FAQ - Datenschutzportal der Hamburger Hochschulen

Die Grundsätze des Datenschutzes sind möglichst immer zu berücksichtigen. Die wichtigsten und für die Hochschule relevanten Grundsätze sind die Folgenden:

Personenbezogene Daten dürfen ausschließlich für den Zweck verwendet werden, für den Sie erhoben (gesammelt) wurden. Ist dieser Zweck nicht mehr gegeben, so sind die Daten unverzüglich zu löschen bzw. zu vernichten.
Es dürfen keine "überflüssigen" Daten erhoben werden, der Grundsatz der Zweckerreichung ist zu beachten!
Es muss für die Betroffenen transparent sein, welche Daten in welchem Umfang und zu welchem Zweck erhoben werden.

Logischerweise sollte man daher nicht:

Personenbezogene Daten nach Abschluss des Vorgangs aufheben (egal ob elektronisch oder in Papierform).
Personenbezogene Daten für einen anderen Zweck verwenden als angegeben.
Die Betroffenen nicht darüber informieren, was mit den Daten wie passiert und wann die Datengelöscht werden.
Zusätzliche personenbezogene Daten sammeln (die eigentlich nicht benötigt werden, aber vielleicht zu einem späteren Zeitpunkt einmal interessant sein könnten).
Usw.

Die DSGVO gilt innerhalb einer Hochschule für jede Stelle (Einrichtung, Institut, Fakultät), die Personenbezogene Daten verarbeitet.

Verantwortlich nach dem Gesetz für die Einhalt ist der Verantwortliche, also die Hochschule. Vertreten durch die Präsidentin/ den Präsidenten. Allerdings sind auch alle Mitarbeiter*innen sowie alle Studierenden an die Regelungen der DSGVO gebunden, sofern sie im Rahmen ihrer Hochschultätigkeit Personenbezogene Daten verarbeiten. Das bedeutet, sofern Mitarbeiter*innen zur Erfüllung ihrer Aufgabe Personenbezogene Daten verarbeiten, sind sie dazu angehalten, ihre Tätigkeit datenschutzkonform zu verrichten (z.B. unter Berücksichtigung der Grundsätze über die Verarbeitung von personenbezogenen Daten).

Ohne ihr Einverständnis dürfen Bilder veröffentlicht werden, auf denen Personen nur ganz beiläufig erscheinen, also wenn sie nur zufällig auf dem Bild zu sehen sind und sich dieser Umstand auch im Gesamteindruck des Betrachters manifestiert. Das Verhältnis dieser persönlichkeitsrechtlichen Regelung zur DSGVO ist bislang noch ungeklärt.

Es kommt drauf an. Es sollte aber der Grundsatz der Datenminimierung berücksichtigt werden, d.h. so wenig Daten wie möglich sollten weitergeleitet werden. Eine Weiterleitung ist auch nur akzeptabel, wenn sie der Zweckerreichung dienlich ist. Es ist auch vorzugswürdig, wenn die Abteilung der Hochschule, an welche Sie die personenbezogenen Daten des Studierenden weiterleiten möchten, die Daten direkt beim Studierenden erhebt.

Der Studierende sollte im Rahmen eines Textbausteins (z.B. in der Signatur oder auf der Website) darauf hingewiesen werden, dass bei der Übermittlung von Daten aufgrund von mangelnder Verschlüsselung ein gewisses Risiko besteht, dass die Daten von Unbefugten ausgelesen werden können. Der Austausch von Informationen sollte daher immer unter Verwendung der offiziellen E-Mail-Adresse der Hochschule erfolgen. Dann ist innerahlb des Hochschulsystems auch die Vertraulichkeit sichergestellt. Auch eine automatische Weiterleitung an eine externe E-Mail-Adresse trägt der Empfänger!

Das deutsche Datenschutzrecht, also das des Bundes und das der Länder, wird seit Mai 2018 in großen Teilen durch die europäische Datenschutzgrundverordnung (DSGVO) überlagert, die (anders als dies bei Richtlinien der Fall ist) unmittelbar in Deutschland gilt. Die deutschen Datenschutzgesetze regeln daneben nur noch, was nicht durch die DSGVO abgedeckt wird. Wo die DSGVO räumlich anzuwenden ist, regelt Art. 3 DSGVO. Demnach ist jede Datenverarbeitung durch eine datenschutzrechtlich verantwortliche Person, die in der Union „niedergelassen“ ist, durch die DSGVO geregelt. Das heißt, für die Datenerhebung und Weiterverarbeitung durch einen Wissenschaftler, der in der Europäischen Union tätig ist, gilt die DSGVO. Daneben sind in Deutschland weitergehende datenschutzrechtliche Bestimmungen, die sich aus Bundesrecht oder dem Recht des jeweiligen Bundeslandes ergeben, zu beachten.

Es gibt für die Verwaltung der Hochschulen meist eine Aktenordnung, die auch Aufbewahrungsfristen enthält. Sofern für eine Verarbeitung eine solche allgemeine Regelung nicht vorliegt, müssen für jeden Verarbeitungsprozess Aufbewahrungsfristen gesondert festgelegt werden.

Die Speicherung und somit auch die Archivierung personenbezogener Daten gilt rechtlich als Datenverarbeitung im Sinne der Datenschutzgesetze. Damit ist die Archivierung nur dann zulässig, wenn sie sich auf eine rechtliche Grundlage hierfür stützen kann. Es sind auch die gesetzlichen Vorgaben zu den Abläufen (Verarbeitungsverzeichnisse, Anonymisierung, Löschungsfristen etc.) und zu den technischen und organisatorischen Maßnahmen (sogenannte TOM) zu beachten.

Grundsätzlich nein. Eine Überarbeitung der alten Einwilligungserklärungen ist nur im Einzelfall erforderlich, wenn mit der alten Einwilligungserklärung offensichtlich gegen Bestimmungen der DSGVO verstoßen wird.

Nach der bisherigen Rechtslage konnten Einwilligungserklärungen über die Veröffentlichung von Personenbildnissen grundsätzlich nicht einseitig zurückgezogen werden. Seit Inkrafttreten der Datenschutzgrundverordnung ist fraglich, ob dies noch gilt oder ob auf diese Frage - auch - Datenschutzrecht anwendbar ist. Die DSGVO sieht grundsätzlich die Möglichkeit vor, solche Zustimmungserklärungen jederzeit widerrufen zu können. Allerdings würde ein nachträglicher Widerruf die Rechtmäßigkeit einer bereits erfolgten Publikation nicht entfallen lassen. Er wirkt nur für die Zukunft. Dennoch sollte man versuchen auf Gruppenbildern, die im Netz hinterlegt sind, die Person, die ihren Widerruf ausgeübt hat, auf den Gruppenbildern durch das Weichzeichnen, das Setzen eines Stickers oder durch verpixeln unkenntlich zu machen.

Wünschenswert wäre es, dass der entsprechende Schrank sofort nach Entnahme der Akte wieder abgeschlossen wird. Auch wenn sich der Schrank in einem Raum befinden sollte, zu dem Studierende nur selten Zutritt haben, ist ein Verschließen des Schrankes grundsätzlich zu empfehlen. Dies sollte zumindest dann erfolgen, wenn Sie Kenntnis davon haben, dass ein Studierender z.B. im Rahmen eines Termins Ihr Büro betreten wird.

Nein. Sollte ein Gesetz, eine Rechtsverordnung oder eine Hochschulsatzung als Rechtsgrundlage für die Datenverarbeitung einschlägig sein, sollte man auch das Gesetz etc. als Rechtsgrundlage heranziehen.

Grundsätzlich dürfen Daten nur so lange gespeichert werden, wie es erforderlich ist. Ausnahmen von diesem Grundsatz gibt es jedoch bei Aufbewahrungspflichten, die z.B. in einem Gesetz oder in einer Hochschulsatzung festgelegt sind.

Grundsätzlich darf auch eine Behörde nicht sämtliche bei Ihnen vorliegenden Daten der Studierenden erfragen. Bitten Sie die anfragende Person um Nennung der gesetzlichen Grundlage, auf welche die Behörde ihre Anfrage stützt.

Was ist beim Datenschutz generell zu beachten und was sollte man auf keinen Fall machen?

Für wen gilt die DSGVO und wer ist für die Einhaltung der DSGVO an der Hochschule verantwortlich?

Abgebildete Personen, die zufällig auf einem Bild erscheinen: Was wird noch als Beiwerk angesehen, wo verletzt man die Persönlichkeitsrechte? Wie verhält es sich mit der Einverständniserklärung?

Darf ich innerhalb der Hochschule Studierendendaten weiterleiten?

Gibt es für mich gegenüber dem Studierenden eine Informationspflicht, wenn die E-Mail-Kommunikation oder das Hochladen von Dokumenten durch die Studierenden unverschlüsselt bzw. über einen privaten E-Mail-Account erfolgt?

Gilt für mich als in Deutschland handelnder Wissenschaftler immer ausschließlich das deutsche Recht beim Umgang mit Daten?

Wie lange muss ich Akten/Unterlagen überhaupt aufbewahren?

Inwiefern können personenbezogene Daten digital archiviert werden?

Müssen alte Einwilligungserklärungen, die vor Anwendbarkeit der DSGVO eingeholt wurden, jetzt nach Anwendbarkeit der DSGVO neu eingeholt werden?

Wie geht man mit dem Widerruf von Einwilligungserklärungen z.B. bei einem Gruppenbild um?

Muss ich sämtliche Akten mit Studierendendaten (z.B. Prüfungsakten) den ganzen Tag über konstant in einem Schrank abgeschlossen halten?

Brauche ich immer eine Einwilligung?

Wie lange darf ich Daten speichern?

Wenn sich eine Behörde meldet und Fragen zu einem Studierenden stellt, darf ich der Behörde antworten?