Glossar

Dabei handelt es sich um einen Beschluss der Europäischen Kommission, mit welchem bescheinigt wird, dass das Datenschutzniveau in einem Drittland dem Datenschutzniveau in der EU entspricht. Dies ist z.B. bei der Schweiz der Fall.

Bei anonymen Daten ist kein Rückschluss auf den Betroffenen möglich, weshalb die DSGVO nicht anwendbar ist.

Jedes Bundesland hat eine Aufsichtsbehörde, die für die Überprüfung von datenschutzkonformen Prozessen zuständig ist. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist bis 2021 Herr Prof. Dr. Johannes Caspar.

Auftragsverarbeitungsvertrag

Viele Dienstleistungen werden durch Externe erbracht - z.B. der Versand von Newslettern. Wenn diese Leistungen vor allem in der Verarbeitung von personenbezogenen Daten bestehen und der Dienstleister weisungsgebunden ist, liegt zwischen dem Verantwortlichen und dem Dienstleister ein Auftragsverarbeitungsverhältnis vor. In diesem Fall bleibt der Auftraggeber Verantwortlicher und muss mit dem Dienstleister als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen. Hierin verpflichtet sich der Auftragsverarbeiter, die Sorgfaltspflichten der DSGVO zu beachten. 

Das Berechtigungskonzept (auch Rollen- oder Rechtekonzept genannt) ist eine Dokumentation der Rollen und Rechte von Personen in Bezug auf ein System oder eine Anwendung. Die Rollen und Rechte können von Leserechte bis zu Administratorenrechte reichen.

Betroffene können sich bei der Aufsichtsbehörde darüber beschweren, wenn Personenbezogene Daten bei dem Verantwortlichen nicht datenschutzkonform verarbeitet werden.

Besondere Kategorien personenbezogener Daten sind in Art. 9 DSGVO definiert. Die Verarbeitung solcher Daten bedarf einer speziellen Rechtsgrundlage aus Art. 9 Absatz 2 DSGVO.

Person, deren Personenbezogene Daten verarbeitet werden.

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt neben den Datenschutzgesetzen der Länder und den bereichspezifischen Regelungen in anderen Gesetzen die Verarbeitung von personenbezogenen Daten in Deutschland.

Bußgelder können gegenüber Unternehmen bei Datenschutzverletzungen durch die Aufsichtsbehörde verhängt werden. Bei Hochschulen können - außer bei privatrechtlicher Tätigkeit - keine Bußgelder verhängt werden.

Cookies sind im Allgemeinen Daten, die eine Webseite auf Ihrem Computer zwischenspeichert, wenn sie diese besuchen. Mit deren Hilfe speichern Websites Nutzerdaten lokal und serverseitig, um einzelne Funktionen nutzerfreundlicher gestalten zu können.

Das Recht Auskunft zu verlangen, ob und wie die eigenen personenbezogenen Daten verarbeitet werden. Z.B. möchte ein Studierender gern wissen, welche Daten die Hochschule von ihm gespeichert hat.

Eine Datenpanne kann vorliegen, wenn Personenbezogene Daten an Unbefugte geraten - z.B. der irrtümliche Versand von Studierendenunterlagen an eine falsche Adresse, Verlust des Arbeitsgerätes oder durch ein Hackerangriff können diese Daten gefährdet sein.

Hochschulen sind dazu angehalten, bei der Gestaltung von technischen Verarbeitungsvorgängen von Beginn an technische und organisatorische Maßnahmen zu treffen, die die Privatsphäre schützen und die Datenschutzgrundsätze garantieren.

Verantwortliche müssen einen Datenschutzbeauftragten haben, der die datenschutzkonforme Verarbeitung personenbezogener Daten überwacht und den Verantwortlichen berät. Er ist Ansprechpartner für Betroffene und gibt datenschutzrechtliche Schulungen.

Bei der Datensicherheit geht es darum, wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritte, dem Verlust oder der Veränderung aufgrund technischer Pannen geschützt werden.

Der Begriff der Datensicherheit wird im alltäglichen Gebrauch häufig mit dem Datenschutz gleichgestellt, obwohl sie unterschiedliche Bedeutung haben: während der Datenschutz danach strebt, bei der Verarbeitung von personenbezogenen Daten die Rechte und Freiheiten natürlicher Personen zu wahren, bezeichnet die Datensicherheit den technischen Aspekt des Schutzes von Daten. Bei der Datensicherheit fallen auch Daten, die nicht personenbezogen sind.

Ein Nutzer, der sich mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat (Single Opt-In), erhält durch eine anschließende Bestätigungs-E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Bei Nicht-Bestätigung, ist das Verfahren nicht beendet.

Jedes Land, welches nicht Mitglied der EU ist. Bei einer Übermittlung von Daten an Drittländer bedarf es zusätzlich zu einer vorliegenden Rechtsgrundlage entweder eines Angemessenheitsbeschlusses oder es müssen Garantien vorliegen.

Durch die Einwilligung erteilt der Betroffene seine Erlaubnis zur Datenverarbeitung. Die Einwilligung ist eine Rechtsgrundlage und sollte nur bei dem Betroffenen eingeholt werden, wenn die Datenverarbeitung nicht bereits durch ein Gesetz erlaubt ist.

Die Erwägungsgründeäsind Ziele, die mit der Formulierung der Artikel in der DSGVO verfolgt wurden. Sie spiegeln quasi die Vorüberlegungen zur DSGVO und sind vor den eigentlichen Rechtsnormen abgebildet.

Die Erwägungsgründe können Hilfestellung bei der Auslegung und Interpretation einzelner Artikel bzw. Bestimmungen der DSGVO bieten.

Garantien sind z.B. Standardvertragsklauseln als Anhang zu Verträgen mit Vertragspartnern, die sich in einem Drittland befinden. In diesen Standardvertragsklauseln garantiert der Vertragspartner des Drittlandes, dass er die Regeln der DSGVO einhält.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei unabhängige Verantwortliche Personenbezogene Daten gemeinsam verarbeiten und dabei nicht einander weisungsgebunden sind.

Zum Beispiel im Bereich der Forschungstätigkeit können Forschungspartner als gemeinsam verantwortlich betrachtet werden. Ein Indiz kann es sein, ob sie gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Hilfestellung kann ein vorliegender Kooperationsvertrag bieten: Hier sollte der Zweck der Verarbeitung (wer ist für was verantwortlich?) festgelegt werden. Zusätzlich können aber auch die tatsächlichen Umstände der Verarbeitung sowie die tatsächliche gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung eine große Rolle spielen. 

Hierzu gehören die Rechtmäßigkeitä Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen.

Das Hamburgische Datenschutzgesetz (HmbDSG) ist das landesrechtliche Pendant zum Bundesdatenschutzgesetz.

Das Hamburgische Hochschulgesetz (HmbHG) regelt das Hochschulwesen in der Freien und Hansestadt Hamburg.

§ 2 Abs. 1 HmbHG sagt: "Die Hochschulen, Einrichtungen der FFH, sind rechtsfähige Körperschaften des öffentlichen Rechts mit dem Recht der Selbstverwaltung.[...]". Das Satzungsrecht ist grundsätzlich begrenzt auf Körperschaftsangelegenheiten.

Die Informationspflichten gewährleisten den Transparenzgrundsatz. Denn gerade für die Wahrnehmung der Betroffenenrechte muss der Datenverarbeiter über die Datenverarbeitung informieren.

Der Schutz von Informationen vor Gefahren oder Manipulation und daraus resultierenden schweren wirtschaftlichen Schäden. In erster Linie soll also der unbefugte Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte verhindert werden.

Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Hochschule zuständig.

Ein Löschkonzeptölegt fest, wann und wie Personenbezogene Daten aus einer Datenverarbeitung zu löschen sind. In einem Löschkonzeptöwird somit festgelegt, wann ein konkretes Datum das Ende ihres Lebenszyklus erreicht hat. Die Löschungöist zu dokumentieren.

Löschungö(von pbD) bedeutet sicherzustellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Dabei reicht es aus, die Daten zu anonymisieren und alle bezüglichen Logfiles zu löschen.

Bei Minderjährigen unter 14 Jahren sind die Eltern vertretungsbefugt. Insbesondere bei Studierenden ab 16 Jahren, sind diese jedoch grundsätzlich für ihre datenschutzrechtlichen Angelegenheiten selbst zuständig.

Opt-In Ist, wenn eine Zustimmung des Nutzers über die Verarbeitung seiner Daten nicht automatisch vorausgesetzt wird. Dieses Verfahren kann mittels einfachem Opt-In, aber auch mittels Double-Opt-In realisiert werden.

Bei diesem Verfahren wird die Zustimmung des Nutzers automatisch vorausgesetzt, sollte dieser nicht selbst aktiv werden und der Nutzung ausdrücklich widersprechen.

Personenbezogene Daten (pbD) sind alle Daten, die eine Person identifizieren oder identifizierbar machen. Z.B. Name, Anschrift, Foto, IP-Adresse, Matrikelnummer.

„Schonende“ Art der Datenverarbeitung, bei welcher Rückschlüsse auf den Betroffenen nur unter Hinzuziehung zusätzlicher Informationen möglich sind. Pseudonyme Daten sind im Gegensatz zu anonymen Daten Personenbezogene Daten.

Pseudonyme Daten sind solche Daten, können zwar nicht direkt vom Verantwortlichen keiner spezifischen Person zugeordnet werden, aber für andere besteht die grundsätzliche Möglichkeit der Zuordnung durch die Einbeziehung weitergehender Informationen.

Nach der Rechenschaftspflicht ist der Verantwortliche (die Hochschule) für die Einhaltung der in Art. 5 Abs.1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.

Das Erstellen und Führen eines Verarbeitungsverzeichnisses (VVT) trägt zur Erfüllung der Rechenschaftspflicht bei.

Die Verarbeitung personenbezogener Daten muss gemäß Artikel 6 DSGVO rechtmäßig sein.

Dies hat zwei Aspekte:

• Die Verarbeitung bedarf einer Rechtsgrundlage
• Die weiteren Anforderungen (siehe Grundsätze der Datenverarbeitung) müssen berücksichtigt und erfüllt werden.

Eine Rechtsgrundlage stellt die Erlaubnis dar, Personenbezogene Daten zu verarbeiten. Das kann z.B. eine Einwilligung oder eine andere gesetzliche Rechtsgrundlage nach Art. 6 DSGVO sein.

Die Einwilligung ist in Art. 6 Absatz 1 lit. a DSGVO geregelt, die gesetzlichen Rechtsgrundlagen sind abschließend in Art. 6 Absatz 1 lit. b-f DSGVO aufgeführt. Bei der Datenverarbeitung durch eine öffentliche Hochschule sind in der Regel zwei mögliche Rechtsgrundlagen zu prüfen: Auf der einen Seite die Einwilligung nach lit.a und auf der anderen Seite die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe nach lit.e. Der Art. 6 Absatz 1 lit.e DSGVO selbst dient jedoch nicht als Rechtsgrundlage! Vielmehr muss eine extra normierte Rechtsgrundlage bestehen, die die Aufgabenwahrnehmung näher ausgestaltet, siehe Absatz 3 des Art. 6 DSGVO. Für öffentliche Hochschulen im Hamburg sind in diesem Zusammenhang vor allem das Hamburgische Datenschutzgesetz und das Hamburgische Hochschulgesetz maßgeblich.

An diesem Ansatz orientieren sich die nach Art. 32 Absatz 1 DSGVO die zu treffenden technisch-organisatorischen Maßnahmen, die zur Einhaltung des Datenschutzes am Risiko für die Rechte und Freiheiten des Betroffenen ausgerichtet werden müssen.

Sensible Daten sind Daten, die diskriminierend wirken können. Hierbei handelt es sich um Personenbezogene Daten wie z.B. biometrischen Daten, Gesundheitsdaten oder Sozialversicherungsdaten.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist als Körperschaft des öffentlichen Rechts die jeweilige Hochschule, vertreten durch ihre Präsidentin/ihren Präsidenten.

Die Umsetzungsverantwortung der DSGVO kann selbstverständlich an den jeweiligen Verfahrens- oder Fachverantwortlichen delegiert werden. Nützlich sind an dieser Stelle Datenschutzkonzepte.

Jeder Vorgang, der im Zusammenhang mit personenbezogenen Daten steht. Auch die Weitergabe „innerhalb der Hochschule“ und das Löschen sind eine Verarbeitung.

In einem Verzeichnis von Verarbeitungstätigkeiten müssen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, z.B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.

Akten und Papiere sind zu schreddern. Bei größeren Mengen bedienen sich die Hochschule oftmals eines externen Dienstleisters. Auch bei der Entsorgung von Rechnern/Datenträgern, dürfen Daten nicht mehr lesbar sein. Im Zweifel ist der ISB zu kontaktieren.

Möglichkeit des Betroffenen bei einer Datenverarbeitung, die aufgrund einer Einwilligung erfolgt, zu verhindern, dass seine Daten in Zukunft weiterverarbeitet werden.

Gegen eine Datenverarbeitung die aufgrund des Art. 6 Abs. 1 lit.e oder lit.f DSGVO erfolgt, kann der Betroffene Widerspruch einlegen. Wenn die darauffolgende Interessenabwägung zugunsten des Betroffenen ausfällt, ist die Datenverarbeitung zu unterlassen.