Welches sind die wichtigsten Begrifflichkeiten der DSGVO?
Im Datenschutzrecht werden spezielle Begriffe verwendet, die Sie z.T. aus den Datenschutzerklärungen von Online-Angeboten oder aus Ihrer Beschäftigung mit dem Thema bereits kennen werden. Die wichtigsten Begrifflichkeiten der DSGVO sind die folgenden:
- Personenbezogene Daten
Die DSGVO gilt ausschließlich für die Verarbeitung von personenbezogenen Daten, und zwar nur dann, wenn diese Verarbeitung nicht durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt. Im rein privaten und familiären Bereich gilt die DSGVO also nicht.
Daten sind nach DSGVO dann personenbezogen, wenn sie entweder einer identifizierten natürlichen Person zugeordnet sind (z.B. Name, Anschrift, E-Mail-Adresse, Login zur Lernplattform als persönliche Zugangskennung) oder einer natürlichen Person zugeordnet werden können (wie z.B. Standortdaten, Bewegungsdaten, Kommunikationsdaten, besondere persönliche Merkmale), so dass diese Person durch die Daten identifizierbar ist bzw. durch die Verknüpfung von Daten identifizierbar wird. Hierunter fallen alle Angaben, die Rückschlüsse auf die Identität einer Person ermöglichen.
Auch die IP-Adresse eines Nutzers, der über seinen Browser z.B. die schulische Lernplattform aufruft, gilt in der DSGVO ausdrücklich als personenbezogenes Datum (Erwägungsgrund 30 der DSGVO). Da die Verarbeitung der IP-Adresse zwingend erforderlich ist, damit eine aufgerufene Webseite im Browser des Nutzers angezeigt werden kann, verarbeitet jede Website bzw. jeder Online-Dienst personenbezogene Daten. Daher benötigt jeder Online-Dienst, der sich an Bürgerinnen und Bürger der EU richtet, eine Datenschutzerklärung, die die Anforderungen an die Informationspflichten erfüllt, welche in Art. 13 und Art. 14 der DSGVO festlegt sind. - Verarbeitung
Unter „Verarbeitung“ wird in der DSGVO im Grunde alles verstanden, was man mit Daten machen kann, also:
Erheben, Erfassen, Organisieren, Speichern, Anpassen und Verändern, Auslesen, Abfragen, Verwenden, Offenlegen (durch Übermitteln, Verarbeiten oder eine andere Form des Bereitstellens), Abgleichen, Verknüpfen, Einschränken der Verarbeitung, Löschen, Vernichten.
Kurz gesagt: Sind Daten in einem IT-System gespeichert, so ist dies bereits eine Verarbeitung, auch wenn die Daten gar nicht (mehr) genutzt werden. Ist der Zweck der Verarbeitung nicht mehr gegeben und gibt es keine gesetzlichen Vorgaben für eine weitere Speicherung, sind personenbezogene Daten generell zu löschen. - Der „Verantwortliche“
Jede Verarbeitung personenbezogener Daten hat mindestens einen Verantwortlichen. Die DSGVO definiert den Verantwortlichen folgendermaßen: „Diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 DSGVO), ist der sog. „Verantwortliche“ bzw. die „verantwortliche Stelle“.
Wenn also eine Schulleitung beschließt, eine Lernplattform für bestimmte Zwecke einzuführen und sich in der Folge für eine bestimmte IT-Lösung entscheidet, so entscheidet sie über die Zwecke und Mittel. Daher ist sie datenschutzrechtlich für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der schulischen Plattformnutzung verantwortlich. - Der „Betroffene“
Der sog. Betroffene ist diejenige Person, deren personenbezogene Daten verarbeitet werden. Wenn die Schule eine Lernplattform betreibt, dann sind alle Nutzerinnen und Nutzer (Schüler, Lehrer, Eltern u.a.m.) betroffen, deren personenbezogene Daten im Zusammenhang mit der Plattformnutzung verarbeitet werden. Dies betrifft auch die Besucher der Lernplattform, selbst wenn sie keinen Login haben, da der Webserver bereits beim bloßen Aufruf der Plattform-URL personenbezogene Daten (IP-Adresse, verwendetes Betriebssystem, verwendeter Browser u.a.m.) verarbeitet.
- Der „Auftragsverarbeiter“
Auftragsverarbeiter ist diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten der Betroffenen im Auftrag des Verantwortlichen verarbeitet. Im Fall des Betriebs einer Lernplattform ist der Auftragsverarbeiter derjenige Dienstleister, der den professionellen technischen Betrieb und den technischen Support (Updates, IT-Service) für die schulische Lernplattform im Auftrag der Schule übernimmt und damit die technische Sicherheit der Verarbeitung und den Schutz der verarbeiteten personenbezogenen Daten im Rahmen seines Auftrags zu gewährleisten hat.
Weiter zum nächsten Artikel
Zurück zur Übersichtsseite