Wissen
Datenschutz. Erklärt. Mit Quelle.
Definitionen mit Rechtsquelle, laufend erweitert.
A
Abmahnung
Eine Abmahnung ist die außergerichtliche Aufforderung, einen Rechtsverstoß zu unterlassen - bei Websites oft wegen Google Fonts, fehlender Consent-Banner oder unvollständigem Impressum. Sie ist noch kein Urteil, setzt aber meist eine kurze Frist. Wichtig: Frist notieren, Forderung prüfen, nichts ungeprüft unterschreiben.
Auftragsverarbeitung (AVV)
Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet - etwa Hosting, Newsletter-Tools oder Analytics. Ohne AVV ist die Weitergabe der Daten rechtswidrig und bußgeldbewehrt.
Auskunftsrecht
Das Auskunftsrecht nach Art. 15 DSGVO gibt jeder Person das Recht zu erfahren, ob und welche ihrer personenbezogenen Daten ein Unternehmen verarbeitet. Die Auskunft muss kostenlos und in der Regel innerhalb eines Monats erteilt werden - inklusive Zwecken, Empfängern, Speicherdauer und Herkunft der Daten.
B
BDSG
Das BDSG (Bundesdatenschutzgesetz) ergänzt die DSGVO in Deutschland dort, wo sie den Mitgliedstaaten Spielraum lässt. Es regelt unter anderem die Pflicht zur Benennung eines Datenschutzbeauftragten, den Beschäftigtendatenschutz und die Befugnisse der Aufsichtsbehörden. DSGVO und BDSG gelten parallel; bei Widersprüchen hat die DSGVO Vorrang.
Berechtigtes Interesse
Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) erlaubt eine Datenverarbeitung ohne Einwilligung, wenn Ihre Interessen die Grundrechte der betroffenen Person überwiegen. Es erfordert eine dokumentierte Abwägung und taugt nicht als Freibrief für Tracking oder Werbe-Cookies.
C
Consent-Banner / CMP
Ein Consent-Banner (oder CMP, Consent-Management-Plattform) holt die Einwilligung für nicht notwendige Cookies ein. Wirksam ist es nur, wenn „Ablehnen" genauso leicht erreichbar ist wie „Akzeptieren", nichts vorausgewählt ist und vor der Einwilligung kein Tracking lädt. Viele Banner erfüllen das nicht.
Cookies
Cookies sind kleine Dateien, die eine Website im Browser speichert. Technisch notwendige Cookies (Login, Warenkorb) sind ohne Einwilligung erlaubt; alle anderen - Analyse, Marketing, Tracking - brauchen nach § 25 TDDDG die vorherige aktive Einwilligung der Besucher.
D
Dark Patterns (Cookie-Banner)
Dark Patterns sind manipulative Gestaltungstricks in Cookie-Bannern, die Nutzer zur Einwilligung drängen - etwa ein versteckter Ablehnen-Button oder farblich hervorgehobenes 'Akzeptieren'.
Datenpanne
Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten) liegt vor, wenn Daten unbeabsichtigt oder unrechtmäßig offengelegt, verändert, verloren oder zerstört werden. Verantwortliche müssen sie in der Regel binnen 72 Stunden der Aufsichtsbehörde melden (Art. 33 DSGVO) und bei hohem Risiko auch die Betroffenen benachrichtigen (Art. 34).
Datenschutzbeauftragter
Ein Datenschutzbeauftragter (DSB) überwacht im Unternehmen die Einhaltung des Datenschutzrechts und ist Ansprechpartner für Aufsichtsbehörden und Betroffene. Pflicht ist er unter anderem, wenn in Deutschland mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine umfangreiche Verarbeitung sensibler Daten stattfindet.
Datenschutzerklärung
Die Datenschutzerklärung informiert Besucher darüber, welche Daten eine Website zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Art. 13 DSGVO macht sie zur Pflicht; sie muss leicht auffindbar, vollständig und verständlich sein und das tatsächliche Verhalten der Website korrekt abbilden.
Double-Opt-in
Double-Opt-in ist das zweistufige Verfahren für Newsletter-Anmeldungen: Nach der Eintragung der E-Mail-Adresse muss der Empfänger einen Bestätigungslink anklicken. Erst dann gilt die Einwilligung als nachgewiesen. In Deutschland ist Double-Opt-in praktisch Pflicht, um wirksame Werbeeinwilligungen rechtssicher zu dokumentieren.
Drittlandtransfer
Ein Drittlandtransfer ist jede Übermittlung personenbezogener Daten in ein Land außerhalb des EWR - etwa in die USA. Er ist nur zulässig mit Angemessenheitsbeschluss, Standardvertragsklauseln plus Zusatzmaßnahmen oder einer Ausnahme nach Art. 49 DSGVO. Viele US-Dienste lösen ihn unbemerkt aus.
DSGVO
Die DSGVO (Datenschutz-Grundverordnung) ist das EU-weite Datenschutzgesetz, das seit dem 25. Mai 2018 gilt. Sie regelt, wie Unternehmen und Websites personenbezogene Daten verarbeiten dürfen, und gibt betroffenen Personen weitreichende Rechte. Verstöße können mit Bußgeldern von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden.
E
Eingebettete Inhalte
Eingebettete Inhalte sind externe Elemente wie YouTube-Videos, Google Maps, Schriftarten oder Social-Media-Widgets, die eine Website von fremden Servern lädt. Schon beim Seitenaufruf können sie Cookies setzen und die IP-Adresse der Besucher an den Anbieter - oft in den USA - übertragen. Ohne Einwilligung ist das in der Regel unzulässig.
Einwilligung
Eine Einwilligung ist die freiwillige, informierte und eindeutige Zustimmung einer Person zur Verarbeitung ihrer Daten. Sie muss vor der Verarbeitung erteilt werden, jederzeit widerrufbar sein und durch eine aktive Handlung erfolgen - vorangekreuzte Kästchen oder reines Weitersurfen genügen nicht.
EU-US Data Privacy Framework
Das EU-US Data Privacy Framework (DPF) ist der Angemessenheitsbeschluss der EU-Kommission von 2023, der Datentransfers in die USA wieder erleichtert - aber nur zu US-Unternehmen, die sich aktiv zertifiziert haben. Für nicht zertifizierte Empfänger bleiben Standardvertragsklauseln samt Zusatzprüfung nötig.
G
Google Analytics
Google Analytics ist ein Webanalyse-Dienst von Google, der das Verhalten von Website-Besuchern misst. Es ist einwilligungspflichtig: Ohne vorherige, aktive Zustimmung darf es nicht laden, weil es Cookies setzt (§ 25 TDDDG) und personenbezogene Daten an Google übermittelt. Lädt es schon vor dem Consent, ist das ein häufiger Abmahngrund.
Google Fonts
Google Fonts dynamisch von Google-Servern zu laden überträgt die IP-Adresse der Besucher in die USA - ohne Einwilligung ist das nach dem Urteil des LG München (Az. 3 O 17493/20) ein Datenschutzverstoß und häufiger Abmahngrund. Die Lösung: Schriften lokal einbinden und selbst ausliefern.
I
Impressumspflicht (§ 5 DDG)
Die Impressumspflicht nach § 5 DDG (vormals § 5 TMG) verlangt von geschäftsmäßigen Websites ein vollständiges, leicht erkennbares und unmittelbar erreichbares Impressum mit Name, Anschrift, Kontakt und ggf. Register- und USt-Angaben. Ein fehlendes oder unvollständiges Impressum ist ein häufiger Abmahngrund.
IP-Adresse
Eine IP-Adresse ist nach gefestigter Rechtsprechung ein personenbezogenes Datum, weil sich ein Nutzer mit Zusatzwissen identifizieren lässt. Der EuGH hat das für dynamische IP-Adressen bestätigt (Breyer, C-582/14). Wird die IP ohne Einwilligung an Dritte übermittelt - etwa beim dynamischen Laden von Google Fonts -, ist das ein Datenschutzverstoß.
P
Pay or Consent (Pur-Abo)
Pay or Consent (Pur-Abo) ist ein Banner-Modell, bei dem Besucher zwischen einer Einwilligung in Tracking und einem kostenpflichtigen, tracking-freien Zugang wählen müssen.
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen - Name, E-Mail, Standort, aber auch IP-Adresse, Cookie-IDs und Gerätekennungen. Sobald eine Website solche Daten verarbeitet, greift die DSGVO in vollem Umfang.
S
Schrems II
Schrems II ist das EuGH-Urteil C-311/18 von 2020, das den Privacy Shield für US-Datentransfers kippte. Seitdem reichen Standardvertragsklauseln nur mit zusätzlichen Schutzmaßnahmen, weil US-Überwachungsgesetze kein gleichwertiges Datenschutzniveau garantieren. Es ist der Grund, warum US-Tools rechtlich heikel sind.
Sicherheits-Header
HTTP-Sicherheits-Header sind Server-Anweisungen, die der Browser zum Schutz der Besucher umsetzt - etwa HSTS (erzwungenes HTTPS), Content-Security-Policy (gegen XSS) und X-Frame-Options (gegen Clickjacking). Sie zählen zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
T
TDDDG
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist seit Mai 2024 der Nachfolger des TTDSG und setzt die ePrivacy-Richtlinie in deutsches Recht um. Sein § 25 verlangt für das Speichern und Auslesen von Informationen auf Endgeräten - etwa Cookies - grundsätzlich eine Einwilligung. Nur technisch notwendige Vorgänge sind ausgenommen.
Technische und organisatorische Maßnahmen (TOM)
Technische und organisatorische Maßnahmen (TOM) sind die konkreten Schutzvorkehrungen, mit denen Sie personenbezogene Daten absichern - etwa Verschlüsselung, Zugriffskontrolle, Backups und Pseudonymisierung. Art. 32 DSGVO verlangt sie passend zum Risiko und macht sie zum Pflichtbestandteil jedes AVV.
Tracking / Tracker
Tracking ist das Erfassen des Nutzerverhaltens über Tools wie Google Analytics, Meta Pixel oder Heatmaps - meist per Cookie, Pixel oder Script. In Deutschland ist es ohne vorherige Einwilligung unzulässig, wenn es nicht technisch notwendig ist. Tracker, die vor dem Consent feuern, sind ein klassischer Verstoß.
Trust Score
Der Trust Score ist Sorrels zusammengesetzte Kennzahl für die Vertrauenswürdigkeit einer Website. Er bündelt fünf Teilwerte - Compliance (DSGVO), Datenschutz, Sicherheit, Vendor-Risiko und Technologie-Qualität - zu einem Wert von 0 bis 100. So sieht man auf einen Blick, wo eine Website steht, statt eine lange Befundliste lesen zu müssen.
W
Website Intelligence
Website Intelligence bezeichnet die kontinuierliche Erfassung, Überwachung, Bewertung und Erklärung aller Compliance-, Datenschutz-, Sicherheits- und Technologie-Risiken einer Website. Statt eines einmaligen DSGVO-Scans entsteht ein laufendes Bild der gesamten Web-Oberfläche - inklusive Dienstleister, Technologie-Stack und Veränderungen über die Zeit.
Widerspruchsrecht
Das Widerspruchsrecht nach Art. 21 DSGVO erlaubt es einer Person, einer Datenverarbeitung zu widersprechen, die auf einem berechtigten Interesse beruht. Gegen Direktwerbung kann jederzeit und ohne Begründung widersprochen werden - danach muss die Verarbeitung für diesen Zweck sofort enden.
Wissensgraph
Der Wissensgraph ist Sorrels kuratierte Datenbank mit über 1.000 Diensten, die jede erkannte Technologie mit strukturierten Compliance-Daten anreichert - Herkunftsland, Einwilligungspflicht nach TTDSG, Verfügbarkeit einer AVV, Drittland-Transfer, Risikobewertung und einschlägige Rechtsprechung. So wird aus „wir haben das gesehen" ein „das bedeutet rechtlich Folgendes".
Schluss-Akkord