Betroffenenrechte kann man sich grob herleiten, aber vollständig? Garantien und Angemessenheitsbeschluss, bedeuten nochmal was? Um Datenschutz besser zu verstehen, finden Sie im „Datenschutz-Glossar“ zentrale Begriffe der DSGVO erklärt. Das Glossar ist auch mit unseren Beiträgen verknüpft. Über einen farblich hervorgehobenen "Kurz-Link-Text", können sie unklare Begriffe direkt nachlesen.
Dabei handelt es sich um einen Beschluss der Europäischen Kommission, mit welchem bescheinigt wird, dass das Datenschutzniveau in einem Drittland dem Datenschutzniveau in der EU entspricht. Dies ist z.B. bei der Schweiz der Fall.
Bei anonymen Daten ist kein Rückschluss auf den Betroffenen möglich, weshalb die DSGVO nicht anwendbar ist.
Jedes Bundesland hat eine Aufsichtsbehörde, die für die Überprüfung von datenschutzkonformen Prozessen zuständig ist. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist bis 2021 Herr Prof. Dr. Johannes Caspar.
Viele Dienstleistungen werden durch Externe erbracht - z.B. der Versand von Newslettern. Wenn diese Leistungen vor allem in der Verarbeitung von personenbezogenen Daten bestehen und der Dienstleister weisungsgebunden ist, liegt zwischen dem Verantwortlichen und dem Dienstleister ein Auftragsverarbeitungsverhältnis vor. In diesem Fall bleibt der Auftraggeber Verantwortlicher und muss mit dem Dienstleister als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen. Hierin verpflichtet sich der Auftragsverarbeiter, die Sorgfaltspflichten der DSGVO zu beachten.
Das Auskunftsrecht gemäß DSGVO ermöglicht es Personen, von Verantwortlichen zu erfahren, welche personenbezogenen Daten über sie gespeichert sind und wie diese genutzt werden. Es fördert Transparenz und stärkt die Kontrolle über die eigenen Daten.
Das Berechtigungskonzept (auch Rollen- oder Rechtekonzept genannt) ist eine Dokumentation der Rollen und Rechte von Personen in Bezug auf ein System oder eine Anwendung. Die Rollen und Rechte können von Leserechte bis zu Administratorenrechte reichen.
Betroffene können sich bei der Aufsichtsbehörde darüber beschweren, wenn Personenbezogene Daten bei dem Verantwortlichen nicht datenschutzkonform verarbeitet werden.
Besondere Kategorien personenbezogener Daten sind in Art. 9 DSGVO definiert. Die Verarbeitung solcher Daten bedarf einer speziellen Rechtsgrundlage aus Art. 9 Absatz 2 DSGVO.
Die Betroffenenrechte der DSGVO stärken den Schutz personenbezogener Daten, indem sie Einzelpersonen Kontrolle über ihre Daten geben. Sie ermöglichen Transparenz, Korrektur, Löschung und Widerspruch, was das Vertrauen in den Datenschutz fördert.
Zu den wichtigsten Rechten gehören:
Person, deren Personenbezogene Daten verarbeitet werden.
Das deutsche Bundesdatenschutzgesetz (BDSG) regelt neben den Datenschutzgesetzen der Länder und den bereichspezifischen Regelungen in anderen Gesetzen die Verarbeitung von personenbezogenen Daten in Deutschland.
Bußgelder können gegenüber Unternehmen bei Datenschutzverletzungen durch die Aufsichtsbehörde verhängt werden. Bei Hochschulen können - außer bei privatrechtlicher Tätigkeit - keine Bußgelder verhängt werden.
Cookies sind im Allgemeinen Daten, die eine Webseite auf Ihrem Computer zwischenspeichert, wenn sie diese besuchen. Mit deren Hilfe speichern Websites Nutzerdaten lokal und serverseitig, um einzelne Funktionen nutzerfreundlicher gestalten zu können.
Das Recht Auskunft zu verlangen, ob und wie die eigenen personenbezogenen Daten verarbeitet werden. Z.B. möchte ein Studierender gern wissen, welche Daten die Hochschule von ihm gespeichert hat.
Eine Datenpanne kann vorliegen, wenn Personenbezogene Daten an Unbefugte geraten - z.B. der irrtümliche Versand von Studierendenunterlagen an eine falsche Adresse, Verlust des Arbeitsgerätes oder durch ein Hackerangriff können diese Daten gefährdet sein.
Hochschulen sind dazu angehalten, bei der Gestaltung von technischen Verarbeitungsvorgängen von Beginn an technische und organisatorische Maßnahmen zu treffen, die die Privatsphäre schützen und die Datenschutzgrundsätze garantieren.
Verantwortliche müssen einen Datenschutzbeauftragten haben, der die datenschutzkonforme Verarbeitung personenbezogener Daten überwacht und den Verantwortlichen berät. Er ist Ansprechpartner für Betroffene und gibt datenschutzrechtliche Schulungen.
Bei der Datensicherheit geht es darum, wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritte, dem Verlust oder der Veränderung aufgrund technischer Pannen geschützt werden.
Der Begriff der Datensicherheit wird im alltäglichen Gebrauch häufig mit dem Datenschutz gleichgestellt, obwohl sie unterschiedliche Bedeutung haben: während der Datenschutz danach strebt, bei der Verarbeitung von personenbezogenen Daten die Rechte und Freiheiten natürlicher Personen zu wahren, bezeichnet die Datensicherheit den technischen Aspekt des Schutzes von Daten. Bei der Datensicherheit fallen auch Daten, die nicht personenbezogen sind.
Ein Nutzer, der sich mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat (Single Opt-In), erhält durch eine anschließende Bestätigungs-E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Bei Nicht-Bestätigung, ist das Verfahren nicht beendet.
Jedes Land, welches nicht Mitglied der EU ist. Bei einer Übermittlung von Daten an Drittländer bedarf es zusätzlich zu einer vorliegenden Rechtsgrundlage entweder eines Angemessenheitsbeschlusses oder es müssen Garantien vorliegen.
Durch die Einwilligung erteilt der Betroffene seine Erlaubnis zur Datenverarbeitung. Die Einwilligung ist eine Rechtsgrundlage und sollte nur bei dem Betroffenen eingeholt werden, wenn die Datenverarbeitung nicht bereits durch ein Gesetz erlaubt ist.
Die Verarbeitung personenbezogener Daten an Hochschulen wird größtenteils aufgrund einer gesetzlichen Rechtsgrundlage legitimiert. Nur wenn die Datenverarbeitung auf keine gesetzliche Rechtsgrundlage gestützt werden kann, kann eine Einwilligung der Betroffenen in die Verarbeitung seiner personenbezogenen Daten herangezogen werden. Für eine wirksame Einwilligung müssen folgende Regelung berücksichtigt werden:
Die Erwägungsgründe sind Ziele, die mit der Formulierung der Artikel in der DSGVO verfolgt wurden. Sie spiegeln quasi die Vorüberlegungen zur DSGVO und sind vor den eigentlichen Rechtsnormen abgebildet.
Die Erwägungsgründe können Hilfestellung bei der Auslegung und Interpretation einzelner Artikel bzw. Bestimmungen der DSGVO bieten.
Gemeinsame Verantwortlichkeit liegt vor, wenn zwei unabhängige Verantwortliche Personenbezogene Daten gemeinsam verarbeiten und dabei nicht einander weisungsgebunden sind.
Zum Beispiel im Bereich der Forschungstätigkeit können Forschungspartner als gemeinsam verantwortlich betrachtet werden. Ein Indiz kann es sein, ob sie gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Hilfestellung kann ein vorliegender Kooperationsvertrag bieten: Hier sollte der Zweck der Verarbeitung (wer ist für was verantwortlich?) festgelegt werden. Zusätzlich können aber auch die tatsächlichen Umstände der Verarbeitung sowie die tatsächliche gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung eine große Rolle spielen.
Hierzu gehören die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen.
Das Hamburgische Datenschutzgesetz (HmbDSG) ist das landesrechtliche Pendant zum Bundesdatenschutzgesetz.
Das Hamburgische Hochschulgesetz (HmbHG) regelt das Hochschulwesen in der Freien und Hansestadt Hamburg.
§ 2 Abs. 1 HmbHG sagt: "Die Hochschulen, Einrichtungen der FFH, sind rechtsfähige Körperschaften des öffentlichen Rechts mit dem Recht der Selbstverwaltung.[...]". Das Satzungsrecht ist grundsätzlich begrenzt auf Körperschaftsangelegenheiten.
Die Informationspflichten gewährleisten den Transparenzgrundsatz. Denn gerade für die Wahrnehmung der Betroffenenrechte muss der Datenverarbeiter über die Datenverarbeitung informieren.
Um die Informationspflichten zu erfüllen, muss zum Zeitpunkt der Erhebung den Betroffenen eine Datenschutzerklärung mit den folgenden Inhalten zur Verfügung gestellt werden:
Werden Personenbezogene Daten nicht direkt bei dem/der Betroffenen selbst erhoben, handelt es sich um eine Dritterhebung. Hier sind im Wesentlichen die gleichen Informationen wie im Fall einer Direkterhebung von Daten (also beim Betroffenen direkt) zu erteilen. Darüber hinaus ist der/die Betroffene aber zusätzlich zu informieren, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.
Wenn die betroffene Person bereits über die entsprechenden Informationen verfügt, kann auf ein Bereitstellen einer Informationspflicht verzichtet werden. Wann ein solcher Fall vorliegt, muss jedoch im Einzellall geprüft werden.
Der Schutz von Informationen vor Gefahren oder Manipulation und daraus resultierenden schweren wirtschaftlichen Schäden. In erster Linie soll also der unbefugte Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte verhindert werden.
Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Hochschule zuständig.
Ein Löschkonzept legt fest, wann und wie Personenbezogene Daten aus einer Datenverarbeitung zu löschen sind. In einem Löschkonzept wird somit festgelegt, wann ein konkretes Datum das Ende ihres Lebenszyklus erreicht hat. Die Löschung ist zu dokumentieren.
Löschung (von pbD) bedeutet sicherzustellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Dabei reicht es aus, die Daten zu anonymisieren und alle bezüglichen Logfiles zu löschen.
Bei Minderjährigen unter 14 Jahren sind die Eltern vertretungsbefugt. Insbesondere bei Studierenden ab 16 Jahren, sind diese jedoch grundsätzlich für ihre datenschutzrechtlichen Angelegenheiten selbst zuständig.
Opt-In Ist, wenn eine Zustimmung des Nutzers über die Verarbeitung seiner Daten nicht automatisch vorausgesetzt wird. Dieses Verfahren kann mittels einfachem Opt-In, aber auch mittels Double-Opt-In realisiert werden.
Bei diesem Verfahren wird die Zustimmung des Nutzers automatisch vorausgesetzt, sollte dieser nicht selbst aktiv werden und der Nutzung ausdrücklich widersprechen.
An einer Hochschule ist eine Organisationseinheit eine klar definierte Abteilung /Gruppe, die spezifische Aufgaben und Funktionen erfüllt.
Das können Fakultäten, Institute, Dekanate, Verwaltungsabteilungen, einzelne Forschungsvorhaben oder zentrale Einrichtungen wie die Bibliothek sein. Diese Einheiten sind strukturell voneinander abgegrenzt und arbeiten eigenständig oder in Kooperation mit anderen Einheiten, um die Ziele der Hochschule zu erreichen. Mitarbeitende und Leitungspersonen innerhalb dieser Einheiten tragen einen großen Teil dazu bei, dass der Datenschutz an einer Hochschule auch ausreichend berücksichtigt werden kann. Einzelheiten sollten die Hochschulen beispielsweise in einem Datenschutzkonzept regeln.
Personenbezogene Daten (pbD) sind alle Daten, die eine Person identifizieren oder identifizierbar machen. Z.B. Name, Anschrift, Foto, IP-Adresse, Matrikelnummer.
„Schonende“ Art der Datenverarbeitung, bei welcher Rückschlüsse auf den Betroffenen nur unter Hinzuziehung zusätzlicher Informationen möglich sind. Pseudonyme Daten sind im Gegensatz zu anonymen Daten Personenbezogene Daten.
Pseudonyme Daten sind solche Daten, können zwar nicht direkt vom Verantwortlichen keiner spezifischen Person zugeordnet werden, aber für andere besteht die grundsätzliche Möglichkeit der Zuordnung durch die Einbeziehung weitergehender Informationen.
Nach der Rechenschaftspflicht ist der Verantwortliche (die Hochschule) für die Einhaltung der in Art. 5 Abs.1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.
Das Erstellen und Führen eines Verarbeitungsverzeichnisses (VVT) trägt zur Erfüllung der Rechenschaftspflicht bei.
Die Verarbeitung personenbezogener Daten muss gemäß Artikel 6 DSGVO rechtmäßig sein.
Dies hat zwei Aspekte:
Eine Rechtsgrundlage stellt die Legitimation dar, Personenbezogene Daten zu verarbeiten. Das kann z.B. eine Einwilligung oder eine andere gesetzliche Rechtsgrundlage nach Art. 6 DSGVO sein.
Die DSGVO nennt in Art. 6 DSGVO selbst eine abschließende Liste von Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die Einwilligung ist in Art. 6 Absatz 1 lit. a DSGVO geregelt, die gesetzlichen Rechtsgrundlagen sind abschließend in Art. 6 Absatz 1 lit. b-f DSGVO aufgeführt.
An dieser Stelle werden die im Hochschulkontext häufigsten Rechtsgrundlagen vorgestellt:
Nur wenn keine andere Rechtsgrundlage für die Datenverarbeitung in Betracht kommt, kann eine Einwilligung der Betroffenen als Legitimation dienen.
Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, kann eine Verarbeitung personenbezogener Daten erforderlich sein. Maßgabe sind hier die Aufgaben, die das Hamburgische Hochschulgesetz den Hochschulen zuweist. Der Art. 6 Absatz 1 lit.e DSGVO selbst dient jedoch nicht als Rechtsgrundlage! Vielmehr muss eine extra normierte Rechtsgrundlage bestehen, die die Aufgabenwahrnehmung näher ausgestaltet, siehe Absatz 3 des Art. 6 DSGVO. Für öffentliche Hochschulen in Hamburg sind in diesem Zusammenhang vor allem das Hamburgische Datenschutzgesetz und das Hamburgische Hochschulgesetz maßgeblich.
Bei einer Verarbeitung personenbezogener Daten aufgrund der Erfüllung einer rechtlichen Verpflichtung muss es sich um eine Verpflichtung aus objektivem Recht handeln. Das können entsprechende Regelungen aus dem Mutterschutzgesetz, dem Gesetz über die Statistik für das Hochschulwesen sowie für die Berufsakademien, dem Sozialgesetzbuch, der Abgabenordnung usw. sein.
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrages mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
An diesem Ansatz orientieren sich die nach Art. 32 Absatz 1 DSGVO die zu treffenden technisch-organisatorischen Maßnahmen, die zur Einhaltung des Datenschutzes am Risiko für die Rechte und Freiheiten des Betroffenen ausgerichtet werden müssen.
Sensible Daten sind Daten, die diskriminierend wirken können. Hierbei handelt es sich um Personenbezogene Daten wie z.B. biometrischen Daten, Gesundheitsdaten oder Sozialversicherungsdaten.
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist als Körperschaft des öffentlichen Rechts die jeweilige Hochschule, vertreten durch ihre Präsidentin/ihren Präsidenten.
Allerdings sind auch alle Mitarbeiterinnen und Mitarbeiter sowie alle Studierenden der jeweiligen Hochschule an die Regelungen der DSGVO gebunden, sofern sie im Rahmen ihrer Tätigkeit Personenbezogene Daten verarbeiten. Hilfreich an dieser Stelle kann ein Datenschutzkonzept sein, dass die Umsetzungsverantwortung der einzelnen Akteure (Verfahrens- oder Fachverantwortliche, Dekanatsleitung, Institutsleitung, Abteilungsleitung, Studierende usw.) und die zugrundeliegenden Prozesse strukturiert.
Die Verarbeitung erfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang, auf den Einsatz von EDV kommt es also nicht an. Der Artikel 4 Nr. 2 DSGVO definiert diesen Begriff nicht abschließend.
Der Begriff der Verarbeitung personenbezogener Daten ist weit zu verstehen und umfasst u.a.
das/die
In einem Verzeichnis von Verarbeitungstätigkeiten müssen Angaben zur Verarbeitung personenbezogener Daten gemacht werden, z.B. der Zweck der Verarbeitung, die Datenkategorien, der Kreis der betroffenen Personen und die Datenempfänger.
Akten und Papiere sind zu schreddern. Bei größeren Mengen bedienen sich die Hochschule oftmals eines externen Dienstleisters. Auch bei der Entsorgung von Rechnern/Datenträgern, dürfen Daten nicht mehr lesbar sein. Im Zweifel ist der ISB zu kontaktieren.
Möglichkeit des Betroffenen bei einer Datenverarbeitung, die aufgrund einer Einwilligung erfolgt, zu verhindern, dass seine Daten in Zukunft weiterverarbeitet werden.
Gegen eine Datenverarbeitung die aufgrund des Art. 6 Abs. 1 lit.e oder lit.f DSGVO erfolgt, kann der Betroffene Widerspruch einlegen. Wenn die darauffolgende Interessenabwägung zugunsten des Betroffenen ausfällt, ist die Datenverarbeitung zu unterlassen.