Datenschutzrechtliche Grundlagen
Die (datenschutz-)rechtliche Verantwortlichkeit für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz an der Jade Hochschule liegt beim Präsidium.
Die Einhaltung der datenschutzrechtlichen Bestimmungen ist überdies aber auch Verpflichtung und Verantwortung aller Mitglieder und Angehörigen der Hochschule.
Diese Website soll dazu dienen, den Mitgliedern und Angehörigen der Jade Hochschule die Grundlagen des Datenschutzrechts zu vermitteln, um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten.
Datenschutzziele
Die Datenschutzgrundverordnung (DSGVO) legt dem Verantwortlichem im Artikel 5 Absatz 2 eine sog. "Rechenschaftspflicht" auf. Das bedeutet, dass eine Verpflichtung besteht, die in Artikel 5 Absatz 1 DSGVO genannten Grundsätze einzuhalten und deren Einhaltung nachzuweisen.
Aus diesem Grund hat sich die Jade Hochschule als Verantwortliche die folgenden Datenschutz-Schutzziele gegeben.
- Zweckbindung/Datenminimierung: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen grundsätzlich nicht in einer mit diesen Zwecken nicht vereinbarenden Weise weiterverarbeitet werden. Sie müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
- Verfügbarkeit: Ein hohes Maß an Verfügbarkeit wird gewährleistet durch das leistungsoptimale Erbringen von erwünschten IT-Dienstleistungen eines Systems in der dafür vorgesehenen Zeit. Die Hard- und Software einschließlich der Daten stehen dann zur Verfügung, wenn sie tatsächlich gebraucht werden.
- Integrität: Die Nutzerinnen/Nutzer können sicher sein, dass die Daten richtig, d. h. inhaltlich korrekt und ebenso vollständig sind. Die jeweiligen Informationen werden dabei nur durch Befugte und gleichfalls nur in der dafür vorgesehenen Weise be- und verarbeitet.
- Authentizität: Die Empfängerin/der Empfänger kann zweifelsfrei sicher sein, dass eine Information tatsächlich von dem genannten Verfasser geschaffen und nicht durch Dritte gefälscht oder anderweitig verändert wurde.
- Verbindlichkeit/Revisionsfähigkeit: Die an einer Transaktion Beteiligten sind tatsächlich autorisiert und verfügen über keinerlei Mittel, ihre Beteiligung zu bestreiten. Über entsprechende (programmseitige) Dokumentationen ist es nachvollziehbar, wer zu welchem Zeitpunkt welche Änderung vorgenommen hat.
- Transparenz: Die einzelnen Verfahrensschritte während der Datenverarbeitung sind vollständig, aktuell und werden so dokumentiert, dass sie in zumutbarer Zeit ebenfalls nachvollzogen werden können.
Verantwortlichkeit
Verantwortlicher im Sinne der DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Sofern Mitglieder oder Angehörige der Jade Hochschule personenbezogene Daten erheben, bleibt es damit grundsätzlich bei der Verantwortlichkeit des Präsidiums der Jade Hochschule.
Allerdings ist die Einhaltung der datenschutzrechtlichen Bestimmungen obliegt der Verantwortung aller Mitglieder und Angehörigen der Jade Hochschule.
Daher hat jede Person, Stelle oder Institution der Jade Hochschule, die personenbezogene Daten verarbeitet, in eigener Verantwortung die Aufgaben und Pflichten zur Einhaltung der DSGVO, also insbesondere der Dokumentationspflichten zu erfüllen und auch im Rahmen der Rechenschaftspflicht nachzuweisen.
Da es jedoch offiziell (nach außen hin) bei der Verantwortlichkeit der Jade Hochschule bleibt, die auch in etwaigen Datenschutz-, Einwilligungserklärungen etc. angegeben werden muss, sprechen wir intern von sog. "Prozess- oder Facheignern". Das sind regelmäßig die projektleitenden Personen.
Das bedeutet, Leiterinnen und Leiter der jeweiligen Organisationseinheit oder des Projekts, für das personenbezogene Daten erhoben werden, müssen insbesondere ein Verzeichnis von Verarbeitungstätigkeiten (Intranet) erstellen, ggf. ein Datenschutzkonzept aufstellen und entsprechende Datenschutz- oder Einwilligungserklärungen entwerfen, sofern personenbezogene Daten verarbeitet werden.
Wann bin ich "gemeinsam verantwortlich" und was muss ich dann tun?
Die DSGVO kennt die so genannte "gemeinsame Verantwortlichkeit" für den Fall, dass zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
Das ist insbesondere dann der Fall, wenn zwei oder mehrere Personen, Einrichtungen, Behörde oder andere Stellen mit einer oder einem anderen gemeinsamen Daten verarbeiten wollen und hierfür über die Zwecke und Mittel der Verarbeitung entscheiden.
Eine sehr wichtige Rechtsprechung des EuGHs zum Thema der gemeinsamen Verantwortlichkeit versteckt sich in seinem Urteil vom 05.06.2018 hinter dem Aktenzeichen C-210/16. Hier hat der EuGH geurteilt, dass Betreiber von Facebook "Fanpages" und Facebook Ireland gemeinsame Verantwortliche sind. Sollten Sie in der Verantwortung der Jade Hochschule eine "Fanpage" auf Facebook betreiben (wollen), wenden Sie sich bitte an die Stabsstelle.
Pflichten gemeinsamer Verantwortlicher
Sofern eine gemeinsame Verantwortlichkeit vorliegt, muss nach Art. 26 Abs. 1 DSGVO eine Vereinbarung geschlossen werden, die "in transparenter Form [festlegt], wer von ihnen [den Verantwortlichen] welche Verpflichtung gemäß dieser Verordnung [der DSGVO] erfüllt, insbesondere was die Wahrnehmung der Rechte der Betroffenen angeht, und wer welchen Informationspflichten gemäß Art. 13 und 14 nachkommt [...]"
Personenbezogene Daten
Damit die richtigen datenschutzrechtlichen Maßnahmen ergriffen werden können, muss zunächst die Frage gestellt werden, ob bei dem geplanten Vorhaben überhaupt sog. "personenbezogene Daten" erhoben werden.
Denn wenn personenbezogene Daten erhoben werden, haben die betroffenen Personen, also diejenigen, deren personenbezogene Daten verarbeitet werden, bestimmte Rechte und der/die Verantwortliche/n bestimmte Pflichten.
Der Begriff der "Verarbeitung" umfasst dabei
- das Erheben,
- das Erfassen,
- die Organisation,
- das Ordnen,
- die Speicherung,
- die Anpassung oder Veränderung,
- das Auslesen,
- das Abfragen,
- die Verwendung,
- die Offenlegung durch Übermittlung,
- Verbreitung oder eine andere Form der Bereitstellung,
- den Abgleich oder die Verknüpfung,
- die Einschränkung,
- das Löschen oder die Vernichtung
von Daten.
Im Folgenden wird unter Aufzeigung einiger Beispiele erläutert, welche Kategorien personenbezogener Daten existieren und wie diese gesetzlich definiert sind.
Personenbezogene Daten im Allgemeinen
Der Begriff der personenbezogenen Daten wird in der Datenschutzgrundverordnung (DSGVO) im Artikel 4 Nr. 1 gesetzlich definiert.
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten
- alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen
(als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt - insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann)
- die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind."
Da die DSGVO von "allen Informationen" über eine Person spricht, ist der Begriff "personenbezogene Daten" sehr weit auszulegen.
Beispielsweise sind auch schriftliche Leistungen von Prüflingen dann personenbezogene Daten, wenn anhand der weiteren Angaben, die im Rahmen der Prüfung abgegeben wurden (bspw. über die Matrikelnummer), ein Rückschluss auf die Identität des Prüflings gezogen werden kann (Urteil des Europäischen Gerichtshofs vom 20.12.2017, Az.: C-434/16).
Somit ist auch eine indirekte Zuordnung kein Ausschluss des Merkmals der "Personenbezogenheit". Aus diesem Grunde führt auch eine sog. "Pseudonymisierung" nicht zum Wegfall des Personenbezugs.
Personenbezug kann auch mittels einer Kombination verschiedener Daten, die an sich keinen Personenbezug aufweisen würden, bestehen.
Beispielsweise ist beim Datum "Präsident" noch kein Personenbezug möglich, da es mehr als eine Person gibt, die diese Funktion oder Amtsbezeichnung innehat. Fügt man jedoch die jeweilige Institution hinzu, in diesem Beispiel "Jade Hochschule" ergibt sich die Datenkombination "Präsident, Jade Hochschule". Es liegt also aufgrund der Kombination der Datensätze ein Personenbezug vor. Denn nun kann aus den Daten eine Person identifiziert werden. Sie ist identifizierbar durch bloßes googlen oder das eigene Wissen. Daher würde in diesem Beispiel die DSGVO und das Niedersächsische Datenschutzgesetz (NDSG) zu beachten und einzuhalten sein.
Zu den typischen personenbezogenen Daten zählen
- Name
- Anschrift
- Telefonnummer
- Geburtsdatum
- Geschlecht
- E-Mail-Kontaktdaten
- Personalnummer
- Patientennummer
- Matrikelnummer
- Steueridentifikationsnummer
- Kontodaten
- Lichtbilder
- Videoaufnahmen
- Röntgenbilder
- Tonbandaufnahmen
- IP-Adressen
- Standortdaten
- Zeugnisse
Datenkategorien können z.B. sein:
- Kontaktdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummern)
- allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, etc.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, etc.)
- demografische Daten (Alter, Geschlecht)
- Bankverbindung
- Studierendendaten (Teilnahme an Veranstaltungen, Noten)
- Onlinedaten (IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, etc.)
- Besitzmerkmale (Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., etc.)
- Werturteile (Schulzeugnis, Arbeitszeugnis, etc.)
- sachliche Verhältnisse (Einkommen, Entgeltgruppe, Vermögen, Schulden, etc.)
Besondere Kategorien personenbezogener Daten
Weiterhin spricht die DSGVO im Artikel 9 noch von den sog. "besonderen Kategorien" personenbezogener Daten. Diese besonderen Kategorien personenbezogener Daten sind besonders sensibel und daher unter einen sehr viel strengeren Schutz als die "allgemeinen" personenbezogenen Daten gestellt.
Hierzu gehören Daten über:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder Weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Besonders hervorzuheben, weil deutliche Steigerung der Sensibilität:
- Daten zum Sexualleben oder der sexuellen Orientierung
Diese Daten betreffen Informationen über die Sexualität der betroffenen Person. Also ob eine Person hetero-, homo-, bi-, trans-, oder asexuell ausgerichtet ist. Ebenfalls fällt hierunter die Frage nach der Häufigkeit des Geschlechtsverkehrs der betroffenen Person, ob und welche Verhütungsmittel die betroffene Person einsetzt oder auch etwa nach dem Familienstand der betroffenen Person.
- genetische Daten
Darunter versteht die DSGVO nach Art. 4 Nr. 13 personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
- biometrische Daten
Hierunter versteht die DSGVO nach Art. 4 Nr. 14 personenbezogene Daten, die mit speziellen technischen Verfahren gewonnen wurden und eine eindeutige Identifizierung der Person durch physische, physiologische oder verhaltenstypische Merkmale dieser Person ermöglichen oder bestätigen.
Hierzu zählen insbesondere Gesichtsbilder oder daktyloskopische Daten.
- Gesundheitsdaten
Das sind nach Art. 4 Nr. 15 DSGVO solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person - einschließlich der Erbringung von Gesundheitsdienstleistungen - beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Zu diesen Gesundheitsdaten gehören insbesondere Informationen über:
- Erkrankungen
- chronische Erkrankungen
- Vorerkrankungen
- Gewicht
- Körperfettwerte
- Blutzuckerwerte
- Allergien
- Unverträglichkeiten
- Diagnosen
- Therapien und deren Verlauf
- Eingriffe
- Impfstatus
- Medikamentierung
- Röntgenbilder
- Notfalldaten
- Patientenverfügung
- Arztrechnungen, Arzttermine, Versichertenstatus
Umgang mit besonderen Kategorien personenbezogener Daten
Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt.
Ausnahmen dazu sieht der Katalog des Art. 9 Abs. 2 DSGVO vor. Danach dürfen diese besonderen personenbezogenen Daten insbesondere dann verarbeitet werden, wenn
- eine ausdrückliche Einwilligungserklärung abgegeben worden ist
- die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist
- die verarbeiteten personenbezogenen Daten von der betroffenen Person offensichtlich öffentlich gemacht wurden
Weiterhin sieht § 13 NDSG, welcher über Art. 6 Abs. 1 lit. e / Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 3 NDSG anwendbar ist, eine Ausnahme für den Fall vor, dass der Zweck der Datenverarbeitung ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben ist.
Rechtsgrundlagen
Um personenbezogene Daten rechtmäßig verarbeiten zu können, bedarf es einer Rechtsgrundlage.
Die beiden wichtigsten Rechtsgrundlagen sind die Einwilligung und die Wahrnehmung öffentlicher Aufgaben.
Übersicht der relevanten Rechtsgrundlagen
- Einwilligung - Art. 6 Abs. 1 lit. a DSGVO
- Einwilligung - Art. 9 Abs. 2 lit. a DSGVO
- Erfüllung einer rechtlichen Verpflichtung - Art. 6 Abs. 1 lit. c DSGVO
- Wahrnehmung öffentlicher Aufgaben - Art. 6 Abs. 1 lit. e DSGVO (siehe unten)
Einwilligung
Für die Verarbeitung allgemeiner personenbezogener Daten kommt als Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht.
Nach dieser Vorschrift muss die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben, damit die Einwilligung als Rechtsgrundlage genommen werden kann.
Besonderheiten bei besonderen Kategorien personenbezogener Daten
Sofern auch besondere Kategorien personenbezogener Daten verarbeitet werden, kommt als Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO in Betracht. Dabei muss die Einwilligung ausdrücklich erklärt werden. Das bedeutet, dass hier stillschweigende, konkludente Zustimmungen nicht mehr ausreichen. Weiterhin sollte konkret benannt werden, welche Daten genau verarbeitet werden und was deren Verwendungszweck sein soll. Hierbei ist stark anzuraten, eine schriftliche Einwilligungserklärung zur Unterschrift bereitzustellen bzw. bei elektronischen Einwilligungen, diese zu protokollieren.
Wenn die Rechtsgrundlage in der Einwilligung der betroffenen Person liegt, steht dieser jederzeit ein Widerrufsrecht zu, worüber diese zu informieren ist.
Der Begriff der "Einwilligung" wird im Art. 4 Nr. 11 näher konkretisiert als
- von der Person freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung
- in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung,
- mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Bestimmter Zweck
Weil sich die Einwilligung auf einen oder mehrere bestimmte Zwecke beziehen muss, müssen diese auch klar und transparent in der Einwilligungserklärung (oder ggf. bei Verweis entsprechend in der Datenschutzerklärung) niedergeschrieben werden. Mit der vorherigen Zweckfestlegung soll nämlich verhindert werden, dass die Einwilligung der betroffenen Person nachträglich erweitert werden.
- Da die Verarbeitung personenbezogener Zwecke im Bereich der wissenschaftlichen Forschung nicht immer vollständig angegeben werden kann, ist es den betroffenen Personen erlaubt, die Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung anzugeben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Deswegen müssen auf diesem Gebiet betroffene Personen die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen. (Erwägungsgrund 33 zur DSGVO)
Freiwilligkeit
Die Einwilligung muss freiwillig erfolgen, was in der Regel auch der Fall sein wird. Besondere Obacht ist in solchen Fällen von Nöten, bei denen die Einwilligung in die Verarbeitung von personenbezogenen Daten Vertragsbestandteil zur Erfüllung eines Vertrages sein soll. Hier dürfte es schwer werden, noch von einer Freiwilligkeit zu reden, wenn doch die betroffenen Person eine Vertragspflicht dazu hat. Auch wegen weiterer Zweifel an der Rechtmäßigkeit dieser Art Vereinbarung wird an dieser Stelle davon abgeraten, solche Verträge abzuschließen.
Freiwilligkeit besteht dann, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 zur DSGVO).
Sie soll regelmäßig dann nicht bestehen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere dann, wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es in Anbetracht alle Umstände im speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Das bedeutet, dass im Regelfall, sofern die Verantwortliche hoheitlich tätig wird, die stillschweigende Einwilligung der betroffenen Person nicht als gültige Rechtsgrundlage herangezogen werden kann, sodass eine andere Rechtsgrundlage (wie Art. 6 Abs. 1 lit. c DSGVO oder Art. 6 Abs. 1 lit. e DSGVO) gefunden werden muss.
- Aus diesem Grund von diesseits empfohlen, in etwaige Teilnehmerinformationen, als auch in die Einwilligungserklärung (oder Datenschutzerklärung) ausdrücklich und deutlich sichtbar niederzuschreiben, dass die erklärte Einwilligung freiwillig erfolgt.
Erklärung oder sonstige eindeutig bestätigende Handlung
Die Einwilligung muss grundsätzlich in irgendeiner Form äußerlich erkennbar sein. Das ist selbstverständlich dann der Fall, wenn die betroffene Person die Einwilligung schriftlich oder mündlich erklärt. Es besteht kein Formerfordernis für Einwilligungserklärungen, zur Sicherheit sollte jedoch nach Möglichkeit eine Unterschrift der betroffenen Person eingeholt werden.
Ebenfalls genügt es den Anforderungen an eine "sonstige eindeutig bestätigende Handlung", wenn beim Besuch einer Website ein Kästen angeklickt wird (sog. Opt.Out-Verfahren, bei denen das Kästen schon beim Aufruf der Seite vorangekreuzt ist, sind nicht zulässig), solange dadurch verständlich ist, dass die betroffene Person dabei in die Datenverarbeitung einwilligt.
Sofern der elektronische Weg gewählt und im Wege dessen die betroffene Person zu einer Einwilligung aufgefordert wird, sollte beachtet werden, dass diese Aufforderung in möglichst klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen soll.
Bestimmtheit
Die Einwilligung muss ausreichend bestimmt sein. Die betroffene Person muss wissen, welche sie betreffende personenbezogene Daten zu welchem Zweck von wem verarbeitet und gegebenenfalls, an wen sie noch weitergegeben werden sollen. Daher sollte auch stets im Rahmen der Einwilligungserklärung (respektive Datenschutzerklärung) angegeben werden, dass, oder dass nicht Daten an Dritte oder Drittländer weitergegeben werden.
Informiertheit
Die betroffene Person muss alle notwendigen Informationen erhalten, um Ihre Entscheidung über das Ob der Einwilligung treffen zu können. Dabei sollte davon auszugehen sein, dass die betroffene Person den Inhalt und die Tragweite der Erklärung anhand der Informationen erfassen kann. Daher sollten die Information möglichst klar, transparent, verständlich und geordnet zur Verfügung stehen. Die Schrift sollte gut lesbar und der Inhalt zusammenhängend und die Textpassagen aufeinander aufbauen gestaltet sein.
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
Die DSGVO sieht im Art. 6 Abs. 1 lit. e eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wenn diese erforderlich ist, um eine Aufgabe öffentlichen Interesses wahrzunehmen. Die Rechtsgrundlage wird dabei nach Art. 6 Abs. 3 DSGVO nach dem "Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt", also den Bundes- und Landesgesetzen festgelegt.
Das Niedersächsische Datenschutzgesetz (NDSG) ergänzt Art. 6 Abs. 1 lit. e im § 3 NDSG. Danach ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Erfüllung einer in der Zuständigkeit der Verantwortlichen liegenden Aufgabe erforderlich ist.
Welche Aufgaben des öffentlichen Interesses nun zur Erfüllung in der Zuständigkeit der Mitglieder und Angehörigen der Jade Hochschule liegen, steht insbesondere im Niedersächsischen Hochschulgesetz (NHG).
Sofern also eine Verarbeitung auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. e DSGVO gestützt werden soll, sind § 3 NDSG und die jeweilige besondere Vorschrift aus dem NHG oder einem anderen Gesetz ebenfalls in der Datenschutz- oder Einwilligungserklärung anzuführen. Nur so wird die betroffene Person ausreichend und bestimmt genug informiert.
So sieht § 13 NDSG, welches über Art. 6 Abs. 1 lit. e / Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 3 NDSG anwendbar ist, die Datenverarbeitung für ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben vor. Sofern besondere Kategorien personenbezogener Daten erhoben werden, muss der Weg über Art. 9 DSGVO gehen. Die Normenkette wäre dann also entweder:
- Art. 6 Abs. 1 lit. e DSGVO i.V.m. §§ 3 S. 1 Nr. 1, 13 NDSG oder
- Art. 9 Abs. 2 lit. j DSGVO i.V.m. §§ 3 S. 1 Nr. 1, 13 NDSG
Eine Rechtgrundlage zur Verarbeitung personenbezogener Daten benötigt man auch, wenn diese pseudonymisiert sind. Lediglich bei anonymisierten Daten (kann z.B. auch durch ausreichende Aggregation erzielt werden) greifen die strengen Vorschriften der DSGVO nicht mehr.
Pseudonymisierung, Aggregation, Anonymisierung
Was ist "Pseudonymisierung"?
Pseudonymisiert sind die Daten dann, wenn sie ohne Hinzuziehung zusätzlicher Informationen einer bestimmten Person nicht mehr zugeordnet werden können. Dies lässt sich insbesondere dadurch erreichen, dass der Name der betroffenen Person durch ein Kennzeichen ersetzt wird.
Der Begriff wird in der DSGVO im Artikel 4 Nr. 5 legal definiert. Danach ist "Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;"
Es ist auf mannigfaltige Weise möglich, Daten zu pseudonymisieren. Letztlich wird es immer darum gehen, ein Pseudonym festzulegen, sodass eine Zuordnung zu der betroffenen Person von der datenverarbeitenden Stelle nicht mehr möglich ist, jedoch bestimmte Personen weiterhin Zugriff auf einen "Schüssel" haben, um dem Pseudonym eine identifizierbare Person zuordnen zu können.
Die Zuweisung eines Pseudonyms kann durch folgende Personen erfolgen:
- durch den Verantwortlichen selbst
- durch einen Dritten
- durch die betroffene Person selbst mittels einer selbst frei gewählten Kennziffer
Was ist "Aggregation"?
Aggregierte Daten sind solche, bei denen zum Beispiel Daten verschiedener Personen zusammengeführt wurden, und somit eine "Datengruppe" entstanden ist. Dies führt jedoch nicht zwingend schon zu einer Anonymisierung.
Es kann zwar passieren, dass durch eine Aggregation tatsächlich ein Personenbezug nicht mehr herstellbar ist, sodass die Daten dann zeitgleich auch anonymisiert sind und daher nicht mehr unter den Schutz des datenschutzrechtlichen Regelungen fallen.
Dies ist jedoch nicht zwangsläufig bei jeder Aggregation der Fall. Hier bleibt es eine Frage des Einzelfalls, ob die Aggregation zu einer Anonymisierung führt, oder weiterhin pseudonymisierte/personenbezogene Daten vorliegen.
Was ist "Anonymisierung"?
Anonyme bzw. Anonymisierte Daten fallen nicht unter die Regelungen der DSGVO.
Anders, als es das Wort vermuten lässt, liegt eine Anonymität nicht bereits dann vor, wenn keine Namen erhoben oder Namen nachträglich gelöscht werden. Vielmehr soll nach der ideellen Vorstellung des Gesetzgebers bei anonymisierten Daten keinerlei Personenbezug der Daten vorhanden sein. Das wäre bei der bloßen Löschung des Namens der betroffenen Person nicht unbedingt der Fall, wenn sie anhand der weiteren Daten trotzdem noch identifizierbar bleibt.
Die DSGVO spricht ihren Regelungen nicht von "anonymisierten Daten". Allerdings findet dieser Begriff Eingang im Erwägungsgrund 26 zur DSGVO.
Danach heißt es im Satz 5 u. 6: "Die Grundsätze des Datenschutzes sollten [...] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke."
Die DSGVO geht demnach von einem Begriff der Anonymisierung aus, nach dem keinerlei Personenbezug mehr vorhanden sein darf.
In Zeiten vor der DSGVO, war das BDSG aF anwendbar. Hier war noch vorgesehen, dass auch dann noch von einer Anonymisierung gesprochen werden kann, wenn die Daten nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet (faktische Anonymität) werden können. Dieses Merkmal ist nun (wohl) nicht mehr ausschlaggebend. Oder jedenfalls ist und sollte der Aufwand, um eine Zuordnung zur Person herzustellen nicht das primäre Merkmal sein, um zu entscheiden, ob von einer Anonymisierung gesprochen werden kann, oder nicht. Letztlich wird auch hier eine einzelfallbezogene Prüfung notwendig sein. Einschlägige Rechtsprechung hierzu lässt auf sich warten.
Von einer vollständigen (absoluten) Anonymisierung kann also in bestimmten Fällen nicht auszugehen sein. Das auch in Fällen, in denen die datenverarbeitende Stelle selbst eigentlich keinen Personenbezug mehr herstellen kann. Denn immerhin kann oftmals nicht ausgeschlossen werden, dass die betroffene Person nicht selbst noch einen Personenbezug zu sich selbst herstellen kann. Ebenso wenig kann oftmals nicht ausgeschlossen werden, dass ein Personenbezug mit aufwändiger Recherchearbeit nicht doch irgendwie vollzogen werden kann. Umso wichtiger wird es, konkret zu benennen, wie im Detail eine Anonymisierung erzielt werden soll, um zu eruieren, ob dadurch tatsächlich kein Personenbezug mehr hergestellt werden kann. Eine Formel dazu gibt es leider (noch) nicht.
Informationspflichten
Der Verantwortliche muss die betroffene Person zu einem bestimmten Zeitpunkt spätestens über die Datenverarbeitungsvorgänge informieren.
Dabei wird unterschieden, ob die Daten bei der betroffenen Person selbst erhoben wurden (Art. 13 DSGVO) oder ob die Daten nicht bei der betroffenen Person erhoben, sondern aus einer anderen Quelle als der Direkterhebung stammen (Art. 14 DSGVO).
Informationspflichten nach Art. 13 DSGVO
Wenn personenbezogene Daten verarbeitet werden, muss die betroffene Person spätestens bei Erhebung der personenbezogenen Daten über bestimmte Aspekte der Datenverarbeitung informiert werden.
Sofern die Daten bei der betroffenen Person selbst erhoben werden, gilt Art. 13 DSGVO.
Danach muss die Person informiert werden über:
- Namen und Kontaktdaten der Verantwortlichen (also des Präsidiums der Jade Hochschule)
- Kontaktdaten der Datenschutzbeauftragten der Jade Hochschule
- Den Zweck / die Zwecke der Verarbeitung
- Rechtsgrundlage/n der Verarbeitung
- Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
- Betroffenenrechte
- Beschwerderecht bei einer Aufsichtsbehörde
- Bestehen einer automatisierten Entscheidungsfindung - einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik und Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person
- ggf. berechtigte Interessen durch die Verantwortliche oder einen Dritten
- ggf. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- ggf. Beabsichtigung einer Übermittlung der Daten in einen Drittstaat (Außerhalb der EU)
- ggf. über die Widerrufbarkeit einer erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- ggf. Verpflichtung der betroffenen Person zur Bereitstellung personenbezogener Daten
Informationspflichten nach Art. 14 DSGVO
Wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden (etwa im Falle einer Übermittlung von einem Dritten), greift Art. 14 DSGVO.
Die betroffene Person muss dann zeitlich:
- innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens innerhalb eines Monats
- sofern die Daten zur Kommunikation mit der betroffenen Person verwendet werden, spätestens zum Zeitpunkt der ersten Mitteilung an sie
- sofern Offenlegung an einen anderen Empfänger vorgesehen ist, spätestens zum Zeitpunkt der ersten Offenlegung
informiert werden.
Die betroffene Person muss informiert werden über:
- Namen und Kontaktdaten der Verantwortlichen
- Kontaktdaten der Datenschutzbeauftragten der Jade Hochschule
- Den Zweck / die Zwecke der Verarbeitung
- Rechtsgrundlage/n der Verarbeitung
- Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
- Betroffenenrechte
- Beschwerderecht bei einer Aufsichtsbehörde
- Quelle, aus der die Daten stammen (ggf. ob sie aus öffentlich zugänglichen Quellen stammen)
- Bestehen oder Nichtbestehen einer automatisierten Entscheidungsfindung - einschließlich Profiling und ggf. aussagekräftige Informationen über die involvierte Logik und Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person
- ggf. berechtigte Interessen durch die Verantwortliche oder einen Dritten (Art. 6 Abs. 1 lit. f DSGVO)
- ggf. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe an Dritte)
- ggf. Beabsichtigung einer Übermittlung der Daten in einen Drittstaat (Außerhalb der EU)
- ggf. über die Widerrufbarkeit einer erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- ggf. Verpflichtung der betroffenen Person zur Bereitstellung personenbezogener Daten
Die Informationspflichten sind in klarer und verständlicher Sprache zu formulieren. Noch offen: Eine Vorlage
Betroffenenrechte
Die Datenschutzgrundverordnung (DSGVO) regelt in ihrem dritten Kapitel die Rechte der von der Verarbeitung von personenbezogenen Daten betroffenen Personen. Die Wahrung dieser Rechte ist Aufgabe und Verpflichtung des Präsidiums, welches hierbei vom Datenschutzmanagement unterstützt wird.
Als von der Datenverarbeitung Betroffene/r haben Sie die folgenden Rechte:
- Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Automatisierte Entscheidung im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
- Widerrufsrecht (Art. 7 Abs. 3 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Verzeichnis von Verarbeitungstätigkeiten
Nach Artikel 30 Absatz 1 der Europäischen Datenschutzgrundverordnung (DSGVO) hat jeder Verantwortlicher ein Verzeichnis aller (automatisierten sowie nicht automatisierten) Verarbeitungstätigkeiten von personenbezogenen Daten, die ihrer Zuständigkeit unterliegen, zu führen und dieses aktuell zu halten. Hierfür ist es erforderlich, dass alle Organisationseinheiten der Jade Hochschule eine Beschreibung der in ihrem Bereich stattfindenden Verarbeitungstätigkeiten erstellen und deren Aktualität regelmäßig überprüfen.
In dieser ist u.a. zu dokumentieren, welche personenbezogenen Daten auf welcher Grundlage wie verarbeitet werden und welche technischen und organisatorischen Maßnahmen getroffen werden, um den Datenschutz und die Datensicherheit zu gewährleisten.
Nach der Freigabe durch ersteller wird die Beschreibung der Verarbeitungstätigkeiten für eine Beratung/Überwachung und für eine im Rahmen der sogenannten Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ggf. erforderlichen Risikoanalyse an die Stabstelle Datenschutzmanagement übermittelt.
Die Beschreibungen der Verarbeitungstätigkeiten an der Jade Hochschule werden digital erfasst. Die Erfassugnsmaske ist aufgrund der Empfehlung von Landesbeauftragte für den Datenschutz (Nds.) erstellt worden. Allgemeine Hinweise dazu finden Sie in den Anmerkungen der Landesbeauftragten für den Datenschutz. Für Rückfragen stehen Ihnen die Referentin für Datenschutzmanagement sowie die behördlichen Datenschutzbeauftragten gerne zur Verfügung.
Anmerkung:
"Der Verantwortliche" im Sinne der DSGVO ist immer die Jade Hochschule, vertreten durch das Präsidium. Daher sprechen wir intern zusätzlich von Prozesseignern bzw. fachlich Verantwortlichen, die für die Datenverarbeitungsprozesse in Ihrem Bereich zuständig sind. Gemeint sind damit die Personen, die einen Datenverarbeitungsprozess veranlassen oder leiten - also häufig Abteilungsleiter, Projektleiter o.ä.
Zum Verzeichnis von Verarbeitungstätigkeiten der Jade Hochschule.
Auftragsverarbeitung
Immer dann, wenn der Verantwortliche selbst keine Daten verarbeitet, sondern dies durch einen anderen machen lässt, liegt eine Auftragsverarbeitung vor.
Ein "Auftragsverarbeiter" ist nach Artikel 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Was bei dem Einsatz eines Auftragsverarbeiters zu beachten ist, steht in den Artikeln 28 ff. DSGVO.
Die wichtigsten Verpflichtungen und Verantwortungen des Auftragsverarbeiters sind:
- Weisungsgebundenheit aus Art. 29 DSGVO
- Führung eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO
Es bedarf einer Grundlage, um eine Auftragsverarbeitung durchzuführen.
In den meisten Fällen erfolgt die Auftragsverarbeitung durch einen Vertrag gemäß Art. 28 Abs. 3 DSGVO.
Hierin sind jedoch einige Vereinbarungen zu treffen. Zu den Mindestanforderungen bei einem solchen Auftragsverarbeitungsvertrag zählen die folgenden Verpflichtungen des Auftragsverarbeiters:
- Verarbeitung personenbezogener Daten nur auf dokumentiere Weisung des Verantwortlichen
- Verpflichtung zur Vertraulichkeit / Auftragsvererbeiter unterliegt einer angemessenen gesetzlichen Verschwiegenheitspflicht
- Gewährleistung des Art. 32 DSGVO
- Einhaltung von Art. 28 Abs. 2 u. 4 bei Einsatz eines weiteren (Unter-)Auftragsverarbeiters
- Unterstützung des Verantwortlichen bei Einhaltung der Art. 32 - 36
- Löschung / Zurückgabe und Löschung der Kopien aller personenbezogenen Daten nach Erbringung der Verarbeitungstätigkeit
- Zurverfügungstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der o.g. Pflichten
- Gewährleistung von Überprüfungen - einschließlich Inspektionen - durch den Verantwortlichen oder eine von diesem beauftragte Person
- Unverzügliche Meldung an den Verantwortlichen, wenn eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Regelungen nach Auffassung des Auftragsverarbeiters verstößt
Es ist also einiges zu beachten, wenn man einen sog. "Auftragsverarbeitungsvertrag" (AVV) schließen möchte.
Häufig sollte ein Dienstleistungsvertrag mit einem sogenannten Auftragsverarbeitungsvertrag vervollständigt werden. Die Vorgehensweise hierfür kann im Prozessportal der Jade Hochschule eingesehen werden.