Skip to main content

FAQ zu Datenschutz an Hochschulen

Hier finden Sie häufig gestellte Fragen und deren Antworten zum Datenschutz. 

Ohne ihr Einverständnis dürfen Bilder veröffentlicht werden, auf denen Personen nur ganz beiläufig erscheinen, also wenn sie nur zufällig auf dem Bild zu sehen sind und sich dieser Umstand auch im Gesamteindruck des Betrachters manifestiert. Das Verhältnis dieser persönlichkeitsrechtlichen Regelung zur DSGVO ist bislang noch ungeklärt.

Nein. Sollte ein Gesetz, eine Rechtsverordnung oder eine Hochschulsatzung als Rechtsgrundlage für die Datenverarbeitung einschlägig sein, sollte man auch das Gesetz etc. als Rechtsgrundlage heranziehen.

Ja. Es sollte aber der Grundsatz der Datenminimierung berücksichtigt werden, d.h. so wenig Daten wie möglich sollten weitergeleitet werden. Es ist auch vorzugswürdig, wenn die Abteilung der Hochschule, an welche Sie die personenbezogenen Daten des Studierenden weiterleiten möchten, die Daten direkt beim Studierenden erhebt.

Ja. Der Studierende sollte jedoch darauf hingewiesen werden, dass er selber dafür verantwortlich ist, eine Erreichbarkeit über seine private E-Mail-Adresse zu gewährleisten.

Bei personenbezogenen Forschungsdaten wird es im Regelfall ausreichend sein, die Daten zu pseudonymisieren. Das bedeutet, dass diejenigen Informationen, mit der die Personen identifiziert werden können, aus dem Datensatz entfernt werden müssen. Sie müssen sodann getrennt aufbewahrt beziehungsweise gespeichert werden und es ist sicherzustellen, dass es nicht zu einer erneuten Zusammenführung kommt, die eine Identifizierung möglich machen würde. Eine solche Pseudonymisierung ist von der Anonymisierung zu unterscheiden, bei der eine spätere Identifizierung vollständig ausscheidet. Zu anonymisieren sind personenbezogene Forschungsdaten dann, wenn keine Einwilligung der betroffenen Person vorliegt und sich der Wissenschaftler nicht auf eine gesetzliche Erlaubnis für die Datenverarbeitung wie beispielsweise das Forschungsprivileg stützen kann.

Der Studierende sollte im Rahmen eines Textbausteins (z.B. in der Signatur oder auf der Website) darauf hingewiesen werden, dass bei der Übermittlung von Daten aufgrund von mangelnder Verschlüsselung ein gewisses Risiko besteht, dass die Daten von Unbefugten ausgelesen werden können.

Das deutsche Datenschutzrecht, also das des Bundes und das der Länder, wird seit Mai 2018 in großen Teilen durch die europäische Datenschutzgrundverordnung (DSGVO) überlagert, die (anders als dies bei Richtlinien der Fall ist) unmittelbar in Deutschland gilt. Die deutschen Datenschutzgesetze regeln daneben nur noch, was nicht durch die DSGVO abgedeckt wird. Wo die DSGVO räumlich anzuwenden ist, regelt Art. 3 DSGVO. Demnach ist jede Datenverarbeitung durch eine datenschutzrechtlich verantwortliche Person, die in der Union „niedergelassen“ ist, durch die DSGVO geregelt. Das heißt, für die Datenerhebung und Weiterverarbeitung durch einen Wissenschaftler, der in der Europäischen Union tätig ist, gilt die DSGVO. Daneben sind in Deutschland weitergehende datenschutzrechtliche Bestimmungen, die sich aus Bundesrecht oder dem Recht des jeweiligen Bundeslandes ergeben, zu beachten.

Die Speicherung und somit auch die Archivierung personenbezogener Daten gilt rechtlich als Datenverarbeitung im Sinne der Datenschutzgesetze. Damit ist die Archivierung nur dann zulässig, wenn sie sich auf eine rechtliche Grundlage hierfür stützen kann. Es sind auch die gesetzlichen Vorgaben zu den Abläufen (Verarbeitungsverzeichnisse, Anonymisierung, Löschungsfristen et cetera) und zu den technischen und organisatorischen Maßnahmen (sogenannte TOM) zu beachten.

Wünschenswert wäre es, dass der entsprechende Schrank sofort nach Entnahme der Akte wieder abgeschlossen wird. Auch wenn sich der Schrank in einem Raum befinden sollte, zu dem Studierende nur selten Zutritt haben, ist ein Verschließen des Schrankes grundsätzlich zu empfehlen. Dies sollte zumindest dann erfolgen, wenn Sie Kenntnis davon haben, dass ein Studierender z.B. im Rahmen eines Termins Ihr Büro betreten wird.

Grundsätzlich nein. Eine Überarbeitung der alten Einwilligungserklärungen ist nur im Einzelfall erforderlich, wenn mit der alten Einwilligungserklärung offensichtlich gegen Bestimmungen der DSGVO verstoßen wird.

Auch wenn die Daten im Internet „gefunden“ werden, ändert sich am anwendbaren Recht nichts, solange die forschende Person ihre Tätigkeit innerhalb der Europäischen Union ausübt.

Nein. Ein Auftragsverarbeitungsvertrag ist nur erforderlich, wenn die Hochschule dem Vertragspartner über Weisungen Vorgaben bzgl. der Art und Weise der Datenverarbeitungen machen kann. Ansonsten kommt ein Vertrag zur Gemeinsamen Verantwortlichkeit in Betracht, wenn der Vertragspartner der Hochschule bei der Datenverarbeitung genau wie die Hochschule selber einen eigenen Entscheidungsspielraum bzgl. der Art und Weise der Datenverarbeitungen hat.

Grundsätzlich darf auch eine Behörde nicht sämtliche bei Ihnen vorliegenden Daten der Studierenden erfragen. Bitten Sie die anfragende Person um Nennung der gesetzlichen Grundlage, auf welche die Behörde ihre Anfrage stützt.

Nach der bisherigen Rechtslage konnten Einwilligungserklärungen über die Veröffentlichung von Personenbildnissen grundsätzlich nicht einseitig zurückgezogen werden. Seit Inkrafttreten der Datenschutzgrundverordnung ist fraglich, ob dies noch gilt oder ob auf diese Frage - auch  -  Datenschutzrecht anwendbar ist. Die DSGVO sieht grundsätzlich die Möglichkeit vor, solche Zustimmungserklärungen jederzeit widerrufen zu können. Allerdings würde ein solch nachträglicher Widerspruch die Rechtmäßigkeit einer bereits erfolgten Publikation nicht entfallen lassen. Er wirkt nur für die Zukunft.

Grundsätzlich dürfen Daten nur so lange gespeichert werden, wie es erforderlich ist. Ausnahmen von diesem Grundsatz gibt es jedoch bei Aufbewahrungspflichten, die z.B. in einem Gesetz oder in einer Hochschulsatzung festgelegt sind.  

Jede Hochschule hat eine Datenschutzsatzung. In dieser Datenschutzsatzung gibt es häufig einen Paragraphen, der sich mit dem Thema „Löschen/Speicherfristen“ beschäftigt.