Zum Hauptinhalt springen

Grundlagen des Datenschutzes

Eines der häufig diskutierten Themen bei neuen Projekten, ist der Datenschutz. Was aber versteht man darunter? Welche Daten sollen geschützt werden und was darf eine Hochschule mit ihnen machen? Hier finden Hamburger Hochschulen grundlegende Informationen zur Entstehung des Datenschutzrechts und seiner Umsetzung.

Einleitung

Werden Daten von und über Menschen verarbeitet, greift der Datenschutz. Betroffene sollen beispielsweise so vor einer missbräuchlichen Erhebung, Speicherung und Weitergabe der sie betreffenden Daten geschützt werden.

Datenschutz ist ein europäisches Grundrecht. Es resultiert aus Artikel 8 der Charta der Grundrechte der Europäischen Union. Demnach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Hierzulande werden zusätzlich das sog. Persönlichkeitsrecht und Recht auf informationelle Selbstbestimmung geschützt. Eine Person soll demnach selbst darüber entscheiden können, welche Daten über sie preisgegeben und verwendet werden. Das oberste Ziel des Datenschutzes ist, eine betroffene Person vor einer unzulässigen Beeinträchtigung zu bewahren. Dieses Ziel soll durch gesetzlich definierte Grundsätze erreicht werden - d.h. bei jeder Verarbeitung sind die in Art. 5 DSGVO genannten Grundsätze einzuhalten. Dazu später mehr.

Betroffene sind all jene, deren Daten verarbeitet werden. Studierende, externe Partner*innen, Forschende, auch Mitarbeitende einer Hochschule, können Betroffene sein.

Hochschulen arbeiten täglich mit personenbezogenen Daten, sei es durch das Verwalten von Studierendendaten, die Korrespondenz mit externen Personen oder das Forschen beispielsweise an Interviewdaten. Sensible Daten können auch über die eigenen Mitarbeitenden in Personalakten hinterlegt sein. Beinahe jeder Umgang mit Daten ist von der DSGVO geschützt. Ausgenommen sind anonymisierte Angaben.

Der Datenschutz ist technikneutral. Neben digital angeordneten Daten, können Notizen auf Papier zu einem Bewerbungsgespräch unter dem Schutz der DSGVO fallen sowie Akten.

Wie eine Hochschule bestmöglich die Grundrechte der Betroffenen berücksichtigt und wie dabei die Grundsätze der Datenverarbeitung ins Spiel kommen, erklären wir Ihnen im Folgenden.

Geschichte

Datenschutz erlangte an Bedeutung, als in den 1960er Jahren in den USA eine Debatte über den zunehmenden Schutz von Persönlichkeitsrechten geführt wurde. Die Debatte war so nachhaltig, dass das Thema sich den Weg nach Europa bahnte. 1970 verabschiedete Hessen das weltweit erste Datenschutzgesetz, 1977 folgte dann in Deutschland mit dem ersten Bundesdatenschutzgesetz (BDSG) eine nationale Regelung. Die Aufgabe des BDSG lag in erster Linie darin, im Rahmen einer Datenverarbeitung durch eine Behörde die Bürger vor dieser zu schützen.

Von grundlegender Bedeutung für die Entwicklung des Datenschutzes ist allerdings das sog. Volkszählungsurteil. Hierbei handelt es sich um eine Grundsatzentscheidung des Bundesverfassungsgerichts vom 15.Dezember 1983, mit der das Grundrecht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde etabliert wurde. Das Volkszählungsurteil stellt klar, dass auch eine Datenverarbeitung auf gesetzlicher Grundlage in die Grundrechte des Einzelnen eingreifen kann.

Weiter wurde das Thema Datenschutz europaweit bereits in den 90igern Jahren geregelt. Dies erfolgte 1995 über die Europäische Datenschutzrichtlinie 1995/46/EG.

Da jedoch eine Richtlinie keine direkte Rechtswirkung entfaltet, wurde das Datenschutzrecht europaweit unterschiedlich interpretiert. Um eine Einheitlichkeit im europäischen Datenschutzrecht zu erreichen, entschloss sich der europäische Gesetzgeber dazu, eine Verordnung zu erlassen, die am 24.05.2016 in Kraft trat. Im Gegensatz zu einer Richtlinie entfaltet eine Verordnung unmittelbare Geltung.

Dies bedeutet, dass es den Mitgliedstaaten grundsätzlich nicht erlaubt ist, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen, die DSGVO ist somit direkt anwendbar. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes (zum Beispiel im Bereich der Forschung) auch im nationalen Alleingang zu regeln. Die verbindliche Anwendbarkeit der DSGVO erfolgte am 25.05.2018.

Anwendungsbereich

Der sogenannte Anwendungsbereich der DSGVO bezieht sich auf die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind gem. Art. 4 Abs. 1 Nr. 1 DSGVO alle Informationen, die sich auf eine natürliche Person beziehen. Verantwortlich für die datenschutzkonforme Umsetzung  der DSGVO, ist die Stelle, die allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Hochschulen sind Körperschaften des öffentlichen Rechts und werden durch ihre Präsident*innen vertreten.

Grundsätze

Bei der Datenverarbeitung sind die Grundsätze für die Verarbeitung personenbezogener Daten zu beachten (Art. 5 DSGVO). Diese Grundsätze stellen so etwas wie die Spielregeln dar, sofern mit personenbezogenen Daten gearbeitet wird. Eine Übersicht:

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn die Verarbeitung ist rechtmäßig, Art. 6 Absatz 1 DSGVO. Die Verarbeitung ist nur rechtmäßig

  • mit der Einwilligung der betroffenen Person, Art. 6 Absatz 1 Satz 1 lit. a DSGVO.

Oder wenn die Verarbeitung erforderlich ist

  • für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Art. 6 Absatz 1 Satz 1 lit. b DSGVO.
  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. c DSGVO.
  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person, Art. 6 Absatz 1 Satz 1 lit. d DSGVO.
  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen, Art. 6 Absatz 1 Satz 1 lit. e DSGVO oder
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, Art. 6 Absatz 1 Satz 1 lit. f DSGVO.

Erläuterung der Rechtsgrundlagen mit Beispielen aus dem Hochschulbereich:

  • Die Verarbeitung von Daten im Rahmen von Mailinglisten für den Newsletterversand aber auch Forschungsprojekte beruhen meist auf eine Einwilligung. Die Rechtsgrundlage lautet dann: Art. 6 Absatz 1 Satz 1 lit. a DSGVO.
  • Art. 6 Absatz 1 Satz 1 lit. b DSGVO greift als Rechtgrundlage, wenn die Datenverarbeitung aufgrund der Vertragserfüllung passiert. Das können Kaufverträge, ein Vertrag über die Bibliotheksnutzung der Hochschule, Leasingverträge, Kooperationsverträge mit anderen Hochschulen und Werkverträge mit Dienstleistern sein. Der Austausch von Informationen zur Vertragsanbahnung (Kontaktaufnahme, Angebotseinholung) fällt ebenso unter diese Rechtsgrundlage.
  • Datenverarbeitungen, die aufgrund des Art. 6 Absatz. 1 Satz 1 lit. c erfolgen, sind Verarbeitungen, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind. Es muss somit eine konkrete Rechtsvorschrift vorliegen, welche die Hochschule verpflichtet, eine bestimmte Datenverarbeitung (meist ist das eine Übermittlung an eine andere Stelle) durchzuführen. Zum Beispiel gesetzliche Meldepflichten (§ 27 Mutterschutzgesetz) oder Mitteilungspflichten (§ 8 Infektionsschutzgesetz).  
  • Art. 6 Absatz 1 Satz 1 lit. d DSGVO greift dann, wenn die Verarbeitung von Daten erforderlich ist, um lebenswichtige Interessen zu schützen. Zum Beispiel das Eingreifen in Notfälle.
  • Art. 6 Absatz 1 Satz 1 lit. e DSGVO ist - neben der Einwilligung - die Rechtsgrundlage, die am häufigsten bei einer Datenverarbeitung im Hochschulbereich als Erlaubnis dient. Diese greift, wenn die Verarbeitung von personenbezogenen Daten für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese gesetzliche Erlaubnis tritt dann auf, wenn eine konkrete Rechtsvorschrift besteht, die die Verarbeitung erlaubt, zum Beispiel die Prüfungsverwaltung und Studierendenverwaltung. Auch weitere Handlungen der Hochschule können hier drunter fallen, wenn die Hochschule als Behörde handelt und eine spezialgesetzliche Regelung (zum Beispiel Ordnungen oder Satzungen der Hochschule) die Verarbeitung konkretisiert. 
  • Die Verarbeitung ist notwendig, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren, sofern nicht die Interessen oder Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Das sagt Art. 6 Absatz. 1 Satz 1 lit. f DSGVO. Achtung: Diese Vorschrift gilt nicht, wenn die Hochschule in Erfüllung ihrer (hoheitlichen) Aufgaben Daten verarbeitet. Diese Vorschrift greift selten. Im Zweifel ist hier immer der Datenschutzkoordinator oder der Datenschutzbeauftragte miteinzubeziehen.

Ein Hinweis zu Rechtsgrundlagen der Hochschulen: Die wissenschaftsunabhängige Verarbeitung personenbezogener Daten erstreckt sich von der Verarbeitung von Studierendendaten (von Immatrikulation bis hin zur Exmatrikulation) bis zum Datenschutz der Hochschulbeschäftigten. Diese sogenannten administrativen Verarbeitungen sind zur Erfüllung gesetzlicher Aufgaben im Zusammenhang mit der Ermöglichung von Forschung, Lehre und Studium im Sinne des § 3 HmbHG notwendig. Rechtsgrundlage ist an den Hochschulen üblicherweise der Art. 6 Absatz 1 lit.e DSGVO in Verbindung mit der entsprechenden spezialgesetzlichen Regelung. Das kann zum Beispiel ein Gesetz, eine Verordnung, eine Hochschulordnung oder -satzung oder gar eine Dienstvereibarung sein.

Daten sind grundsätzlich bei der betroffenen Person zu erheben. Die Person muss darüber bei Datenerhebung informiert werden. Gelangt eine Hochschule an die personenbezogenen Daten durch Dritte, dürfen diese nicht ohne Wissen der Person verarbeitet werden. Einige Ausnahmen davon, z.B. im Forschungsbereich, sind gesetzlich geregelt.

Sofern eine Einwilligung der betroffenen Person erforderlich ist, ist diese nur wirksam, wenn die einwilligende Person die Einwilligung freiwillig erteilt hat. Die Einwilligung ist grundsätzlich schriftlich zu erteilen; begründete Ausnahmen können im Einzelfall möglich sein. Zudem kann der / die Betroffene die Einwilligung mit Wirkung für die Zukunft widerrufen.


Der Grundsatz der Transparenz (Art. 5 Absatz 1 lit. a DSGVO) soll insbesondere gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

Das heißt, personenbezogene Daten sind grundsätzlich bei der betroffenen Person zu erheben. Betroffene sind zuvor über die Identität der Verantwortlichen, den Zweck der Verarbeitung sowie die Kategorien von Empfänger*innen aufzuklären. Können die Daten aus nachvollziehbaren Gründen nicht bei einer betroffenen Person erhoben werden, wäre sie nachträglich darüber zu benachrichtigen. Die Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein - meint u.a. leicht verständlich und klar formuliert sein.

In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch die Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert, ein Beispiel dafür: Die klassische Datenschutzerklärung/Datenschutzinformation. Sie ist eine Ausformung des Transparenzgrundsatzes. Auf die Datenschutzinformationen wird auf der Seite Hochschulalltag jeweils gesondert eingegangen. Auch die Grundsätze Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen die Transparenz ebenfalls gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78). Hinzu kommen Zertifizierungsverfahren sowie Datenschutzsiegel- und prüfzeichen, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen (vgl. Art. 42 f. DSGVO, Erwägungsgrund 100).

Grundsatz der Verarbeitung nach Treu und Glauben

Der Grundsatz der Verarbeitung nach Treu und Glauben ist nicht deutlich definiert. Vielmehr kann bei der Auslegung des Grundsatzes die englische Version der Verordnung helfen. Hier schreibt das Gesetz vor, dass die Verarbeitung "fair" durchzuführen ist. Eine faire Verarbeitung ist beispielsweise nicht gegeben, wenn die Verarbeitung gegenüber der Betroffenen heimlich passiert.

Grundsatz der Zweckbindung

Personenbezogene Daten dürfen nur für die zuvor definierten Zwecke verwendet werden. Somit ist der Verarbeitungszweck vorab festzulegen.

Im Folgenden zwei Beispiele, die die Zweckbindung im Hochschulbereich darstellen:

  • Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, Art. 6 Absatz 1 Satz 1 lit. b DSGVO. Erhebt und verarbeitet eine Hochschulbibliothek Daten einer Person, die bei der Hochschulbibliothek einen Nutzungsvertrag zur Benutzung der Hochschulbibliothek abgeschlossen hat, so ist die Hochschulbibliothek berechtigt, alle für den Betrieb des Bibliothekskontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten auch Informationen über die entliehenen Medien (Entleihdatum, Verlängerung usw.). Möglicherweise auch Versäumnisgebühren und Sperrvermerke werden vermerkt und sind zur Erbringung der Leistung gegenüber dem Bibliotheksnutzer notwendig. Hingegen ist die Hochschulbibliothek nicht berechtigt, die entliehenen Medien im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Bibliotheksnutzers.
  • Ein weiteres Beispiel stammt aus dem Bereich der Studierendenverwaltung. An einer Hochschule erfolgt die Verwaltung von Studierenden-Stammdaten ausschließlich über ein digitales Hochschul-Management-System. Zu jedem Studierendendatensatz wird auch ein Foto von Studierenden erstellt/verarbeitet. Da die Hochschule beispielsweise keine Anwesenheitsliste bei Lehrveranstaltungen führt, dient das Foto zur Identifikation einer studierenden Person. Die Verwendung des Fotos zum Zwecke der Identifikation der Studierenden durch die Lehrenden ist zulässig, solange ausschließlich dieser Zweck verfolgt und das Foto nicht anderweitig verwendet wird. Hinweis: Die meisten Hochschulen haben diese Art der Verarbeitung in einer entsprechenden Satzung über die Verarbeitung von personenbezogenen Daten geregelt.

Eine Zweckänderung bedarf einer entsprechenden Legitimation durch eine datenschutzrechtliche Rechtsgrundlage oder wiederum der Einwilligung von Betroffenen.

Grundsatz der Datenminimierung

Es dürfen nur die Daten genutzt werden, die zum Erreichen des festgelegten Zwecks wirklich notwendig sind. Somit ist die Datenverarbeitung auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Kann der verfolgte Zweck nicht mit weniger Daten erreicht werden?

Der Grundsatz der Verarbeitung nach Treu und Glauben ist nicht deutlich definiert. Vielmehr kann bei der Auslegung des Grundsatzes die englische Version der Verordnung helfen. Hier schreibt das Gesetz vor, dass die Verarbeitung "fair" durchzuführen ist. Eine faire Verarbeitung ist beispielsweise nicht gegeben, wenn die Verarbeitung gegenüber Betroffenen heimlich passiert.

Personenbezogene Daten dürfen nur für die zuvor definierten Zwecke verwendet werden. Somit ist der Verarbeitungszweck vorab festzulegen.

Im Folgenden zwei Beispiele, die die Zweckbindung im Hochschulbereich darstellen:

  • Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages, Art. 6 Absatz 1 Satz 1 lit. b DSGVO. Erhebt und verarbeitet eine Hochschulbibliothek Daten einer Person, die bei der Hochschulbibliothek einen Nutzungsvertrag zur Benutzung der Hochschulbibliothek abgeschlossen hat, so ist die Hochschulbibliothek berechtigt, alle für den Betrieb des Bibliothekskontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten auch Informationen über die entliehenen Medien (Entleihdatum, Verlängerung usw.). Möglicherweise auch Versäumnisgebühren und Sperrvermerke werden vermerkt und sind zur Erbringung der Leistung gegenüber dem Bibliotheksnutzer notwendig. Hingegen ist die Hochschulbibliothek nicht berechtigt, die entliehenen Medien im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Bibliotheksnutzers.
  • Ein weiteres Beispiel stammt aus dem Bereich der Studierendenverwaltung. An einer Hochschule erfolgt die Verwaltung von Studierenden-Stammdaten ausschließlich über ein digitales Hochschul-Management-System. Zu jedem Studierendendatensatz wird auch ein Foto von Studierenden erstellt/verarbeitet. Da die Hochschule beispielsweise keine Anwesenheitsliste bei Lehrveranstaltungen führt, dient das Foto zur Identifikation einer studierenden Person. Die Verwendung des Fotos zum Zwecke der Identifikation der Studierenden durch die Lehrenden ist zulässig, solange ausschließlich dieser Zweck verfolgt und das Foto nicht anderweitig verwendet wird. Hinweis: Die meisten Hochschulen haben diese Art der Verarbeitung in einer entsprechenden Satzung über die Verarbeitung von personenbezogenen Daten geregelt.

Eine Zweckänderung bedarf einer entsprechenden Legitimation durch eine datenschutzrechtliche Rechtsgrundlage oder wiederum der Einwilligung von Betroffenen.

Es dürfen nur die Daten genutzt werden, die zum Erreichen des festgelegten Zwecks wirklich notwendig sind. Somit ist die Datenverarbeitung auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Kann der verfolgte Zweck nicht mit weniger Daten erreicht werden?

Beispiel für eine Datenminimierung:

Bleibt man bei dem oben aufgeführten Beispiel mit dem Foto in der Studierenden-Datenbank, muss sich die Hochschule die Frage stellen, ob ein Verarbeiten von Fotos der Studierenden wirklich zur Erreichung des festgelegten Ziels (Identifikation der Studierenden) notwendig ist, oder ob nicht eine Anwesenheitsliste während der Veranstaltung ebenso (einfach) den Zweck erfüllt. 

Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, sollen unverzüglich gelöscht werden.

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

Typisches Beispiel für eine Speicherbegrenzung:

Sobald Studierende die Hochschule verlassen (Exmatrikulation o.ä.) ist das Foto zu löschen.

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen, die insbesondere in Art. 32 DSGVO konkretisiert werden. Hier spielt die Datensicherheit einer Hochschule eine wichtige Rolle.

Beispiel für Integrität und Vertraulichkeit:

Das Foto im Hochschul-Management-System. Das Foto wird ausschließlich zur Identifizierung verwendet und darf nicht anderweitig verwendet werden. Technisch sollte die verwendete Software/Anwendung so eingestellt werden, dass jedwede Exportmöglichkeit ausgeschlossen ist. Auch die Zugriffsrechte der Hochschulmitarbeiter*innen auf die Fotos der Studierenden im Hochschul-Mamagement-System müssen entsprechend geregelt werden.

Art. 5 Absatz 2 DSGVO regelt eine Rechenschaftspflicht für Verantwortliche - wie die Hochschule. Danach muss eine Hochschule in der Lage sein, nachzuweisen, dass sie die o.g. Grundsätze der Datenverarbeitung einhält. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen eine Hochschule nachweisen können, dass sie sich an die DSGVO hält. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.

Betroffenenrechte

Nimmt eine Person ein Betroffenenrecht wahr und bittet die Hochschule bspw. um Auskunft ihrer bisweilen über sie verarbeiteten Daten, sollten umgehend die zuständigen Datenschutzkoordinatoren*innen involviert werden. Finden Sie hier die passenden Erläuterungen:

Das Recht, Auskunft darüber zu verlangen, ob und wie personenbezogenen Daten verarbeitet werden regelt Art. 15 DSGVO.

Dabei ist der Auskunftsanspruch von Betroffenden (bestehende oder ehemalige Beschäftigte, Angehörige der Hamburger Hochschulen und Externe, die für die Hamburger Hochschulen tätig sind oder waren) ein wesentliches Datenschutzrecht und ein wichtiger Bestandteil der Informationsfreiheit einer Person.

Immer wenn an Hamburger Hochschulen ein Antrag auf Auskunft von personenbezogenen Daten herangetragen wird, wird dieser an die/den behördliche*n Datenschutzbeauftragte*n der Hochschulen weitergeleitet. Dort wird der Antrag bearbeitet und die nötigen Schritte veranlasst. Die Kommunikation mit Antragstellenden erfolgt ausschließlich durch behördliche Datenschutzbeauftragte.

Das Recht, Auskunft darüber zu verlangen, ob und wie personenbezogenen Daten verarbeitet werden regelt Art. 15 DS-GVO.

Dabei ist der Auskunftsanspruch Betroffener (bestehende oder ehemalige Beschäftigte, Angehörige der Hamburger Hochschulen und Externe, die für die Hamburger Hochschulen tätig sind oder waren) ein wesentliches Datenschutzrecht und ein wichtiger Bestandteil der Informationsfreiheit.

Immer wenn an Hamburger Hochschulen ein Antrag auf Auskunft von personenbezogenen Daten herangetragen wird, wird dieser an die behördliche Datenschutzbeauftragte weitergeleitet. Dort wird der Antrag bearbeitet und die nötigen Schritte veranlasst. Die Kommunikation mit dem Antragsteller erfolgt ausschließlich durch die behördliche Datenschutzbeauftragte.

Art. 17 DSGVO regelt das Recht der betroffenen Person, dass Daten gelöscht werden, wenn einer oder mehrere der Gründe des Art. 17 Abs. 1 DSGVO vorliegen. Art. 17 Abs. 2 DSGVO bestimmt, dass bei einer Veröffentlichung der Daten durch den Verantwortlichen diesen auch die Pflicht trifft, im Rahmen des technisch machbaren, auch die Tilgung von personenbezogenen Daten, soweit sie einer Öffentlichkeit zugänglich gemacht wurden, z. B. im Internet, zu veranlassen.

Eine starre Löschfrist ist weder in der DSGVO noch in den deutschen Umsetzungsgesetzen vorgesehen. Vielmehr ist auf die Formulierung abzustellen, dass die Löschung „unverzüglich“ zu erfolgen hat.

Unverzüglich bedeutet „ohne schuldhaftes Zögern“, d. h. so schnell, wie es im Rahmen eines ordentlichen Geschäftsablaufes möglich ist und erwartet werden kann. Die Umsetzung des Begehrens der Betroffenen darf nicht länger als nötig hinausgezögert werden.

Art. 18 DSGVO gibt betroffenen Personen das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. Hierfür muss geprüft werden, ob einer oder mehrere der Gründe des Art. 18 Abs. 1 DSGVO vorliegen.

Ist dies der Fall, ist die Verarbeitung nach Maßgabe des Art. 18 Abs. 2 DSGVO nur noch mit Einwilligung des Betroffenen möglich, außer es handelt sich ausschließlich um die Speicherung oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz von anderen natürlichen oder juristischen Personen oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates.

Art. 19 DSGVO ordnet an, dass der Betroffene für den Fall, dass er in die Verarbeitung eingewilligt hat oder die Daten zur Vertragsabwicklung benötigt werden und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, von dem Verantwortlichen verlangen kann, dass dieser ihm oder einem anderen Verantwortlichen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt.

Wurden Daten auf Grund von Art. 6 Abs. 1 lit. e DSGVO verarbeitet, steht dem Betroffenen jederzeit das Recht nach Art. 21 Abs. 1 DSGVO zu, Widerspruch gegen die Verarbeitung einzulegen. Mit dem Widerspruch hat der Verantwortliche die Verarbeitung zu unterlassen, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen. Welche Gründe in Betracht kommen, ergibt sich aus dem Gesetz.

Datenpannen

Sollte es zu einer Datenpanne kommen, sind Präsident*innen von Hochschulen gewöhnlich dazu verpflichtet, die Panne an eine Datenschutzaufsichtsbehörde zu melden. Die Frist dafür ist kurz, nämlich binnen 72 Stunden. Ein gut koordinierter Ablauf ist daher ratsam. Wenden Sie sich bei (möglicher) Kenntnis über einen Vorfall umgehend an die Datenschutzkoordinatoren*innen oder Datenschutzbeauftragten Ihrer Hochschule. Zusätzlich hat eine Hochschule zu prüfen, ob sie den Vorfall auch den betroffenen Personen mitteilen muss. Die DSGVO regelt beides in Art. 33, 34.

Voraussetzungen der Meldepflicht

Präsident*innen von Hochschulen müssen einen Vorfall gegenüber der Datenschutzaufsichtsbehörde immer dann melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist und dies mit einem Risiko  für die Rechte und Freiheiten der Betroffenen verbunden ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:

  • zur Vernichtung
  • zum Verlust
  • zur Veränderung
  • zur unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier sollte in der Hochschule geregelt sein, nach welchen Kriterien die Prognose über die Auswirkungen der Datenpanne angestellt wird.

Beispiel für eine wahrscheinlich risikolose Datenverletzung

Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Geschäftpartner*innen für ein anstehendes Projekt. Die Empfänger*innen können jeweils auch die anderen Adressierten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Geschäftspartner*innen. Nach eingehender Prüfung stellt das Unternehmen fest, dass von dieser Datenschutzverletzung voraussichtlich keine Risiken für die Geschäftspartner*innen ausgehen, so dass es von einer Meldung an die Aufsichtsbehörden absieht.

Adressaten von Meldungen

Die Datenschutzverletzungen sind an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Bedeutet die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person, so muss sie ebenfalls darüber benachrichtigt werden (Art. 34 DSGVO). Ausnahmen davon sind in sogenannten Ausschlussgründen in Art. 34 Abs. 3 DSGVO geregelt. Nachstehend finden Sie eine Übersicht, welche Angaben die Hochschulen zusammentragen müssen.

Inhalt der Meldung

Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO folgendes enthalten:

  • Beschreibung der Datenpanne (für die betroffene Person in einfacher Sprache),
  • Namen und Kontaktdaten von Datenschutzbeauftragten oder einer anderen Anlaufstelle,
  • Beschreibung der wahrscheinlichen Folgen des Zwischenfalls,
  • Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung.

Meldefrist

Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen, nachdem die Verletzung bekannt geworden ist. Hält die Hochschule diese Frist nicht ein, muss sie diesen Umstand gut begründen (Art. 33 Abs. 1 DSGVO).

Datensicherheit

Sobald personenbezogene Daten verarbeitet werden, spielt die Datensicherheit eine große Rolle.

Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden. Vielmehr müssen Verantwortliche klären, wie sie Daten vor unbefugtem Zugriff durch Dritte, dem Verlust oder der Veränderung schützten.

Verantwortliche haben „geeignete technische und organisatorische Maßnahmen“ treffen, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich danach, wie hoch die Risiken der Datenverarbeitung sind (Art. 32 Abs. 2 DSGVO) Meint, welche Folgen einer betroffenen Person drohen, wenn die Daten verloren gehen oder unbefugte Dritte davon Kenntnis erlagen.

Die DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können (Art. 32 HS. 2). Hier eine Übersicht:

  • Pseudonymisierung und Verschlüsselung von Daten (lit. a)
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)
  • Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)

Die Anforderungen an die Datensicherheit richten sich nach Art und Umfang der einzelnen Datenverarbeitung und welche Risiken damit für Betroffene verbunden sind. Eine Abwägung im Einzelfall ist daher anzuraten.

Die Daten sollten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und anderen Zwischenfällen geschützt sein. Als Mindestmaß sollten Verantwortliche beispielsweise den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf den Computern installiert haben sowie die Kommunikation verschlüsseln.

Tipp: Generell hat die DSGVO den „risikobasierten Ansatz“ eingeführt. Dieser Ansatz stellt klar, dass sich der Aufwand für den Schutz der Daten im Verhältnis zum Risiko für die Betroffenen bewegen muss. Wer also viele und auch noch sensible Daten verarbeitet, hat natürlich höhere Pflichten etwa bei der IT-Sicherheit oder den Zugangskontrollen als ein*e Bäcker*in um die Ecke, die notieren, wer für nächsten Samstag wie viele Brötchen bestellt hat.

Stand: 08.05.2020