Skip to main content

Basiswissen Datenschutz

Datenschutz ist mehr als nur das Setzen von Häkchen bei Cookie-Bannern – er betrifft den Alltag an Hochschulen in vielen Bereichen: von der Verwaltung über die Lehre bis hin zur Forschung. Doch was genau bedeutet Datenschutz eigentlich? Warum ist er so wichtig, und worauf muss geachtet werden?

Auf dieser Seite erhalten Sie einen umfassenden Überblick über die datenschutzrechtlichen Grundlagen, die im Hochschulkontext relevant sind. Wir erläutern den Ursprung und die Geschichte des Datenschutzes, erklären, wann Datenschutzvorschriften überhaupt zur Anwendung kommen und welche Grundprinzipien für die Verarbeitung personenbezogener Daten gelten.

Außerdem erfahren Sie, welche Rechte betroffene Personen haben, was im Falle einer Datenpanne zu beachten ist und warum Datensicherheit ein zentraler Baustein des Datenschutzes ist.

Kurz gesagt: Diese Seite bietet Ihnen das Basiswissen, das Sie benötigen, um Datenschutz in der Hochschule besser zu verstehen und sicher anzuwenden.

KI-generiert, Leonardo AI

Inhaltsübersicht

Datenschutz an Hochschulen – die Grundlagen einfach erklärt

Ob bei der Verwaltung von Studierendendaten, in Forschungsprojekten mit Interviewpartner*innen oder im Personalbüro: Hochschulen verarbeiten täglich Personenbezogene Daten. Genau dann greift der Datenschutz – und schützt die betroffenen Personen vor einer unzulässigen Erhebung, Speicherung oder Weitergabe ihrer Daten.

Datenschutz ist kein bürokratisches Hindernis, sondern ein Grundrecht. Es ist in Artikel 8 der Charta der Grundrechte der Europäischen Union verankert: Jede Person hat das Recht auf Schutz ihrer personenbezogenen Daten. In Deutschland kommt noch das Recht auf informationelle Selbstbestimmung hinzu. Kurz gesagt: Jede*r soll selbst entscheiden können, welche Informationen über die eigene Person weitergegeben und verwendet werden dürfen.

Das Ziel des Datenschutzes ist klar: Menschen vor einem unrechtmäßigen Umgang mit ihren Daten schützen. Damit das funktioniert, gibt es gesetzliche Spielregeln – vor allem die Grundsätze der Datenverarbeitung, wie sie in Artikel 5 der DSGVO festgelegt sind. Auf dieser Seite erklären wir, was das konkret für den Hochschulalltag bedeutet.

Wir stellen Ihnen hier die wichtigsten datenschutzrelevanten Themen für den Hochschulkontext kompakt vor. Denn ein solides Grundlagenwissen ist entscheidend, um den strukturellen Datenschutz an Hochschulen zu etablieren. Was das bedeutet? Struktureller Datenschutz heißt, dass Datenschutz nicht erst dann zum Thema wird, wenn etwas schiefläuft – sondern von Anfang an als fester Bestandteil aller Prozesse mitgedacht wird. Das schafft Sicherheit für Betroffene und für die Hochschule selbst.

Und um den Datenschutz verständlich und greifbar zu machen, kommen wir nicht drumherum, mit dem Ursprung zu beginnen: der Geschichte des Datenschutzes.

Ein Blick in die Geschichte des Datenschutzes

Der Datenschutz ist keine Erfindung der digitalen Welt – seinen Ursprung hat er in den 1960er Jahren. Damals startete in den USA eine Diskussion über den Schutz von Persönlichkeitsrechten, die schnell auch Europa erreichte. 1970 verabschiedete Hessen das weltweit erste Datenschutzgesetz, 1977 folgte das deutsche Bundesdatenschutzgesetz (BDSG).

Ein Meilenstein war das sogenannte Volkszählungsurteil des Bundesverfassungsgerichts von 1983. Dieses Urteil etablierte das Recht auf informationelle Selbstbestimmung – und machte klar: Auch staatliche Stellen dürfen nicht beliebig Daten sammeln, selbst wenn es für offizielle Zwecke geschieht.

 

Europaweit wurde das Thema Datenschutz erstmals 1995 durch die EU-Datenschutzrichtlinie 95/46/EG geregelt. Der Haken an einer Richtlinie: Sie entfaltet keine unmittelbare Rechtswirkung. Das heißt, die Mitgliedsstaaten mussten die Vorgaben erst in nationales Recht umsetzen – mit der Folge, dass der Datenschutz in Europa sehr unterschiedlich ausgestaltet war.

Um mehr Einheitlichkeit zu schaffen, entschied sich der europäische Gesetzgeber für einen anderen Weg: eine Verordnung. Die Datenschutz-Grundverordnung (DSGVO) trat am 24. Mai 2016 in Kraft und ist seit dem 25. Mai 2018 verbindlich anwendbar. Der Vorteil: Eine Verordnung gilt unmittelbar in allen EU-Staaten – sie muss nicht erst durch nationale Gesetze „übersetzt“ oder angepasst werden. Alle Mitgliedsstaaten müssen sich an die DSGVO halten.

Allerdings gibt es in bestimmten Bereichen sogenannte Öffnungsklauseln. Das bedeutet, dass die Mitgliedsstaaten in einzelnen Punkten eigene Regelungen treffen dürfen – meist in Form von spezialgesetzlichen Datenschutzregelungen. Das betrifft unter anderem den Datenschutz in der wissenschaftlichen Forschung, bei Statistikprojekten, in der Gesundheitsforschung oder bei der Arbeit mit Archiven.

In Deutschland finden sich solche spezialgesetzlichen Regelungen zum Beispiel im Bundesdatenschutzgesetz (BDSG). Das BDSG ergänzt die DSGVO unter anderem bei der Verarbeitung von Daten für wissenschaftliche oder historische Forschungszwecke (§ 27 BDSG) oder bei der Videoüberwachung öffentlicher Räume (§ 4 BDSG).

Weitere Beispiele für spezialgesetzliche Datenschutzregelungen sind etwa:

  • das Sozialgesetzbuch (SGB) mit besonderen Vorgaben zum Umgang mit Sozialdaten,
  • das Strahlenschutzgesetz,
  • das Infektionsschutzgesetz (IfSG),
  • oder das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das speziell den Datenschutz in der digitalen Kommunikation regelt.

Zusätzlich haben auch die Bundesländer eigene Datenschutzgesetze. Für Hamburg ist das beispielsweise das Hamburgische Datenschutzgesetz (HmbDSG). Es regelt den Datenschutz für öffentliche Stellen – und dazu gehören auch die staatlichen Hochschulen.

Wichtig zu wissen: Im Hochschulkontext kann der Umgang mit personenbezogenen Daten auch durch Hochschulsatzungen oder Ordnungen konkretisiert werden, etwa in Immatrikulations-, Prüfungs- oder Promotionsordnungen. Damit legen die Hochschulen eigenverantwortlich fest, wie sie den Datenschutz bei bestimmten Verfahren umsetzen.

Wann gilt Datenschutz überhaupt?

Die DSGVO greift immer dann, wenn Personenbezogene Daten verarbeitet werden.
Das umfasst alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen.

Dazu gehören zum Beispiel:

  • Name, Matrikelnummer oder Adresse
  • Prüfungs- und Leistungsdaten
  • Gesundheitsangaben (etwa bei Attesten)
  • Bankverbindungen (z. B. für Stipendien oder Gehaltszahlungen)
  • Fotos und Videoaufnahmen, auf denen eine Person erkennbar ist
  • Forschungsdaten, wenn sie Rückschlüsse auf einzelne Personen zulassen

Anonymisierte Daten fallen nicht unter die DSGVO, denn hier ist eine Identifizierung der Person nicht mehr möglich. Anders sieht es bei pseudonymisierten Daten aus – also bei Daten, bei denen eine Person zwar nicht direkt erkennbar ist, aber durch Zusatzwissen doch noch identifiziert werden kann. Diese Daten sind weiterhin personenbezogen und fallen unter den Datenschutz.

Digital, analog – Datenschutz gilt überall

Der Datenschutz ist technikneutral. Es spielt also keine Rolle, ob Daten digital oder analog gespeichert sind.

Das bedeutet: Auch handschriftliche Aufzeichnungen oder Papierakten können unter die DSGVO fallen – wenn sie Teil eines sogenannten „Dateisystems“ sind.

Ein Dateisystem ist jede strukturierte Sammlung von Daten, bei der nach bestimmten Kriterien gesucht oder sortiert werden kann – egal ob digital oder auf Papier.

Beispiele:

  • Der Ordner „Prüfungsunterlagen Sommersemester 2025“ im Schrank → fällt unter die DSGVO, sofern in den Prüfungsunterlagen personenbezogene Daten enthalten (Name, Prüfungsantworten o.ä.) enthalten sind
  • Eine Liste mit Namen und Unterschriften der Teilnehmenden einer Hochschulveranstaltung → fällt unter die DSGVO
  • Ein Karteikartenkasten mit Bewerbungsunterlagen → fällt unter die DSGVO
  • Eine zufällige Mitschrift auf einem Schmierzettel, die später nicht weiterverarbeitet wird → fällt in der Regel nicht unter die DSGVO

Wer ist verantwortlich?

Verantwortlich für den Datenschutz ist grundsätzlich die Hochschule selbst – als sogenannte Verantwortliche Stelle im Sinne der DSGVO. Vertreten wird die Hochschule dabei durch die/den Präsidentin/Präsidenten.

Konkret bedeutet das: Wenn an der Hochschule Daten verarbeitet werden, muss sichergestellt sein, dass dies datenschutzkonform passiert – unabhängig davon, ob es sich um Forschungsdaten, Verwaltungsprozesse oder die Betreuung von Studierenden handelt.

Im Detail gehen wir hier noch weiter auf das Thema “Verantwortlichkeit” ein.

Grundsätze

Bei der Datenverarbeitung sind die Grundsätze für die Verarbeitung personenbezogener Daten zu beachten (Art. 5 DSGVO). Diese Grundsätze stellen so etwas wie die Spielregeln dar, sofern mit personenbezogenen Daten gearbeitet wird. Eine Übersicht:

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn die Verarbeitung ist rechtmäßig, Art. 6 Absatz 1 DSGVO. Die Verarbeitung ist nur rechtmäßig

  • mit der Einwilligung der betroffenen Person, Art. 6 Absatz 1 Satz 1 lit. a DSGVO.

Oder wenn die Verarbeitung erforderlich ist

  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Art. 6 Absatz 1 Satz 1 lit. b DSGVO.
  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. c DSGVO.
  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person, Art. 6 Absatz 1 Satz 1 lit. d DSGVO.
  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. e DSGVO oder
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, Art. 6 Absatz 1 Satz 1 lit. f DSGVO.

Erläuterung der Rechtsgrundlagen mit Beispielen aus dem Hochschulbereich:

  • Die Verarbeitung von Daten im Rahmen von Mailinglisten für den Newsletterversand aber auch Forschungsprojekte beruhen meist auf eine Einwilligung. Die Rechtsgrundlage lautet dann: Art. 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Art. 6 Absatz 1 Satz 1 lit. b DSGVO greift als Rechtgrundlage, wenn die Datenverarbeitung aufgrund der Vertragserfüllung passiert. Das können Kaufverträge, ein Vertrag über die Bibliotheksnutzung der Hochschule, Leasingverträge, Kooperationsverträge mit anderen Hochschulen und Werkverträge mit Dienstleistern sein. Der Austausch von Informationen zur Vertragsanbahnung (Kontaktaufnahme, Angebotseinholung) fällt ebenso unter diese Rechtsgrundlage.
  • Datenverarbeitungen, die aufgrund des Art. 6 Absatz. 1 Satz 1 lit. c erfolgen, sind Verarbeitungen, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Es muss somit eine konkrete Rechtsvorschrift vorliegen, welche die Hochschule verpflichtet, eine bestimmte Datenverarbeitung (meist ist das eine Übermittlung an eine andere Stelle) durchzuführen. Zum Beispiel gesetzliche Meldepflichten (§ 27 Mutterschutzgesetz) oder Mitteilungspflichten (§ 8 Infektionsschutzgesetz).  
  • Art. 6 Absatz 1 Satz 1 lit. d DSGVO greift dann, wenn die Verarbeitung von Daten erforderlich ist, um lebenswichtige Interessen zu schützen. Zum Beispiel das Eingreifen in Notfälle.
  • Art. 6 Absatz 1 Satz 1 lit. e DSGVO ist - neben der Einwilligung - die Rechtsgrundlage, die am häufigsten bei einer Datenverarbeitung im Hochschulbereich als Erlaubnis dient. Diese greift, wenn die Verarbeitung von personenbezogenen Daten für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese gesetzliche Erlaubnis tritt dann auf, wenn eine konkrete Rechtsvorschrift besteht, die die Verarbeitung erlaubt, zum Beispiel die Prüfungsverwaltung und Studierendenverwaltung. Auch weitere Handlungen der Hochschule können hier drunter fallen, wenn die Hochschule als Behörde handelt und eine spezialgesetzliche Regelung (zum Beispiel Ordnungen oder Satzungen der Hochschule) die Verarbeitung konkretisiert. 
  • Die Verarbeitung ist notwendig, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren, sofern nicht die Interessen oder Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Das sagt Art. 6 Absatz. 1 Satz 1 lit. f DSGVO. Achtung: Diese Vorschrift gilt nicht, wenn die Hochschule in Erfüllung ihrer (hoheitlichen) Aufgaben Daten verarbeitet. Diese Vorschrift greift selten. Im Zweifel ist hier immer der Datenschutzkoordinator oder der Datenschutzbeauftragte miteinzubeziehen.

Ein Hinweis zu Rechtsgrundlagen der Hochschulen: Die wissenschaftsunabhängige Verarbeitung personenbezogener Daten erstreckt sich von der Verarbeitung von Studierendendaten (von Immatrikulation bis hin zur Exmatrikulation) bis zum Datenschutz der Hochschulbeschäftigten. Diese sogenannten administrativen Verarbeitungen sind zur Erfüllung gesetzlicher Aufgaben im Zusammenhang mit der Ermöglichung von Forschung, Lehre und Studium im Sinne des § 3 HmbHG notwendig. Rechtsgrundlage ist an den Hochschulen üblicherweise der Art. 6 Absatz 1 lit.e DSGVO in Verbindung mit der entsprechenden spezialgesetzlichen Regelung. Das kann zum Beispiel ein Gesetz, eine Verordnung, eine Hochschulordnung oder -satzung oder gar eine Dienstvereibarung sein.

Daten sind grundsätzlich bei der betroffenen Person zu erheben. Die Person muss darüber bei Datenerhebung informiert werden. Gelangt eine Hochschule an die personenbezogenen Daten durch Dritte, dürfen diese nicht ohne Wissen der Person verarbeitet werden. Einige Ausnahmen davon, z.B. im Forschungsbereich, sind gesetzlich geregelt.

Sofern eine Einwilligung der betroffenen Person erforderlich ist, ist diese nur wirksam, wenn die einwilligende Person die Einwilligung freiwillig erteilt hat. Die Einwilligung ist grundsätzlich schriftlich zu erteilen; begründete Ausnahmen können im Einzelfall möglich sein. Zudem kann der / die Betroffene die Einwilligung mit Wirkung für die Zukunft widerrufen.

Der Grundsatz der Transparenz (Art. 5 Absatz 1 lit. a DSGVO) soll insbesondere gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

Das heißt, personenbezogene Daten sind grundsätzlich bei der betroffenen Person zu erheben. Betroffene sind zuvor über die Identität der Verantwortlichen, den Zweck der Verarbeitung sowie die Kategorien von Empfänger*innen aufzuklären. Können die Daten aus nachvollziehbaren Gründen nicht bei einer betroffenen Person erhoben werden, wäre sie nachträglich darüber zu benachrichtigen. Die Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein - meint u.a. leicht verständlich und klar formuliert sein.

In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch die Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert, ein Beispiel dafür: Die klassische Datenschutzerklärung/Datenschutzinformation. Sie ist eine Ausformung des Transparenzgrundsatzes. Auf die Datenschutzinformationen wird auf der Seite Hochschulalltag jeweils gesondert eingegangen. Auch die Grundsätze Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen die Transparenz ebenfalls gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78). Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel- und prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).

Grundsatz der Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben ist nicht deutlich definiert. Vielmehr kann bei der Auslegung des Grundsatzes die englische Version der Verordnung helfen. Hier schreibt das Gesetz vor, dass die Verarbeitung "fair" durchzuführen ist. Eine faire Verarbeitung ist beispielsweise nicht gegeben, wenn die Verarbeitung gegenüber der Betroffenen heimlich passiert.

Grundsatz der Zweckbindung

Personenbezogene Daten dürfen nur für die zuvor definierten Zwecke verwendet werden. Somit ist der Verarbeitungszweck vorab festzulegen.

Im Folgenden zwei Beispiele, die die Zweckbindung im Hochschulbereich darstellen:

  • Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, Art. 6 Absatz 1 Satz 1 lit. b DSGVO. Erhebt und verarbeitet eine Hochschulbibliothek Daten einer Person, die bei der Hochschulbibliothek einen Nutzungsvertrag zur Benutzung der Hochschulbibliothek abgeschlossen hat, so ist die Hochschulbibliothek berechtigt, alle für den Betrieb des Bibliothekskontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten auch Informationen über die entliehenen Medien (Entleihdatum, Verlängerung usw.). Möglicherweise auch Versäumnisgebühren und Sperrvermerke werden vermerkt und sind zur Erbringung der Leistung gegenüber dem Bibliotheksnutzer notwendig. Hingegen ist die Hochschulbibliothek nicht berechtigt, die entliehenen Medien im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Bibliotheksnutzers.
  • Ein weiteres Beispiel stammt aus dem Bereich der Studierendenverwaltung. An einer Hochschule erfolgt die Verwaltung von Studierenden-Stammdaten ausschließlich über ein digitales Hochschul-Management-System. Zu jedem Studierendendatensatz wird auch ein Foto von Studierenden erstellt/verarbeitet. Da die Hochschule beispielsweise keine Anwesenheitsliste bei Lehrveranstaltungen führt, dient das Foto zur Identifikation einer studierenden Person. Die Verwendung des Fotos zum Zwecke der Identifikation der Studierenden durch die Lehrenden ist zulässig, solange ausschließlich dieser Zweck verfolgt und das Foto nicht anderweitig verwendet wird. Hinweis: Die meisten Hochschulen haben diese Art der Verarbeitung in einer entsprechenden Satzung über die Verarbeitung von personenbezogenen Daten geregelt.

Eine Zweckänderung bedarf einer entsprechenden Legitimation durch eine datenschutzrechtliche Rechtsgrundlage oder wiederum der Einwilligung von Betroffenen.

Grundsatz der Datenminimierung

Es dürfen nur die Daten genutzt werden, die zum Erreichen des festgelegten Zwecks wirklich notwendig sind. Somit ist die Datenverarbeitung auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Kann der verfolgte Zweck nicht mit weniger Daten erreicht werden?

Der Grundsatz der Verarbeitung nach Treu und Glauben ist nicht deutlich definiert. Vielmehr kann bei der Auslegung des Grundsatzes die englische Version der Verordnung helfen. Hier schreibt das Gesetz vor, dass die Verarbeitung "fair" durchzuführen ist. Eine faire Verarbeitung ist beispielsweise nicht gegeben, wenn die Verarbeitung gegenüber Betroffenen heimlich passiert.

Personenbezogene Daten dürfen nur für die zuvor definierten Zwecke verwendet werden. Somit ist der Verarbeitungszweck vorab festzulegen.

Im Folgenden zwei Beispiele, die die Zweckbindung im Hochschulbereich darstellen:

  • Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, Art. 6 Absatz 1 Satz 1 lit. b DSGVO. Erhebt und verarbeitet eine Hochschulbibliothek Daten einer Person, die bei der Hochschulbibliothek einen Nutzungsvertrag zur Benutzung der Hochschulbibliothek abgeschlossen hat, so ist die Hochschulbibliothek berechtigt, alle für den Betrieb des Bibliothekskontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten auch Informationen über die entliehenen Medien (Entleihdatum, Verlängerung usw.). Möglicherweise auch Versäumnisgebühren und Sperrvermerke werden vermerkt und sind zur Erbringung der Leistung gegenüber dem Bibliotheksnutzer notwendig. Hingegen ist die Hochschulbibliothek nicht berechtigt, die entliehenen Medien im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Bibliotheksnutzers.
  • Ein weiteres Beispiel stammt aus dem Bereich der Studierendenverwaltung. An einer Hochschule erfolgt die Verwaltung von Studierenden-Stammdaten ausschließlich über ein digitales Hochschul-Management-System. Zu jedem Studierendendatensatz wird auch ein Foto von Studierenden erstellt/verarbeitet. Da die Hochschule beispielsweise keine Anwesenheitsliste bei Lehrveranstaltungen führt, dient das Foto zur Identifikation einer studierenden Person. Die Verwendung des Fotos zum Zwecke der Identifikation der Studierenden durch die Lehrenden ist zulässig, solange ausschließlich dieser Zweck verfolgt und das Foto nicht anderweitig verwendet wird. Hinweis: Die meisten Hochschulen haben diese Art der Verarbeitung in einer entsprechenden Satzung über die Verarbeitung von personenbezogenen Daten geregelt.

Eine Zweckänderung bedarf einer entsprechenden Legitimation durch eine datenschutzrechtliche Rechtsgrundlage oder wiederum der Einwilligung von Betroffenen.

Es dürfen nur die Daten genutzt werden, die zum Erreichen des festgelegten Zwecks wirklich notwendig sind. Somit ist die Datenverarbeitung auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Kann der verfolgte Zweck nicht mit weniger Daten erreicht werden?

Beispiel für eine Datenminimierung:

Bleibt man bei dem oben aufgeführten Beispiel mit dem Foto in der Studierenden-Datenbank, muss sich die Hochschule die Frage stellen, ob ein Verarbeiten von Fotos der Studierenden wirklich zur Erreichung des festgelegten Ziels (Identifikation der Studierenden) notwendig ist, oder ob nicht eine Anwesenheitsliste während der Veranstaltung ebenso (einfach) den Zweck erfüllt. 

Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht werden.

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

Typisches Beispiel für eine Speicherbegrenzung:

Sobald Studierende die Hochschule verlassen (Exmatrikulation o.ä.) ist das Foto zu löschen.

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden. Hier spielt die Datensicherheit einer Hochschule eine wichtige Rolle.

Beispiel für Integrität und Vertraulichkeit:

Das Foto im Hochschul-Management-System. Das Foto wird ausschließlich zur Identifizierung verwendet und darf nicht anderweitig verwendet werden. Technisch sollte die verwendete Software/Anwendung so eingestellt werden, dass jedwede Exportmöglichkeit ausgeschlossen ist. Auch die Zugriffsrechte der Hochschulmitarbeiter*innen auf die Fotos der Studierenden im Hochschul-Mamagement-System müssen entsprechend geregelt werden.

Art. 5 Absatz 2 DSGVO regelt eine Rechenschaftspflicht für Verantwortliche - wie die Hochschule. Danach muss eine Hochschule in der Lage sein, nachzuweisen, dass sie die o.g. Grundsätze der Datenverarbeitung einhält. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen eine Hochschule nachweisen können, dass sie sich an die DSGVO hält. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.

Die wichtigsten Betroffenenrechte – und was das für den Hochschulalltag bedeutet

Datenschutz heißt auch: Kontrolle behalten. Und zwar über die eigenen Daten. Dafür gibt es die sogenannten Betroffenenrechte. Sie helfen allen, deren Daten verarbeitet werden – egal ob Studierende, Forschende, Lehrende, Kooperationspartner*innen oder Beschäftigte der Hochschule.

Die DSGVO verleiht diesen Personen bestimmte Rechte, um Kontrolle über ihre eigenen Daten zu behalten. Diese Betroffenenrechte stärken die Transparenz und schaffen Vertrauen – ein zentraler Aspekt gerade im Hochschulkontext, wo täglich viele Daten aus unterschiedlichen Bereichen zusammenkommen.

Hier stellen wir Ihnen die wichtigsten dieser Rechte vor, die im Hochschulkontext eine große Rolle spielen:

Nach Artikel 15 DSGVO dürfen Betroffene wissen, ob und wie ihre Daten verarbeitet werden. Das heißt: Jede*r kann nachfragen, welche Daten über sie oder ihn bei der Hochschule gespeichert sind, zu welchem Zweck das passiert und an wen die Daten möglicherweise weitergegeben wurden.

Beispiel aus der Praxis:

  • Eine Studentin möchte wissen, welche Informationen über sie in den Studiengangsverwaltungen, im Prüfungsamt oder bei der Bibliothek gespeichert sind.
  • Ein wissenschaftlicher Mitarbeiter fragt nach, welche personenbezogenen Daten im Rahmen eines Drittmittelprojekts verarbeitet werden und wer Zugriff darauf hat.

Solche Anfragen können sich an ganz unterschiedliche Bereiche der Hochschule richten – und sie müssen sorgfältig bearbeitet werden.

Warum sind klare Prozesse so wichtig?

Das Auskunftsrecht ist kein „Nice-to-have“, sondern ein gesetzlich verankertes Grundrecht. Deshalb sind Hochschulen verpflichtet, zuverlässige Prozesse dafür zu etablieren. Das kann zum Beispiel geschehen durch:

  • eine Regelung im Datenschutzkonzept der Hochschule,
  • interne Verfahrensanweisungen,
  • oder durch eine universitätsweite E-Mail-Info vom oder von der Präsident*in an alle Mitarbeitenden, damit klar ist: Wohin mit Anfragen? Wer ist zuständig?

Solche Prozesse sind zwingend notwendig, damit:

  • Fristen nicht versäumt werden (die Auskunft muss in der Regel innerhalb eines Monats erfolgen),
  • Anfragen nicht verloren gehen (zum Beispiel, wenn sie bei falschen Ansprechpersonen landen),
  • und die Hochschule nicht unbeabsichtigt in eine datenschutzwidrige Situation gerät.

Vorsicht bei der Identität: Wer fragt da eigentlich?

Bevor eine Hochschule Personenbezogene Daten herausgibt, muss sicher gestellt sein, dass die Person tatsächlich berechtigt ist, diese Auskunft zu bekommen. Das bedeutet:
Eine Verifizierung der anfragenden Person ist Pflicht!

Das kann je nach Situation unterschiedlich ablaufen, zum Beispiel durch:

  • Vorlage eines gültigen Studierendenausweises (persönlich oder als Kopie mit Verifikationsmerkmalen),
  • Vorlage eines Mitarbeitendenausweises,
  • die Nutzung des Hochschul-Accounts mit Authentifizierung über den Hochschulserver,
  • ein Gespräch vor Ort mit Identitätsprüfung durch Ausweis,
  • oder bei Anfragen per E-Mail: eine Rückmeldung an eine verifizierte Hochschuladresse (z. B. Vorname.Nachname@uni-hamburg.de).

Formfrei, aber mit Sorgfalt

Wichtig ist: Das Ausüben von Betroffenenrechten ist nicht an bestimmte Formvorschriften gebunden. Der Antrag kann also auf ganz unterschiedliche Weise gestellt werden:

  • schriftlich per E-Mail oder Brief,
  • über ein Online-Formular (sofern die Hochschule eines anbietet),
  • oder sogar mündlich, z. B. im Gespräch mit der oder dem Datenschutzbeauftragten.

Trotz dieser Formfreiheit müssen alle Anfragen mit der gebotenen Sorgfalt behandelt werden – denn der Datenschutz hört nicht bei der Zustellung einer Anfrage auf.

Wer falsche oder unvollständige Daten in den Systemen der Hochschule entdeckt, hat nach Artikel 16 DSGVO das Recht, eine Berichtigung oder Ergänzung zu verlangen.

Beispiel:
Ein Name ist falsch geschrieben, ein veralteter Titel wird noch geführt, eine Adresse wurde nicht aktualisiert – all das sollte selbstverständlich berichtigt werden, sobald es bekannt wird.

Gerade bei Noten, Immatrikulationsdaten oder Angaben in Personalakten kann es wichtig sein, dass alle Angaben korrekt sind. Das Berichtigungsrecht hilft, hier Klarheit zu schaffen.

Unter bestimmten Voraussetzungen dürfen Betroffene verlangen, dass ihre personenbezogenen Daten gelöscht werden. Das regelt Artikel 17 DSGVO.

Beispiel aus dem Hochschulkontext:

  • Ein ehemaliger Studierender bittet darum, dass seine noch gespeicherten Kontaktdaten gelöscht werden, weil das Studium längst abgeschlossen ist und es keine gesetzlichen Aufbewahrungspflichten mehr gibt.
  • Eine Interviewpartnerin eines Forschungsprojekts zieht ihre Einwilligung zurück und möchte, dass ihre Daten aus der Studie entfernt werden.

„Unverzüglich“ – was heißt das konkret?

Das Gesetz verlangt, dass Personenbezogene Daten „unverzüglich“ gelöscht werden, wenn die Voraussetzungen dafür erfüllt sind.
Aber was bedeutet das in der Praxis?

„Unverzüglich“ heißt: so schnell wie möglich, ohne schuldhaftes Zögern. Dabei muss natürlich der ganz normale Geschäftsablauf berücksichtigt werden. Das bedeutet:

  • Keine wochenlange Ablage auf dem Schreibtisch!
  • Keine „Bearbeitung irgendwann bei Gelegenheit“.
  • Aber auch: Es ist kein Sofort-Handeln im Sekundentakt erforderlich, wenn noch rechtliche Prüfungen nötig sind (z. B. ob wirklich keine Aufbewahrungspflichten mehr bestehen).

Ein angemessener Zeitraum kann – je nach Fall – einige Tage bis wenige Wochen betragen. Wichtig ist, dass der Vorgang aktiv bearbeitet wird und dokumentiert ist.

Warum brauchen Hochschulen klare Prozesse für Löschanfragen?

Genau wie beim Auskunftsrecht sollten Hochschulen auch beim Thema Löschung dringend feste Abläufe und Zuständigkeiten definieren:

  • Wer prüft den Löschantrag?
  • Wer entscheidet, ob Daten tatsächlich gelöscht werden dürfen?
  • Wer führt die Löschung aus und dokumentiert den Vorgang?

Diese Abläufe sollten idealerweise in einem Datenschutzkonzept, einer Löschrichtlinie oder über einen Dienstweg per E-Mail-Verfügung der Hochschulleitung (z. B. durch den die Präsident*in) kommuniziert werden.

Wichtig ist auch hier: Die Verifizierung der antragstellenden Person muss sichergestellt sein. Denn niemand darf auf Zuruf Personenbezogene Daten löschen lassen, wenn nicht geklärt ist, ob die Anfrage tatsächlich von der betroffenen Person selbst stammt.

Weil das Thema Löschung in Hochschulen besonders komplex ist (z. B. bei Forschungsdaten, Personalakten oder Archivierungspflichten), haben wir dazu eine eigene vertiefende Seite erstellt: Das Löschen von personenbezogenen Daten

Nach Artikel 21 DSGVO dürfen Betroffene jederzeit Widerspruch gegen die Verarbeitung ihrer Daten einlegen, wenn die Verarbeitung auf einer Aufgabe im öffentlichen Interesse beruht (Art. 6 Abs. 1 lit. e DSGVO).

Beispiel:
Eine Hochschulangehörige möchte nicht, dass ihr Name auf einer öffentlich einsehbaren Mitarbeitendenliste auf der Website erscheint – auch wenn dies grundsätzlich im berechtigten Interesse der Hochschule liegen könnte.

Nach einem Widerspruch muss die Hochschule die Datenverarbeitung beenden, es sei denn, es gibt zwingende schutzwürdige Gründe, die überwiegen (zum Beispiel gesetzliche Aufbewahrungspflichten oder andere rechtliche Vorgaben).

Haben Betroffene der Verarbeitung ihrer personenbezogenen Daten freiwillig zugestimmt, dürfen sie diese Einwilligung jederzeit widerrufen. Das regelt Artikel 7 Absatz 3 DSGVO.

Wichtig: Der Widerruf wirkt nur für die Zukunft. Daten, die bis zum Zeitpunkt des Widerrufs rechtmäßig verarbeitet wurden, bleiben rechtmäßig verarbeitet. Ab dem Moment des Widerrufs dürfen diese Daten aber nicht weiterverwendet werden – es sei denn, es gibt eine andere gesetzliche Grundlage dafür.

Beispiele aus dem Hochschulalltag:

  • Ein Studierender hat bei der Einschreibung eingewilligt, dass seine E-Mail-Adresse für den Hochschul-Newsletter verwendet wird. Wenn er keine Newsletter mehr erhalten möchte, kann er diese Einwilligung jederzeit widerrufen.
  • Eine externe Kooperationspartnerin hat sich bereit erklärt, dass ihre Daten auf der Hochschulwebseite als Projektpartnerin veröffentlicht werden. Sie entscheidet sich später anders und möchte nicht mehr namentlich genannt werden – auch hier kann sie ihre Einwilligung widerrufen.
  • Bei einer Befragung im Rahmen eines Forschungsprojekts haben Teilnehmende ihre Einwilligung zur Nutzung der erhobenen Daten gegeben. Sie können diese Einwilligung jederzeit zurückziehen, sofern keine anonymisierte Weiterverarbeitung vorliegt.

Widerruf ist nicht gleich Widerspruch!

Der Widerruf nach Art. 7 Abs. 3 DSGVO bezieht sich immer auf Einwilligungen.
Das Widerspruchsrecht nach Art. 21 DSGVO dagegen betrifft Verarbeitungen auf Grundlage eines berechtigten Interesses oder einer Aufgabe im öffentlichen Interesse.

  • Widerrufen = „Ich habe freiwillig zugestimmt – das nehme ich jetzt zurück.“
  • Widersprechen = „Ich war vielleicht nie einverstanden – ich lege jetzt Einspruch gegen die Verarbeitung ein.“

Prozesse an der Hochschule

Auch für Widerrufsanfragen brauchen Hochschulen klare Abläufe:

  • Wie kann der Widerruf erklärt werden? (z. B. per E-Mail, über ein Formular, schriftlich oder mündlich – der Widerruf ist an keine bestimmte Form gebunden!)
  • Welche Stellen sind zuständig?
  • Wie wird sichergestellt, dass die betroffene Verarbeitung sofort gestoppt wird?
  • Wie werden die betroffenen Abteilungen informiert?

All das sollte in den Datenschutzprozessen der Hochschule geregelt sein – etwa im Datenschutzkonzept, über Arbeitsanweisungen oder interne Informationswege.

Datenschutzverletzungen an Hochschulen – was tun, wenn etwas schiefläuft?

An Hochschulen werden täglich eine Vielzahl personenbezogener Daten verarbeitet – etwa von Studierenden, Lehrenden, Mitarbeitenden oder externen Kooperationspartner*innen. Doch was passiert, wenn diese Daten unbeabsichtigt weitergegeben, verändert oder gar gelöscht werden? Dann spricht man von einer Datenschutzverletzung.

Datenschutzverletzungen lassen sich nicht immer ganz vermeiden – umso wichtiger ist es, vorbereitet zu sein. Entscheidend ist, dass alle Beteiligten wissen, wie sie im Ernstfall richtig reagieren, und dass Hochschulen klare Abläufe und Verantwortlichkeiten schaffen. Nur so lassen sich Transparenz, schnelle Reaktionen und rechtssichere Entscheidungen gewährleisten.

Was sind eigentlich Datenschutzverletzungen?

Eine Datenschutzverletzung liegt vor, wenn Personenbezogene Daten – also Informationen, die sich auf eine identifizierbare Person beziehen – durch ein Sicherheitsproblem in falsche Hände gelangen, ungewollt verändert, gelöscht oder offengelegt werden. Dabei spielt es keine Rolle, ob das absichtlich oder versehentlich geschieht.

Typische Beispiele an Hochschulen könnten sein:

  • Eine unverschlüsselte E-Mail mit Prüfungsnoten wird an die falsche Adresse geschickt.
  • Ein Dozierender speichert sensible Gesundheitsdaten auf einem ungesicherten USB-Stick, der verloren geht.
  • Ein Zugang zu einer Cloud-Plattform wird kompromittiert – Dritte können auf Bewerbungsunterlagen zugreifen.
  • Ein öffentliches PDF enthält versehentlich auch die Kontodaten von Beschäftigten.

Meldepflicht vs. Benachrichtigungspflicht – was ist der Unterschied?

Bei einer Datenschutzverletzung stellt sich zunächst die Frage: Muss dieser Vorfall einer datenschutzrechtlichen Aufsichtsbehörde gemeldet werden? Und: Wer muss möglicherweise darüber informiert werden?

1. Die Meldepflicht (Art. 33 DSGVO)

Wenn durch eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss die Hochschule innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzaufsichtsbehörde machen. Diese Frist beginnt, sobald die Hochschule Kenntnis vom Vorfall hat – deshalb ist schnelles Handeln gefragt.

Wann liegt ein meldepflichtiger Fall vor?
Es muss ein „Sicherheitsdefizit“ gegeben sein, das zu einer der folgenden Situationen führt:

  • Vernichtung von Daten
  • Verlust von Daten
  • Unbefugte Offenlegung
  • Unbefugter Zugang
  • Ungewollte Veränderung

Praxisbeispiel für eine meldepflichtige Verletzung:
Ein IT-Mitarbeiter entdeckt, dass ein externer Zugriff auf eine zentrale Hochschuldatenbank stattgefunden hat. Betroffen sind u. a. Adressen, Noten, Geburtsdaten von mehreren hundert Studierenden. Die unbefugte Einsichtnahme stellt ein hohes Risiko dar – es handelt sich um eine meldepflichtige Datenschutzverletzung, die innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden muss.

2. Die Benachrichtigungspflicht (Art. 34 DSGVO)

Wenn der Vorfall nicht nur ein Risiko, sondern ein hohes Risiko für die betroffenen Personen bedeutet – z. B. Identitätsdiebstahl, Diskriminierung, erheblicher Reputationsverlust – dann müssen auch die betroffenen Personen direkt informiert werden. Das dient dem Schutz der Betroffenen, die ggf. Maßnahmen (z. B. Passwortwechsel) ergreifen müssen.

Auch hier gibt es Ausnahmen, z. B. wenn bereits technische Schutzmaßnahmen (wie Verschlüsselung) verhindert haben, dass Dritte auf die Daten zugreifen konnten.

Was tun im Ernstfall – oder im Zweifel?

Im Zweifel gilt: dokumentieren und ansprechen.
Wenn Mitarbeitende eine (mögliche) Datenschutzverletzung bemerken, sollten sie den Vorfall umgehend der zuständigen Stelle innerhalb der Hochschule melden – meist sind das die Datenschutzbeauftragten oder Datenschutzkoordinator*innen. Auch wenn unklar ist, ob es sich tatsächlich um eine meldepflichtige Verletzung handelt: Lieber einmal zu viel nachfragen als zu spät.

Zudem sollte jeder Vorfall intern dokumentiert werden, auch wenn keine Meldepflicht besteht. So lässt sich im Nachhinein nachvollziehen, wie der Vorfall eingeschätzt wurde – und es können Rückschlüsse für die Verbesserung der Abläufe gezogen werden.

Warum klare Prozesse so wichtig sind

Hochschulen sollten verbindlich festlegen, wer was wann zu tun hat, wenn ein Datenschutzvorfall eintritt. Klare Prozesse helfen, Unsicherheit zu vermeiden und Fristen einzuhalten. Dazu gehört:

  • Wer ist erste Ansprechperson bei einem Vorfall?
  • Welche Informationen müssen gesammelt werden?
  • Wer nimmt ggf. die Einschätzung vor, ob ein Risiko besteht?
  • Wer ist für die Meldung an die Aufsichtsbehörde zuständig?

Diese Prozesse sollten nicht nur existieren, sondern auch aktiv kommuniziert werden – etwa in einem Datenschutzkonzept, einer internen Richtlinie, durch eine Informationsmail oder über das Intranet.

Datensicherheit im Hochschulalltag

Sobald Personenbezogene Daten verarbeitet werden – etwa bei der Verwaltung von Studierendendaten, Forschungsprojekten oder Bewerbungsverfahren – rückt ein Thema besonders in den Fokus: Datensicherheit.

Während der Datenschutz regelt, welche Daten wie und von wem verarbeitet werden dürfen, beschäftigt sich die Datensicherheit mit der Frage:
Wie können diese Daten vor unbefugtem Zugriff, Verlust oder Manipulation geschützt werden?

Verantwortung für den Schutz der Daten

Organisationseinheiten – also z. B. ein Prüfungsamt, ein Rechenzentrum oder ein Lehrstuhl, der Forschungsdaten speichert – müssen technische und organisatorische Maßnahmen (TOM) ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.
Wie hoch dieses Schutzniveau sein muss, hängt vom Risiko ab, das die jeweilige Verarbeitung für die betroffenen Personen birgt (Art. 32 Abs. 2 DSGVO).

Beispiel:
Geht eine Liste mit Teilnehmenden einer internen Fortbildung verloren, ist das weniger kritisch als ein Datenleck, das medizinische Gutachten aus einem Forschungsprojekt offenlegt. Die möglichen Folgen für die Betroffenen sind entscheidend.

Was bedeutet "angemessen"? – Vorgaben der DSGVO

Die DSGVO nennt in Art. 32 eine Reihe von Schutzmaßnahmen, die je nach Risiko zum Einsatz kommen können:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme sicherstellen
  • Wiederherstellungsmöglichkeiten, z.B. durch Backups nach einem Systemausfall
  • Regelmäßige Überprüfung und Bewertung der Sicherheitsmaßnahmen

Praktische Umsetzung an der Hochschule

An Hochschulen heißt das ganz konkret:

  • Zugangsschutz: Nur befugte Personen (z.B. über personalisierte Logins) dürfen auf sensible Daten zugreifen etwa in einem Campus-Management-System.
  • Technische Sicherheitsvorkehrungen: Aktuelle Virenschutzprogramme, Firewalls und verschlüsselte Kommunikationswege (z.B. bei der E-Mail-Kommunikation mit Studierenden) sind Pflicht.
  • Notfallmanagement: Bei einem Serverausfall sollte es Pläne geben, wie Lehr- oder Forschungsdaten schnell wiederhergestellt werden können.
  • Regelmäßige Sicherheitschecks: Durch Audits oder Penetrationstests kann geprüft werden, ob Schutzmaßnahmen noch wirksam sind.

Risikobasierter Ansatz: Aufwand richtet sich nach Gefahr

Die DSGVO führt ausdrücklich einen risikobasierten Ansatz ein:
Der Aufwand für die Datensicherheit soll im Verhältnis zum Risiko für die Betroffenen stehen.

Ein Vergleich:
Ein Lehrstuhl, der mit Gesundheitsdaten von Proband*innen arbeitet, hat deutlich höhere Anforderungen an IT-Sicherheit und Zugangskontrollen als ein Café auf dem Campus, das sich auf einer Liste notiert, wer am Freitag welchen Kuchen bestellt hat.

Inhaltsübersicht

Stand: 24.07.2025
Author: Lille Bernstein