Skip to main content

Grundlagen des Datenschutz

Eines der häufig diskutierten Themen bei neuen Projekten, ist der Datenschutz. Was aber versteht man genau darunter? Welche Daten sollen geschützt werden und was darf man mit ihnen machen? Hier finden Hamburger Hochschulen grundlegende Informationen zur Entstehung des Datenschutzrechts und seinen Regelungen.

Einleitung

Je nach Betrachtungsweise kann heutzutage Datenschutz dahingehend definiert werden, dass es den Einzelnen vor missbräuchlicher Datenverarbeitung seiner Daten schützt. Des Weiteren fungiert das Datenschutzrecht als Schutz des Persönlichkeitsrechts und als Recht auf informationelle Selbstbestimmung.

Warum brauchen wir Datenschutz? Als besonderen Bestandteil des Datenschutzrechts stellt das Recht auf informationelle Selbstbestimmung im bundesdeutschen Recht das Recht des Einzelnen dar, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Somit ist das oberste Ziel des Datenschutzes, den Einzelnen davor zu schützen, dass er bei der Verarbeitung seiner personenbezogenen Daten in unzulässiger Weise beeinträchtigt wird. Dieses Ziel soll durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden.

Die Hochschulen arbeiten täglich mit personenbezogenen Daten, sei es durch das Verwalten von Studierendendaten oder von externen Personen. Bei Studierenden, externen Personen oder Mitarbeitenden handelt es sich um Betroffene, da deren Daten vom Verantwortlichen z.B. der Hochschule gespeichert also verarbeitet werden. Wie bestmöglich hier die Grundrechte der Betroffenen berücksichtigt werden können und wie die Grundsätze der Verarbeitung personenbezogener Daten ins Spiel kommen, wird im Folgenden beleuchtet.

Geschichte

Datenschutz erlangte an Bedeutung, als in den 1960er Jahren in den USA eine Debatte über den zunehmenden Schutz von Persönlichkeitsrechten geführt wurde. Diese war so nachhaltig, dass das Thema sich den Weg nach Europa bahnte. 1970 verabschiedete Hessen das weltweit erste Datenschutzgesetz, 1977 folgte dann in Deutschland mit dem ersten Bundesdatenschutzgesetz (BDSG) eine nationale Regelung. Die Aufgabe des BDSG lag in erster Linie darin, im Rahmen einer Datenverarbeitung durch eine Behörde den Bürger vor dieser zu schützen.

Von grundlegender Bedeutung für die Entwicklung des Datenschutzes ist allerdings das sog. Volkszählungsurteil. Hierbei handelt es sich um eine Grundsatzentscheidung des Bundesverfassungsgerichts vom 15.Dezember 1983, mit der das Grundrecht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde etabliert wurde. Das Volkszählungsurteil stellt klar, dass auch eine Datenverarbeitung auf gesetzlicher Grundlage in die Grundrechte des Einzelnen eingreifen kann.

Weiter wurde das Thema Datenschutz europaweit bereits in den 90igern Jahren geregelt. Dies erfolgte 1995 über die Europäische Datenschutzrichtlinie 1995/46/EG.

Da jedoch eine Richtlinie keine direkte Rechtswirkung entfaltet, wurde das Datenschutzrecht europaweit unterschiedlich interpretiert. Um eine Einheitlichkeit im europäischen Datenschutzrecht zu erreichen, entschloss sich der europäische Gesetzgeber dazu, eine Verordnung zu erlassen, die am 24.05.2016 in Kraft trat. Im Gegensatz zu einer Richtlinie entfaltet eine Verordnung unmittelbare Geltung.

Dies bedeutet, dass es den Mitgliedstaaten grundsätzlich nicht erlaubt ist, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen, die DSGVO ist somit direkt anwendbar. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes (zum Beispiel im Bereich der Forschung) auch im nationalen Alleingang zu regeln. Die verbindliche Anwendbarkeit der DSGVO erfolgte am 25.05.2018.

Anwendungsbereich

Der Anwendungsbereich der DSGVO bezieht sich auf die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind gem. Art. 4 Abs. 1 Nr. 1 DSGVO alle Informationen, die sich auf eine natürliche Person beziehen. Verantwortlich bzw. Verantwortliche Stelle im Sinne der DSGVO ist die Stelle, die allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Grundsätze für die Verarbeitung personenbezogener Daten

Bei der Datenverarbeitung sind die Grundsätze für die Verarbeitung personenbezogener Daten zu beachten (Art. 5 DSGVO). Diese Grundsätze stellen so etwas wie die Spielregeln dar, sofern mit personenbezogenen Daten gearbeitet wird. 

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn die Verarbeitung ist rechtmäßig, Art. 6 Absatz 1 DSGVO. Die Verarbeitung ist nur rechtmäßig

  • mit der Einwilligung der betroffenen Person, Art. 6 Absatz 1 Satz 1 lit. a DSGVO.

Oder wenn die Verarbeitung erforderlich ist

  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Art. 6 Absatz 1 Satz 1 lit. b DSGVO.
  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. c DSGVO.
  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person, Art. 6 Absatz 1 Satz 1 lit. d DSGVO.
  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. e DSGVO oder
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, Art. 6 Absatz 1 Satz 1 lit. f DSGVO.

Erläuterung der Rechtsgrundlagen mit Beispielen aus dem Hochschulbereich:

  • Die Verarbeitung von Daten im Rahmen von Mailinglisten für den Newsletterversand aber auch Forschungsprojekte beruhen meist auf eine Einwilligung. Die Rechtsgrundlage lautet dann: Art. 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Art. 6 Absatz 1 Satz 1 lit. b DSGVO greift als Rechtgrundlage, wenn die Datenverarbeitung aufgrund der Vertragserfüllung passiert. Das können Kaufverträge, ein Vertrag über die Bibliotheksnutzung der Hochschule, Leasingverträge, Kooperationsverträge mit anderen Hochschulen und Werkverträge mit Dienstleistern sein. Der Austausch von Informationen zur Vertragsanbahnung (Kontaktaufnahme, Angebotseinholung) fällt ebenso unter diese Rechtsgrundlage.
  • Datenverarbeitungen, die aufgrund des Art. 6 Absatz. 1 Satz 1 lit. c erfolgen, sind Verarbeitungen, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Es muss somit eine konkrete Rechtsvorschrift vorliegen, welche die Hochschule verpflichtet, eine bestimmte Datenverarbeitung (meist ist das eine Übermittlung an eine andere Stelle) durchzuführen. Zum Beispiel gesetzliche Meldepflichten (§ 27 Mutterschutzgesetz) oder Mitteilungspflichten (§ 8 Infektionsschutzgesetz).  
  • Art. 6 Absatz 1 Satz 1 lit. d DSGVO greift dann, wenn die Verarbeitung von Daten erforderlich ist, um lebenswichtige Interessen zu schützen. Zum Beispiel das Eingreifen in Notfälle.
  • Art. 6 Absatz 1 Satz 1 lit. e DSGVO ist - neben der Einwilligung - die Rechtsgrundlage, die am häufigsten bei einer Datenverarbeitung im Hochschulbereich als Erlaubnis dient. Diese greift, wenn die Verarbeitung von personenbezogenen Daten für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese gesetzliche Erlaubnis tritt dann auf, wenn eine konkrete Rechtsvorschrift besteht, die die Verarbeitung erlaubt, zum Beispiel die Prüfungsverwaltung und Studierendenverwaltung. Auch weitere Handlungen der Hochschule können hier drunter fallen, wenn die Hochschule als Behörde handelt und eine spezialgesetzliche Regelung (zum Beispiel Ordnungen oder Satzungen der Hochschule) die Verarbeitung konkretisiert. 
  • Die Verarbeitung ist notwendig, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren, sofern nicht die Interessen oder Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Das sagt Art. 6 Absatz. 1 Satz 1 lit. f DSGVO. Achtung: Diese Vorschrift gilt nicht, wenn die Hochschule in Erfüllung ihrer (hoheitlichen) Aufgaben Daten verarbeitet. Diese Vorschrift greift selten. Im Zweifel ist hier immer der Datenschutzkoordinator oder der Datenschutzbeauftragte miteinzubeziehen.

Ein Hinweis zu Rechtsgrundlagen der Hochschulen: Die wissenschaftsunabhängige Verarbeitung personenbezogener Daten erstreckt sich von der Verarbeitung von Studierendendaten (von Immatrikulation bis hin zur Exmatrikulation) bis zum Datenschutz der Hochschulbeschäftigten. Diese sogenannten administrativen Verarbeitungen sind zur Erfüllung gesetzlicher Aufgaben im Zusammenhang mit der Ermöglichung von Forschung, Lehre und Studium im Sinne des § 3 HmbHG notwendig. Rechtsgrundlage ist an den Hochschulen üblicherweise der Art. 6 Absatz 1 lit.e DSGVO in Verbindung mit der entsprechenden spezialgesetzlichen Regelung. Das kann zum Beispiel ein Gesetz, eine Verordnung, eine Hochschulordnung oder -satzung oder gar eine Dienstvereibarung sein.

Daten sind grundsätzlich bei dem Betroffenen mit ihrer/seiner Kenntnis zu erheben, keinesfalls jedoch ohne Wissen des Betroffenen bei Dritten. Einige Ausnahmen, z.B. im Forschungsbereich, sind gesetzlich geregelt.

Sofern eine Einwilligung des Betroffenen erforderlich ist, ist diese nur wirksam, wenn die einwilligende Person die Einwilligung freiwillig erteilt hat. Die Einwilligung ist grundsätzlich schriftlich zu erteilen; begründete Ausnahmen können im Einzelfall möglich sein. Zudem kann der / die Betroffene die Einwilligung mit Wirkung für die Zukunft widerrufen.


 

    Der Grundsatz der Transparenz (Art. 5 Absatz 1 lit. a DSGVO) soll insbesondere gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

    Das heißt, personenbezogene Daten sind grundsätzlich beim Betroffenen zu erheben. Dabei ist der Betroffene über die Identität der Verantwortlichen, den Zweck der Verarbeitung sowie die Kategorien der Empfänger zu unterrichten. Können die Daten aus nachvollziehbaren Gründen nicht bei der / dem Betroffenen erhoben werden, dann ist sie / er grundsätzlich nachträglich zu benachrichtigen. Die Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein.

    In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch die Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert, ein Beispiel dafür: Die klassische Datenschutzerklärung/Datenschutzinformation. Sie ist eine Ausformung des Transparenzgrundsatzes. Auf die Datenschutzinformationen wird auf der Seite Hochschulalltag jeweils gesondert eingegangen. Auch die Grundsätze Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen die Transparenz ebenfalls gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78). Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel- und prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).

    Der Grundsatz der Verarbeitung nach Treu und Glauben ist nicht deutlich definiert. Vielmehr kann bei der Auslegung des Grundsatzes die englische Version der Verordnung helfen. Hier schreibt der Gesetzgeber die Verabeitung ist "fair" durchzuführen. Eine faire Verarbeitung ist beispielsweise nicht gegeben, wenn die Verarbeitung gegenüber der Betroffenen heimlich passiert.

    Personenbezogene Daten dürfen nur für die zuvor definierten Zwecke verwendet werden. Somit ist der Verarbeitungszweck vorab festzulegen.

    Im Folgenden zwei Beispiele, die die Zweckbindung im Hochschulbereich darstellen:

    • Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, Art. 6 Absatz 1 Satz 1 lit. b DSGVO. Erhebt und verarbeitet eine Hochschulbibliothek Daten einer Person, die bei der Hochschulbibliothek einen Nutzungsvertrag zur Benutzung der Hochschulbibliothek abgeschlossen hat, so ist die Hochschulbibliothek berechtigt, alle für den Betrieb des Bibliothekskontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten auch Informationen über die entliehenen Medien (Entleihdatum, Verlängerung usw.). Möglicherweise auch Versäumnisgebühren und Sperrvermerke werden vermerkt und sind zur Erbringung der Leistung gegenüber dem Bibliotheksnutzer notwendig. Hingegen ist die Hochschulbibliothek nicht berechtigt, die entliehenen Medien im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Bibliotheksnutzers.
    • Ein weiteres Beispiel stammt aus dem Bereich der Studierendenverwaltung. An einer Hochschule erfolgt die Verwaltung von Studierenden-Stammdaten ausschließlich über ein digitales Hochschul-Management-System. Zu jedem Studierendendatensatz wird auch ein Foto der oder des Studierenden erstellt/verarbeitet. Da die Hochschule beispielsweise keine Anwesenheitsliste bei Lehrveranstaltungen führt, dient das Foto zur Identifikation der oder des Studierenden. Die Verwendung des Fotos zum Zwecke der Identifikation der Studierenden durch die Lehrenden ist zulässig, solange ausschließlich dieser Zweck verfolgt und das Foto nicht anderweitig verwendet wird. Hinweis: Die meisten Hochschulen haben diese Art der Verarbeitung in einer entsprechenden Satzung über die Verarbeitung von personenbezogenen Daten geregelt.

    Eine Zweckänderung bedarf einer entsprechenden Legitimation durch eine datenschutzrechtliche Rechtsgrundlage oder wiederum der Einwilligung der / des Betroffenen.

    Es dürfen nur die Daten genutzt werden, die zum Erreichen des festgelegten Zwecks wirklich notwendig sind. Somit ist die Datenverarbeitung auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Kann der verfolgte Zweck nicht mit weniger Daten erreicht werden?

    Beispiel für eine Datenminimierung:

    Bleibt man bei dem oben aufgeführten Beispiel mit dem Foto in der Studierenden-Datenbank, muss sich die Hochschule die Frage stellen, ob ein Verarbeiten von Fotos der Studierenden wirklich zur Erreichung des festgelegten Ziels (Identifikation der Studierenden) notwendig ist, oder ob nicht eine Anwesenheitsliste während der Veranstaltung ebenso (einfach) den Zweck erfüllt. 

    Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht werden.

    Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

    Typisches Beispiel für eine Speicherbegrenzung:

    Sobald der Studierende die Hochschule verlässt (Exmatrikulation o.ä.) ist das Foto zu löschen.

    Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden. Hier spielt die Datensicherheit einer Hochschule eine wichtige Rolle.

    Beispiel für Integrität und Vertraulichkeit:

    Das Foto im Hochschul-Management-System. Das Foto wird ausschließlich zur Identifizierung verwendet und darf nicht anderweitig verwendet werden. Technisch sollte die verwendete Software/Anwendung so eingestellt werden, dass jedwede Exportmöglichkeit ausgeschlossen ist. Auch die Zugriffsrechte der Hochschulmitarbeiter*innen auf die Fotos der Studierenden im Hochschul-Mamagement-System müssen entsprechend geregelt werden.

    Rechenschaftspflicht

    Art. 5 Absatz 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die o.g. Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.

    Betroffenenrechte

    In der DSGVO hat der Normgeber in den Art. 15 – 21 DSGVO einen umfangreichen Katalog mit Maßnahmen festgelegt, die einer von der Verarbeitung ihrer personenbezogenen Daten betroffenen Person ein Vorgehen gegen den Verantwortlichen ermöglicht.


    Sofern eine Person von ihren Betroffenenrechte gebrauch macht, kontaktieren Sie bitte den zuständigen Datenschutzkoordinator der jeweiligen Hochschule oder das Datenschutzteam des MMKH.

    Das Recht, Auskunft darüber zu verlangen, ob und wie personenbezogenen Daten verarbeitet werden regelt Art. 15 DS-GVO.

    Dabei ist der Auskunftsanspruch Betroffener (bestehende oder ehemalige Beschäftigte, Angehörige der Hamburger Hochschulen und Externe, die für die Hamburger Hochschulen tätig sind oder waren) ein wesentliches Datenschutzrecht und ein wichtiger Bestandteil der Informationsfreiheit.

    Immer wenn an Hamburger Hochschulen ein Antrag auf Auskunft von personenbezogenen Daten herangetragen wird, wird dieser an die behördliche Datenschutzbeauftragte weitergeleitet. Dort wird der Antrag bearbeitet und die nötigen Schritte veranlasst. Die Kommunikation mit dem Antragsteller erfolgt ausschließlich durch die behördliche Datenschutzbeauftragte.

    Art. 16 regelt das Recht der betroffenen Person, unverzüglich die Berichtigung von unrichtigen und/oder die Vervollständigung unvollständiger Daten zu verlangen.

    Unverzüglich bedeutet „ohne schuldhaftes Zögern“, d. h. so schnell, wie es im Rahmen eines ordentlichen Geschäftsablaufes möglich ist und erwartet werden kann. Die Umsetzung des Begehrens der Betroffenen darf nicht länger als nötig hinausgezögert werden.

    Art. 17 DS-GVO regelt das Recht der betroffenen Person, dass Daten gelöscht werden, wenn einer oder mehrere der Gründe des Art. 17 Abs. 1 DS-GVO vorliegen. Art. 17 Abs. 2 DS-GVO bestimmt, dass bei einer Veröffentlichung der Daten durch den Verantwortlichen diesen auch die Pflicht trifft, im Rahmen des technisch machbaren, auch die Tilgung von personenbezogenen Daten, soweit sie einer Öffentlichkeit zugänglich gemacht wurden, z. B. im Internet, zu veranlassen.

    Eine starre Löschfrist ist weder in der DS-GVO noch in den deutschen Umsetzungsgesetzen vorgesehen. Vielmehr ist auf die Formulierung abzustellen, dass die Löschung „unverzüglich“ zu erfolgen hat.

    Unverzüglich bedeutet „ohne schuldhaftes Zögern“, d. h. so schnell, wie es im Rahmen eines ordentlichen Geschäftsablaufes möglich ist und erwartet werden kann. Die Umsetzung des Begehrens der Betroffenen darf nicht länger als nötig hinausgezögert werden.

    Art. 18 DS-GVO gibt betroffenen Personen das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. Hierfür muss geprüft werden, ob einer oder mehrere der Gründe des Art. 18 Abs. 1 DS-GVO vorliegen.

    Ist dies der Fall, ist die Verarbeitung nach Maßgabe des Art. 18 Abs. 2 DS-GVO nur noch mit Einwilligung des Betroffenen möglich, außer es handelt sich ausschließlich um die Speicherung oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz von anderen natürlichen oder juristischen Personen oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates.

    Art. 19 DS-GVO ordnet an, dass der Betroffene für den Fall, dass er in die Verarbeitung eingewilligt hat oder die Daten zur Vertragsabwicklung benötigt werden und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, von dem Verantwortlichen verlangen kann, dass dieser ihm oder einem anderen Verantwortlichen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt.

    Wurden Daten auf Grund von Art. 6 Abs. 2 lit. e) verarbeitet, steht dem Betroffenen jederzeit das Recht nach Art. 21 Abs. 1 DS-GVO zu, Widerspruch gegen die Verarbeitung einzulegen. Mit dem Widerspruch hat der Verantwortliche die Verarbeitung zu unterlassen, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen. Welche Gründe in Betracht kommen, ergibt sich aus dem Gesetz.

    Datenpannen

    Sollte es zu einer Datenpanne kommen, ist der Präsident der Hochschule unter gewissen Umständen dazu verpflichtet, diese Panne der Datenschutzbehörde binnen 72 Stunden zu melden. Es kommt auch in Betracht, dass der Vorfall der betroffenen Person gemeldet werden muss (Art. 33, 34 DSGVO).

    Voraussetzungen der Meldepflicht

    Der Präsident der Hochschule muss den Vorfall gegenüber der Aufsichtsbehörde melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:

    • zur Vernichtung
    • zum Verlust
    • zur Veränderung
    • zur unbefugten Offenlegung oder
    • zum unbefugten Zugang

    von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier sollte in der Hochschule geregelt sein, nach welchen Kriterien die Prognose über die Auswirkungen der Datenpanne angestellt wird.

    Beispiel für eine wahrscheinlich risikolose Datenverletzung

    Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Kunden für ein anstehendes Projekt. Die Empfänger können jeweils auch die anderen Adressaten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Kunden. Es gehen aber aller Voraussicht nach keine Risiken für die Kunden von dieser Datenverletzung aus, so dass keine Meldung an die Aufsichtsbehörden erfolgen muss.

    Adressat der Meldung

    Die Datenschutzverletzungen sind an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt.

    Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:

    • Beschreibung der Datenpanne (für die betroffene Person in einfacher Sprache),
    • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
    • Beschreibung der wahrscheinlichen Folgen des Zwischenfalls
    • Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung

    Meldefrist

    Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde erfolgen. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO).

    Datensicherheit

    Sobald personenbezogene Daten verarbeitet werden, spielt die Datensicherheit eine große Rolle.

    Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritte oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden.

    Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden.

    Art. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:

    Pseudonymisierung und Verschlüsselung von Daten (lit. a)

    Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)

    Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)

    Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)

    Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden.

    Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jeder Verantwortliche den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln.

    Tipp: Generell hat die DSGVO den „risikobasierten Ansatz“ eingeführt, der klarstellt, dass sich der Aufwand für den Datenschutz im Verhältnis zum bestehenden Risiko der Datenverarbeitung für die Betroffenen bewegen muss. Wer also viele und auch noch sensible Daten verarbeitet, hat natürlich höhere Pflichten etwa bei der IT-Sicherheit oder den Zugangskontrollen als der Bäcker um die Ecke, der nur auf einem iPad notiert, wer für nächsten Samstag wie viele Brötchen bestellt hat.

     

    Stand: 11.06.2020