutsch: „gemeinsame Verantwortung") regeln die Erfüllung von Verpflichtungen (z.B. Auskunftsrecht), wenn dabei mehrere Unternehmen beteiligt sind: wie z.B. bei Joint Ventures, Partnerschaften oder Konsortien.
Mehr erfahren
Juristische Person
Eine juristische Person ist z.B. ein Unternehmen oder ein Verein, also kein Mensch. Die DSGVO schützt juristische Personen nicht, sondern ausschließlich natürliche Personen.
Mehr erfahren
K
Keylogger
Ein Keylogger (deutsch: „Tasten-Protokollierer") zeichnet sämtliche Eingaben über Tastatur auf. Angreifer nutzen sowohl Schadsoftware als auch heimlich angeschlossene Hardware, um z.B. Passwörter abzufangen.
Mehr erfahren
L
Local Storage
Local Storage (deutsch: „lokaler Speicher") bezeichnet das Speichern von Nutzerdaten lokal im Webbrowser des Users. Im Unterschied zu Cookies findet nicht automatisch eine Datenübertragung an den Server bzw. Dritte statt.
Mehr erfahren
M
Malware
Malware (deutsch: „schädliche Software") ist ein Oberbegriff für Software, die Computer und IT-Systeme infiziert oder beeinträchtigt: wie z.B. Trojaner, Viren oder Adware (unerwünschte Werbung).
Mehr erfahren
Marktortprinzip
Ist ein Unternehmen in der EU (Marktort) tätig oder verarbeitet Daten von EU-Bürgern, muss es die DSGVO beachten, auch wenn sein Firmensitz außerhalb der EU ist.
Mehr erfahren
Meldepflicht
Bei einer Datenschutzpanne muss der Verantwortliche die Aufsichtsbehörde unverzüglich (ohne selbstverschuldetes Verzögern), aber spätestens innerhalb von 72 Stunden benachrichtigen.
Mehr erfahren
Multi-Faktor-Authentifizierung
Bei diesem Sicherheitsverfahren zur Identitätsüberprüfung sind mehrere Authentifizierungsfaktoren erforderlich: wie z.B. ein Passwort (1. Faktor) und zusätzlich eine TAN (2. Faktor).
Mehr erfahren
N
Natürliche Person
In der Rechtsprechung wird jeder Mensch als natürliche Person bezeichnet. Ausschließlich diese ist durch die DSGVO geschützt. Eine juristische Person nicht.
Mehr erfahren
Need-to-know-Prinzip
Nach dem Need-to-know-Prinzip darf ein Benutzer nur auf die Informationen zugreifen, die er für seine Arbeit wirklich benötigt. Das soll das Risiko unberechtigter Zugriffe minimieren.
Mehr erfahren
O
Opt-In
Opt-In (deutsch: „sich für etwas entscheiden") bedeutet, dass ein Benutzer aktiv zustimmen muss, bevor seine Daten verarbeitet werden dürfen.
Mehr erfahren
P
Password Spraying
Beim Password Spraying (deutsch: „Passwort sprühen") finden automatisiert und massenweise Anmeldeversuche mit häufig verwendeten Passwörtern statt: wie z.B. „Passwort123" oder „iloveyou".
Mehr erfahren
Personenbezogene Daten
Personenbezogene Daten sind sämtliche Informationen einer natürlichen Person, die diese identifizierbar machen. Das können z.B. Adresse, Kontoverbindung oder Personalausweisnummer sein.
Mehr erfahren
Phishing
Phishing ist ein Kunstwort aus „Password" und „Fishing". Bei dieser Angriffsmethode sollen meist präparierte E-Mails (z.B. Kontoaktualisierung oder Gewinn-Benachrichtigung) dazu verleiten, Passwörter preiszugeben oder infizierte Dateien bzw. Webseiten zu öffnen.
Mehr erfahren
Pseudonymisierung
Bei der Pseudonymisierung werden sensible Daten so verändert, dass Personen nur mit Zusatzinformationen identifizierbar sind. Diese müssen gesondert aufbewahrt werden und sind nur einem bestimmten Personenkreis zugänglich.
Mehr erfahren
R
Ransomware
Die Schadsoftware verschlüsselt Daten auf infizierten PCs und Speichermedien. Den Schlüssel zum Entschlüsseln bekommt man erst nach Zahlung eines Lösegeldes (englisch: „ransom").
Mehr erfahren
Rechenschaftspflicht
Verantwortliche müssen jederzeit nachweisen können, dass personenbezogene Daten DSGVO-konform verarbeitet werden.
Mehr erfahren
Rechtsgrundlage
Personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen (sog. Rechtsgrundlage nach Artikel 6 Abs. 1 DSGVO) verarbeitet werden.
Mehr erfahren
S
Schadensersatz
Bei Datenschutzverletzungen können Betroffene Schadensersatz vom Verantwortlichen fordern.
Mehr erfahren
Schulung
Im Sinne der DSGVO ist das die regelmäßige Weiterbildung von Mitarbeitern, die personenbezogene Daten verarbeiten, einschließlich Kundenservice, Personal- und IT-Abteilung.
Mehr erfahren
Session Storage
Session Storage (deutsch: „sitzungsbezogene Speicherung") bezeichnet das kurzzeitige Speichern von Nutzerdaten lokal im Webbrowser des Users. Im Gegensatz zu Cookies und Localstorage werden die gespeicherten Daten nach dem Sitzungsende automatisch gelöscht.
Mehr erfahren
Sniffing
Sniffing (deutsch: „Schnüffeln") bedeutet den Netzwerkverkehr (z.B. E-Mails) abzufangen und auszulesen.
Mehr erfahren
Spear Phishing
Beim Spear (deutsch: „Speer") Phishing wird eine Phishing-Mail für ein Opfer maßgeschneidert. Diese gezielt und individuell präparierten E-Mails sind besonders schwer zu erkennen.
Mehr erfahren
Standardvertragsklauseln (SCC)
Standardvertragsklauseln (englisch: „Standard Contractual Clauses", SCC) der Europäischen Kommission sollen einen sicheren Datentransfer außerhalb des europäischen Wirtschaftsraums gewährleisten.
Mehr erfahren
T
Technische und organisatorische Maßnahmen (TOM)
Die DSGVO verlangt für die Verarbeitung sensibler Daten angemessene Schutzmaßnahmen. Zu diesen sog. TOM gehören u.a. Datenverschlüsselung, Firewalls, und Mitarbeiterschulungen.
Mehr erfahren
TISAX
TISAX ist ein Informationssicherheits-Standard der Automobilindustrie. Er basiert auf der ISO 27001 Norm.
Mehr erfahren
Tracking
Tracking ist die Überwachung und Aufzeichnung des Nutzerverhaltens, um z.B. Websites zu optimieren oder personalisierte Werbung anzuzeigen. Tracking stellt ein erhebliches Datenschutz-Risiko dar.
Mehr erfahren
Transportverschlüsselung
Der Datenaustausch erfolgt dabei über einen verschlüsselten Übertragungskanal (z.B. HTTPS). Die Daten selbst bleiben im Gegensatz zur Ende-zu-Ende-Verschlüsselung (E2EE) unverschlüsselt.
Mehr erfahren
Trojaner
Die nach dem trojanischen Pferd benannte Schadsoftware tarnt sich oft als nützliche Anwendung, die User freiwillig installieren. Einmal ausgeführt, übernimmt sie die Kontrolle über den Rechner oder richtet anderweitig Schaden an.
Mehr erfahren
V
Verantwortlicher
Verantwortlicher ist, wer personenbezogene Daten verarbeitet und über Zweck und Mittel entscheidet.
Mehr erfahren
Verarbeitung
Eine Verarbeitung ist jede Aktion, die mit personenbezogenen Daten durchgeführt wird: z.B. abrufen, ändern oder speichern.
Mehr erfahren
Verbot mit Erlaubnisvorbehalt
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Nur durch eine Rechtsgrundlage (z.B. Einwilligung) ist dies in bestimmten Fällen zulässig.
Mehr erfahren
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Das Verzeichnis muss von Unternehmen geführt werden, die personenbezogene Daten verarbeiten. Das VVT enthält alle Verarbeitungstätigkeiten – u.a. auch Zweck, Empfänger oder Aufbewahrungsfristen.
Mehr erfahren
Vishing
Beim Vishing (Kunstwort aus „Voice (Stimme) und Fishing") handelt es sich um Phishing-Angriffe per Telefon. Mit vorgetäuschter Identität (z.B. Service-Techniker) und teils gefälschter Rufnummer versuchen die Anrufer, an Passwörter oder Informationen zu kommen.
Mehr erfahren
W
Wiperware
Die Schadsoftware Wiperware („wiper" = engl. für „Wischer") soll Daten löschen oder unbrauchbar machen.
Mehr erfahren
Z
Zero-Day-Exploit
Ein Zero-Day-Exploit („exploit" = engl. für „ausnutzen") oder auch 0-Day-Exploit ist eine unentdeckte Schwachstelle in Computersystemen. Die Entwickler hatten also „0 Tage Zeit" für eine Problembehebung.
Mehr erfahren
Social Engineering
Die Angriffstechnik Social Engineering (deutsch: „soziale Manipulation") konzentriert sich auf den Faktor Mensch. Durch den Aufbau einer manipulativen Beziehung wollen sich Kriminelle Informationen oder Zugang zu sensiblen Bereichen verschaffen.