Glossar

Dabei handelt es sich um einen Beschluss der Europäischen Kommission, mit welchem bescheinigt wird, dass das Datenschutzniveau in einem Drittland dem Datenschutzniveau in der EU entspricht. Dies ist z.B. bei der Schweiz der Fall.

Bei anonymen Daten ist kein Rückschluss auf den Betroffenen möglich, weshalb die DSGVO nicht anwendbar ist.

Jedes Bundesland hat eine Aufsichtsbehörde, die für die Überprüfung von datenschutzkonformen Prozessen zuständig ist. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist bis 2021 Herr Prof. Dr. Johannes Caspar.

Auftragsverarbeitungsvertrag

Viele Dienstleistungen werden durch Externe erbracht - z.B. der Versand von Newslettern. Wenn diese Leistungen vor allem in der Verarbeitung von personenbezogenen Daten bestehen und der Dienstleister weisungsgebunden ist, liegt zwischen dem Verantwortlichen und dem Dienstleister ein Auftragsverarbeitungsverhältnis vor. In diesem Fall bleibt der Auftraggeber Verantwortlicher und muss mit dem Dienstleister als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen. Hierin verpflichtet sich der Auftragsverarbeiter, die Sorgfaltspflichten der DSGVO zu beachten. 

Das Berechtigungskonzept (auch Rollen- oder Rechtekonzept genannt) ist eine Dokumentation der Rollen und Rechte von Personen in Bezug auf ein System oder eine Anwendung. Die Rollen und Rechte können von Leserechte bis zu Administratorenrechte reichen.

Betroffene können sich bei der Aufsichtsbehörde darüber beschweren, wenn Personenbezogene Daten bei dem Verantwortlichen nicht datenschutzkonform verarbeitet werden.

Besondere Kategorien personenbezogener Daten sind in Art. 9 DSGVO definiert. Die Verarbeitung solcher Daten bedarf einer speziellen Rechtsgrundlage aus Art. 9 Absatz 2 DSGVO.

Person, deren Personenbezogene Daten verarbeitet werden.

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt neben den Datenschutzgesetzen der Länder und den bereichspezifischen Regelungen in anderen Gesetzen die Verarbeitung von personenbezogenen Daten in Deutschland.

Bußgelder können gegenüber Unternehmen bei Datenschutzverletzungen durch die Aufsichtsbehörde verhängt werden. Bei Hochschulen können - außer bei privatrechtlicher Tätigkeit - keine Bußgelder verhängt werden.

Cookies sind im Allgemeinen Daten, die eine Webseite auf Ihrem Computer zwischenspeichert, wenn sie diese besuchen. Mit deren Hilfe speichern Websites Nutzerdaten lokal und serverseitig, um einzelne Funktionen nutzerfreundlicher gestalten zu können.

Das Recht Auskunft zu verlangen, ob und wie die eigenen personenbezogenen Daten verarbeitet werden. Z.B. möchte ein Studierender gern wissen, welche Daten die Hochschule von ihm gespeichert hat.

Eine Datenpanne kann vorliegen, wenn Personenbezogene Daten an Unbefugte geraten - z.B. der irrtümliche Versand von Studierendenunterlagen an eine falsche Adresse, Verlust des Arbeitsgerätes oder durch ein Hackerangriff können diese Daten gefährdet sein.

Hochschulen sind dazu angehalten, bei der Gestaltung von technischen Verarbeitungsvorgängen von Beginn an technische und organisatorische Maßnahmen zu treffen, die die Privatsphäre schützen und die Datenschutzgrundsätze garantieren.

Verantwortliche müssen einen Datenschutzbeauftragten haben, der die datenschutzkonforme Verarbeitung personenbezogener Daten überwacht und den Verantwortlichen berät. Er ist Ansprechpartner für Betroffene und gibt datenschutzrechtliche Schulungen.

Bei der Datensicherheit geht es darum, wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritte, dem Verlust oder der Veränderung aufgrund technischer Pannen geschützt werden.

Der Begriff der Datensicherheit wird im alltäglichen Gebrauch häufig mit dem Datenschutz gleichgestellt, obwohl sie unterschiedliche Bedeutung haben: während der Datenschutz danach strebt, bei der Verarbeitung von personenbezogenen Daten die Rechte und Freiheiten natürlicher Personen zu wahren, bezeichnet die Datensicherheit den technischen Aspekt des Schutzes von Daten. Bei der Datensicherheit fallen auch Daten, die nicht personenbezogen sind.

Ein Nutzer, der sich mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat (Single Opt-In), erhält durch eine anschließende Bestätigungs-E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Bei Nicht-Bestätigung, ist das Verfahren nicht beendet.

Jedes Land, welches nicht Mitglied der EU ist. Bei einer Übermittlung von Daten an Drittländer bedarf es zusätzlich zu einer vorliegenden Rechtsgrundlage entweder eines Angemessenheitsbeschlusses oder es müssen Garantien vorliegen.

Durch die Einwilligung erteilt der Betroffene seine Erlaubnis zur Datenverarbeitung. Die Einwilligung ist eine Rechtsgrundlage und sollte nur bei dem Betroffenen eingeholt werden, wenn die Datenverarbeitung nicht bereits durch ein Gesetz erlaubt ist.

Die Verarbeitung personenbezogener Daten an Hochschulen wird größtenteils aufgrund einer gesetzlichen Rechtsgrundlage legitimiert. Nur wenn die Datenverarbeitung auf keine gesetzliche Rechtsgrundlage gestützt werden kann, kann eine Einwilligung der Betroffenen in die Verarbeitung seiner personenbezogenen Daten herangezogen werden. Für eine wirksame Einwilligung müssen folgende Regelung berücksichtigt werden:

• Sie muss freiwillig erfolgen (freie Wahl ohne Nachteile befürchten zu müssen, stellt ein Problem in klassischen Abhängigkeitsverhältnissen dar, wie: Arbeitgeber/Arbeitnehmer und Hochschule/Studierende)
• Sie muss in Informierter Art abgegeben werden (mindestens Kenntnis der Datenverarbeitung und deren Umfang)
• Sie darf sich nur auf einen bestimmten Fall beziehen (bezogen auf einen bestimmten Zweck und eine bestimmte Verarbeitung (keine Blanko- oder Pauschaleinwilligung!)
• Sie muss in unmissverständlicher Weise abgegeben werden (eindeutige bestätigende Handlung)
• Sie darf nicht an andere Bedingungen gekoppelt sein=Kopplungsverbot (Beispiel: Für einen Newsletterversand ist nur die E-Mail-Adresse erforderlich. Wenn man aber durch das Anlegen von weiteren Pflichtfeldern bei der Anmeldung zu einem Newsletter noch weitere Daten erhebt, so ist das unzulässig
• Die Einwilligung kann von der betroffenen Person jederzeit widerrufen werden. Ein erfolgter Widerruf der Einwilligung hat keine Auswirkung auf die bis zum Widerruf erfolgte Verarbeitung, sondern wirkt nur für die Zukunft.

Die Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel in der DSGVO verfolgt wurden. Sie spiegeln quasi die Vorüberlegungen zur DSGVO und sind vor den eigentlichen Rechtsnormen abgebildet.

Die Erwägungsgründe können Hilfestellung bei der Auslegung und Interpretation einzelner Artikel bzw. Bestimmungen der DSGVO bieten.

Garantien sind z.B. Standardvertragsklauseln als Anhang zu Verträgen mit Vertragspartnern, die sich in einem Drittland befinden. In diesen Standardvertragsklauseln garantiert der Vertragspartner des Drittlandes, dass er die Regeln der DSGVO einhält.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei unabhängige Verantwortliche Personenbezogene Daten gemeinsam verarbeiten und dabei nicht einander weisungsgebunden sind.

Zum Beispiel im Bereich der Forschungstätigkeit können Forschungspartner als gemeinsam verantwortlich betrachtet werden. Ein Indiz kann es sein, ob sie gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Hilfestellung kann ein vorliegender Kooperationsvertrag bieten: Hier sollte der Zweck der Verarbeitung (wer ist für was verantwortlich?) festgelegt werden. Zusätzlich können aber auch die tatsächlichen Umstände der Verarbeitung sowie die tatsächliche gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung eine große Rolle spielen. 

Hierzu gehören die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen.

Das Hamburgische Datenschutzgesetz (HmbDSG) ist das landesrechtliche Pendant zum Bundesdatenschutzgesetz.

Das Hamburgische Hochschulgesetz (HmbHG) regelt das Hochschulwesen in der Freien und Hansestadt Hamburg.

§ 2 Abs. 1 HmbHG sagt: "Die Hochschulen, Einrichtungen der FFH, sind rechtsfähige Körperschaften des öffentlichen Rechts mit dem Recht der Selbstverwaltung.[...]". Das Satzungsrecht ist grundsätzlich begrenzt auf Körperschaftsangelegenheiten.

Die Informationspflichten gewährleisten den Transparenzgrundsatz. Denn gerade für die Wahrnehmung der Betroffenenrechte muss der Datenverarbeiter über die Datenverarbeitung informieren.

Um die Informationspflichten zu erfüllen, muss zum Zeitpunkt der Erhebung den Betroffenen eine Datenschutzerklärung mit den folgenden Inhalten zur Verfügung gestellt werden:

• die/den Verantwortliche/n für die Datenverarbeitung samt Kontaktdaten
• die/den Datenschutzbeauftragte/n des/der Verantwortlichen samt Kontaktdaten
• den zweck und die Rechtsgrundlage der Datenverarbeitung
• ggf. die Empfänger der personenbezogenen Daten
• gegebenenfalls die Übermittlung personenbezogener Daten in ein Drittland
• die Dauer der Speicherung, oder jedenfalls die Kriterien der Speicherdauer
• die Betroffenenrechte
• das Beschwerderecht bei einer Aufsichtsbehörde

Werden Personenbezogene Daten nicht direkt bei dem/der Betroffenen selbst erhoben, handelt es sich um eine Dritterhebung. Hier sind im Wesentlichen die gleichen Informationen wie im Fall einer Direkterhebung von Daten (also beim Betroffenen direkt) zu erteilen. Darüber hinaus ist der/die Betroffene aber zusätzlich zu informieren, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.

Wenn die betroffene Person bereits über die entsprechenden Informationen verfügt, kann auf ein Bereitstellen einer Informationspflicht verzichtet werden. Wann ein solcher Fall vorliegt, muss jedoch im Einzellall geprüft werden.

Der Schutz von Informationen vor Gefahren oder Manipulation und daraus resultierenden schweren wirtschaftlichen Schäden. In erster Linie soll also der unbefugte Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte verhindert werden.

Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Hochschule zuständig.

Ein Löschkonzept legt fest, wann und wie Personenbezogene Daten aus einer Datenverarbeitung zu löschen sind. In einem Löschkonzept wird somit festgelegt, wann ein konkretes Datum das Ende ihres Lebenszyklus erreicht hat. Die Löschung ist zu dokumentieren.

Löschung (von pbD) bedeutet sicherzustellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Dabei reicht es aus, die Daten zu anonymisieren und alle bezüglichen Logfiles zu löschen.

Bei Minderjährigen unter 14 Jahren sind die Eltern vertretungsbefugt. Insbesondere bei Studierenden ab 16 Jahren, sind diese jedoch grundsätzlich für ihre datenschutzrechtlichen Angelegenheiten selbst zuständig.

Opt-In Ist, wenn eine Zustimmung des Nutzers über die Verarbeitung seiner Daten nicht automatisch vorausgesetzt wird. Dieses Verfahren kann mittels einfachem Opt-In, aber auch mittels Double-Opt-In realisiert werden.

Bei diesem Verfahren wird die Zustimmung des Nutzers automatisch vorausgesetzt, sollte dieser nicht selbst aktiv werden und der Nutzung ausdrücklich widersprechen.

Personenbezogene Daten (pbD) sind alle Daten, die eine Person identifizieren oder identifizierbar machen. Z.B. Name, Anschrift, Foto, IP-Adresse, Matrikelnummer.

„Schonende“ Art der Datenverarbeitung, bei welcher Rückschlüsse auf den Betroffenen nur unter Hinzuziehung zusätzlicher Informationen möglich sind. Pseudonyme Daten sind im Gegensatz zu anonymen Daten Personenbezogene Daten.

Pseudonyme Daten sind solche Daten, können zwar nicht direkt vom Verantwortlichen keiner spezifischen Person zugeordnet werden, aber für andere besteht die grundsätzliche Möglichkeit der Zuordnung durch die Einbeziehung weitergehender Informationen.

Nach der Rechenschaftspflicht ist der Verantwortliche (die Hochschule) für die Einhaltung der in Art. 5 Abs.1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.

Das Erstellen und Führen eines Verarbeitungsverzeichnisses (VVT) trägt zur Erfüllung der Rechenschaftspflicht bei.

Die Verarbeitung personenbezogener Daten muss gemäß Artikel 6 DSGVO rechtmäßig sein.

Dies hat zwei Aspekte:

• Die Verarbeitung bedarf einer Rechtsgrundlage
• Die weiteren Anforderungen (siehe Grundsätze der Datenverarbeitung) müssen berücksichtigt und erfüllt werden.

Eine Rechtsgrundlage stellt die Legitimation dar, Personenbezogene Daten zu verarbeiten. Das kann z.B. eine Einwilligung oder eine andere gesetzliche Rechtsgrundlage nach Art. 6 DSGVO sein.

Die DSGVO nennt in Art. 6 DSGVO selbst eine abschließende Liste von Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die Einwilligung ist in Art. 6 Absatz 1 lit. a DSGVO geregelt, die gesetzlichen Rechtsgrundlagen sind abschließend in Art. 6 Absatz 1 lit. b-f DSGVO aufgeführt.

An dieser Stelle werden die im Hochschulkontext häufigsten Rechtsgrundlagen vorgestellt:

• Die Einwilligung, Art. 6 Abs. 1 lit. a DSGVO

Nur wenn keine andere Rechtsgrundlage für die Datenverarbeitung in Betracht kommt, kann eine Einwilligung der Betroffenen als Legitimation dienen.

• Die Verarbeitung personenbezogener Daten zur Aufgabenerfüllung, Art. 6 Abs. 1 lit. e DSGVO

Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, kann eine Verarbeitung personenbezogener Daten erforderlich sein. Maßgabe sind hier die Aufgaben, die das Hamburgische Hochschulgesetz den Hochschulen zuweist. Der Art. 6 Absatz 1 lit.e DSGVO selbst dient jedoch nicht als Rechtsgrundlage! Vielmehr muss eine extra normierte Rechtsgrundlage bestehen, die die Aufgabenwahrnehmung näher ausgestaltet, siehe Absatz 3 des Art. 6 DSGVO. Für öffentliche Hochschulen in Hamburg sind in diesem Zusammenhang vor allem das Hamburgische Datenschutzgesetz und das Hamburgische Hochschulgesetz maßgeblich.

• Die Verarbeitung personenbezogener Daten aufgrund einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO

Bei einer Verarbeitung personenbezogener Daten aufgrund der Erfüllung einer rechtlichen Verpflichtung muss es sich um eine Verpflichtung aus objektivem Recht handeln. Das können entsprechende Regelungen aus dem Mutterschutzgesetz, dem Gesetz über die Statistik für das Hochschulwesen sowie für die Berufsakademien, dem Sozialgesetzbuch, der Abgabenordnung usw. sein.

• Die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrages mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

An diesem Ansatz orientieren sich die nach Art. 32 Absatz 1 DSGVO die zu treffenden technisch-organisatorischen Maßnahmen, die zur Einhaltung des Datenschutzes am Risiko für die Rechte und Freiheiten des Betroffenen ausgerichtet werden müssen.

Sensible Daten sind Daten, die diskriminierend wirken können. Hierbei handelt es sich um Personenbezogene Daten wie z.B. biometrischen Daten, Gesundheitsdaten oder Sozialversicherungsdaten.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist als Körperschaft des öffentlichen Rechts die jeweilige Hochschule, vertreten durch ihre Präsidentin/ihren Präsidenten.

Allerdings sind auch alle Mitarbeiterinnen und Mitarbeiter sowie alle Studierenden der jeweiligen Hochschule an die Regelungen der DSGVO gebunden, sofern sie im Rahmen ihrer Tätigkeit Personenbezogene Daten verarbeiten. Hilfreich an dieser Stelle kann ein Datenschutzkonzept sein, dass die Umsetzungsverantwortung der einzelnen Akteure (Verfahrens- oder Fachverantwortliche, Dekanatsleitung, Institutsleitung, Abteilungsleitung, Studierende usw.) und die zugrundeliegenden Prozesse strukturiert.

Die Verarbeitung erfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang, auf den Einsatz von EDV kommt es also nicht an. Der Artikel 4 Nr. 2 DSGVO definiert diesen Begriff nicht abschließend.

Der Begriff der Verarbeitung personenbezogener Daten ist weit zu verstehen und umfasst u.a.

das/die

• Erheben ist das Beschaffen von personenbezogenen Daten über den Betroffenen (bspw. durch die Befragung einer Person, das Anfordern von Unterlagen, Bewerbung).
• Erfassen und Speichern von personenbezogenen Daten. Gemeint ist das Aufnehmen oder/und Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung (bspw. Noteneinträge im Campus-Management-System).
• Organisation und Ordnen von personenbezogenen Daten (das kann das Aufbauen einer Struktur innerhalb der Daten sein bspw. Alphabetische Vorsortierung, Aktenführung).
• Anpassung oder Veränderung personenbezogener Daten (Gemeint ist jede Umgestaltung von gespeicherten Daten bspw. Notenkorrektur im Campus-Management-System, Korrektur der Adressdaten).
• Auslesen und Abfragen von personenbezogenen Daten. Gemeint ist die Konsultation eines eigenen direkt verfügbaren Datenbestandes (Auslesen) und beim Abfragen die Konsultation einer externen Datenbank (bspw. Abfragen von Forschungsdaten).
• Verwendung von personenbezogenen Daten durch einen zweckgerichteten Gebrauch von bereits bestehenden Daten.
• Offenlegung durch Übermittlung, Verbreitung und sonstiger Bereitstellung von personenbezogenen Daten (bspw. das Einstellen von Daten im Internet zum Abruf, gegebenenfalls die Weiterleitung aufgrund gesetzlicher Vorgaben).
• Abgleichen und Verknüpfen von Daten. Gemeint ist das Vergleichen mehrerer Datenbestände mit dem Ziel der Feststellung von Übereinstimmung und Abweichung (Abgleich) oder eine informationstechnische Verbindung von einzelnen Daten oder Datenbeständen (Verknüpfung).
• Löschen und Vernichten von personenbezogenen Daten. Gemeint ist jede Form des Unkenntlichmachens von Daten. Hierauf haben Betroffene nach Art. 17 DSGVO unter bestimmten Voraussetzungen einen subjektiven Anspruch. Somit sind personenbezogene Daten nicht auf Dauer zu speichern. Das unkenntlich machen kann in Form der Zerstörung des Datenträgers erfolgen oder durch ein Beseitigen auf dem Datenträger. Bei nicht automatisierten Dateien und Akten kann die Löschung bereits durch Ausstreichen und Schwärzen von Schriftzeichen geschehen, aber auch durch physische Vernichtung. Dabei ist nicht der Papierkorb gemeint, sondern entsprechende Vorrichtungen wie Aktenvernichter o.ä. Achtung: der Löschung und Vernichtung können Aufbewahrungspflichten und Archivierungspflichten entgegenstehen.

In einem Verzeichnis von Verarbeitungstätigkeiten müssen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, z.B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.

Akten und Papiere sind zu schreddern. Bei größeren Mengen bedienen sich die Hochschule oftmals eines externen Dienstleisters. Auch bei der Entsorgung von Rechnern/Datenträgern, dürfen Daten nicht mehr lesbar sein. Im Zweifel ist der ISB zu kontaktieren.

Möglichkeit des Betroffenen bei einer Datenverarbeitung, die aufgrund einer Einwilligung erfolgt, zu verhindern, dass seine Daten in Zukunft weiterverarbeitet werden.

Gegen eine Datenverarbeitung die aufgrund des Art. 6 Abs. 1 lit.e oder lit.f DSGVO erfolgt, kann der Betroffene Widerspruch einlegen. Wenn die darauffolgende Interessenabwägung zugunsten des Betroffenen ausfällt, ist die Datenverarbeitung zu unterlassen.