KI-System-Register
Ein KI-System-Register ist ein internes Verzeichnis, in dem Unternehmen alle eingesetzten KI-Systeme systematisch erfassen und dokumentieren. Es dient als zentrale Übersicht für…
Datenschutz
Schrems-II-Urteil
Das Schrems-II-Urteil ist eine Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020, mit der das Privacy Shield-Abkommen für ungültig erklärt wurde. Seitdem gelten verschärfte Anforderungen…
Trainingsnutzung von Eingabedaten
Trainingsnutzung von Eingabedaten bezeichnet die Verwendung von Benutzereingaben (Prompts, hochgeladene Dokumente) durch KI-Anbieter zur Verbesserung und zum Nachtraining ihrer KI-Modelle. Diese…
Weisungsgebundenheit
Weisungsgebundenheit bezeichnet die rechtliche Pflicht eines Auftragsverarbeiters, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Sie ist…
TOM-Anhang
Der TOM-Anhang ist ein verpflichtender Bestandteil des Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 lit. c DSGVO, in dem der Auftragsverarbeiter die konkreten technischen und organisatorischen…
Vertraulichkeitsverpflichtung
Eine Vertraulichkeitsverpflichtung ist eine dokumentierte Verpflichtung von Mitarbeitenden und anderen Personen, die mit personenbezogenen Daten umgehen, diese vertraulich zu behandeln und nicht…
Trainingsverbot
Ein Trainingsverbot ist eine vertragliche Zusicherung eines KI-Anbieters, dass Kundendaten nicht zur Verbesserung oder zum Training der KI-Modelle verwendet werden. Diese Klausel ist in…
Datenpseudonymisierung
Datenpseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet…
Lösch- und Rückgabepflicht
Die Lösch- und Rückgabepflicht bezeichnet die datenschutzrechtliche Verpflichtung von Auftragsverarbeitern nach Art. 28 Abs. 3 lit. g DSGVO, nach Vertragsende alle personenbezogenen Daten nach Wahl…
Informationspflicht gegenüber Beschäftigten
Die Informationspflicht gegenüber Beschäftigten verpflichtet Arbeitgeber nach Art. 13 und 14 DSGVO, Mitarbeiter und Bewerber transparent über die Verarbeitung ihrer personenbezogenen Daten zu…
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO ist eine der wichtigsten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten: Sie erlaubt die Datenverarbeitung, wenn diese zur Erfüllung…
Datenbestandsaufnahme
Die Datenbestandsaufnahme ist die systematische Erfassung aller Verarbeitungstätigkeiten mit personenbezogenen Daten in einem Unternehmen. Sie bildet die Grundlage für das nach Artikel 30 DSGVO…
Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO verpflichtet Unternehmen, personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke zu erheben und nicht in einer damit unvereinbaren…
Auftragsverarbeitung
Auftragsverarbeitung bezeichnet die Verarbeitung personenbezogener Daten durch einen externen Dienstleister im Auftrag und nach Weisung des datenschutzrechtlich Verantwortlichen. Der Verantwortliche…
BDSG §26 (Beschäftigtendatenschutz)
§ 26 BDSG regelt in Deutschland die Verarbeitung personenbezogener Daten von Beschäftigten durch Arbeitgeber. Die Norm konkretisiert Art. 88 DSGVO und erlaubt die Datenverarbeitung für Begründung,…
Datenresidenz
Datenresidenz bezeichnet den physischen bzw. geografischen Standort, an dem Daten gespeichert oder verarbeitet werden. Der Speicherort entscheidet darüber, welche nationalen Datenschutz-,…
Rechtsgrundlage
Die Rechtsgrundlage ist die rechtliche Legitimation für die Verarbeitung personenbezogener Daten gemäß DSGVO. Jede Datenverarbeitung benötigt eine solche Grundlage, typischerweise Einwilligung,…
Serverstandort
Der Serverstandort bezeichnet das Land oder Rechenzentrum, in dem ein Server physisch betrieben wird und personenbezogene Daten verarbeitet oder gespeichert werden. Er bestimmt die anwendbaren…
Meldepflicht bei Datenpannen
Die Meldepflicht bei Datenpannen verpflichtet Unternehmen, Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden der zuständigen Datenschutzbehörde zu melden,…
DSG (Österreichisches Datenschutzgesetz)
Das österreichische Datenschutzgesetz (DSG) ist das nationale Begleitgesetz zur EU-DSGVO. Es konkretisiert die DSGVO für Österreich, nutzt Öffnungsklauseln und regelt spezifische Bereiche wie…
Privacy by Design
Art. 25 DSGVO verpflichtet Verantwortliche, Datenschutz bereits bei der Konzeption von Systemen und Prozessen zu berücksichtigen (Privacy by Design) und datenschutzfreundliche Voreinstellungen zu…
Berechtigtes Interesse
Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist eine von sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Es erlaubt die Datenverarbeitung, wenn das legitime…
Auftragsverarbeiter
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. Die Zusammenarbeit muss laut Art. 28…
EU Data Boundary
Die EU Data Boundary ist eine Datenschutzmaßnahme von Microsoft, bei der Kundendaten und personenbezogene Daten für zentrale Cloud-Dienste (Azure, Microsoft 365, Dynamics 365, Power Platform)…
Flex Routing
Flex Routing ist eine Funktion für Microsoft 365 Copilot und verwandte Dienste, die es erlaubt, dass KI-Inferencing bei Lastspitzen temporär außerhalb der EU Data Boundary verarbeitet wird, um die…
Datenklassifizierung
Datenklassifizierung ist ein systematischer Prozess, bei dem Unternehmensdaten nach ihrem Schutzbedarf in festgelegte Kategorien eingeteilt werden, um für jede Kategorie angemessene…
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Sie muss freiwillig, informiert, unmissverständlich und für einen bestimmten…
Verarbeitungsverzeichnis
Ein Verarbeitungsverzeichnis dokumentiert alle Tätigkeiten, bei denen ein Unternehmen personenbezogene Daten verarbeitet. Es ist nach Artikel 30 DSGVO für nahezu alle Unternehmen verpflichtend und…
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen sind datenschutzrechtlich verpflichtende Schutzmaßnahmen gemäß Art. 32 DSGVO, die ein angemessenes Sicherheitsniveau für personenbezogene Daten gewährleisten…
EU-U.S. Data Privacy Framework (Datenübermittlungsabkommen EU-USA)
Das EU-U.S. Data Privacy Framework (DPF) ist ein seit Juli 2023 gültiger Angemessenheitsbeschluss der Europäischen Kommission, der die Übermittlung personenbezogener Daten aus dem EWR an…
Datenschutzbeauftragte
Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter ist eine Person, die Unternehmen oder Behörden in allen Datenschutzfragen berät, die Einhaltung der DSGVO überwacht und als Kontaktstelle…
YouTube-Embed
Die datenschutzkonforme Einbettung von YouTube-Videos auf Unternehmenswebsites erfordert besondere Maßnahmen, da bereits beim Seitenaufruf personenbezogene Daten wie IP-Adressen an Google-Server…
Google Maps
Google Maps ist ein Kartendienst von Google, der häufig auf Unternehmenswebsites eingebunden wird, um Besuchern den Standort anzuzeigen. Die Einbindung überträgt personenbezogene Daten an…
Google Fonts
Google Fonts ist ein kostenloser Webfont-Dienst mit über 1.000 Schriftarten. Bei dynamischer Einbindung über Google-Server wird die IP-Adresse der Website-Besucher:innen in die USA übertragen – dies…
Tracking-Pixel
Tracking-Pixel sind kleine JavaScript-Code-Schnipsel (z. B. Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel), die auf Websites eingebunden werden, um Nutzerverhalten zu analysieren und…
HR-Daten
HR-Daten sind personenbezogene Daten, die im Rahmen eines Arbeitsverhältnisses verarbeitet werden – von der Bewerbung über die Beschäftigung bis zur Beendigung. Sie umfassen Stammdaten,…
Kundendaten
Kundendaten sind alle Informationen, die sich auf identifizierte oder identifizierbare Kunden als natürliche Personen beziehen. Sie zählen zu den personenbezogenen Daten im Sinne der DSGVO und…
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikoanalyse, die Unternehmen vor Einführung von Datenverarbeitungen durchführen müssen, wenn diese voraussichtlich ein hohes Risiko…
EDSA (Europäischer Datenschutzausschuss)
Der Europäische Datenschutzausschuss (EDSA, englisch EDPB) ist eine unabhängige EU-Einrichtung mit Rechtspersönlichkeit, die seit 2018 die einheitliche Anwendung der DSGVO in allen Mitgliedstaaten…
Datenkategorien
Datenkategorien bezeichnen die verschiedenen Arten personenbezogener Daten, die im Rahmen der DSGVO unterschiedlich behandelt werden. Besondere Datenkategorien nach Art. 9 DSGVO wie Gesundheitsdaten…
Transfer Impact Assessment (Datentransfer-Folgenabschätzung)
Ein Transfer Impact Assessment (TIA, auch Datentransfer-Folgenabschätzung) ist eine dokumentierte Risikobewertung, die vor Übermittlung personenbezogener Daten in Drittländer prüft, ob das…
Datenverarbeitungsvereinbarung (DPA)
Eine Datenverarbeitungsvereinbarung (DPA, engl. Data Processing Agreement) ist ein nach Art. 28 DSGVO verpflichtender Vertrag zwischen einem datenverarbeitenden Unternehmen (Verantwortlicher) und…
Standardvertragsklauseln
Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der EU-Kommission vorgegebene Vertragsmuster, die es Unternehmen ermöglichen, personenbezogene Daten rechtmäßig in Drittländer…
DSB (Datenschutzbehörde)
Die Datenschutzbehörde (DSB) ist die unabhängige staatliche Aufsichtsbehörde, die in Österreich die Einhaltung der DSGVO und des nationalen Datenschutzgesetzes überwacht. Sie entscheidet über…
Drittlandtransfer
Ein Drittlandtransfer ist die Übermittlung personenbezogener Daten aus der EU oder dem EWR in ein Land außerhalb dieser Gebiete. Er unterliegt besonderen datenschutzrechtlichen Anforderungen gemäß…
DSGVO (Datenschutz-Grundverordnung)
Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 die zentrale EU-Verordnung zum Schutz personenbezogener Daten. Sie gilt verbindlich für alle Unternehmen in der EU – unabhängig von Größe…
AVV (Auftragsverarbeitungsvertrag)
Ein AVV (Auftragsverarbeitungsvertrag) ist ein gesetzlich vorgeschriebener Vertrag nach Art. 28 DSGVO zwischen einem Unternehmen (Verantwortlicher) und einem externen Dienstleister…
Anonymisierung
Anonymisierung bezeichnet die Verarbeitung personenbezogener Daten derart, dass eine Zuordnung zu einer bestimmten Person nicht mehr oder nur mit unverhältnismäßig hohem Aufwand möglich ist.…