„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (vgl. Art. 4 Nr. 1 DSGVO). Dies sind beispielsweise der Name, das Geburtsdatum oder die IP-Adresse einer Person.

Damit eine Person „identifizierbar“ ist, ist jedoch nicht zwangsläufig die Erhebung des Namens und der Adresse erforderlich. Es ist ausreichend, wenn durch die Kombination verschiedener Informationen eine Person identifiziert werden kann.

Zum Beispiel stellen für die Studierende A „Studiengang“, „Alter“ und „Haarfarbe“ personenbezogene Daten der Studierenden B dar, wenn die Studierende A durch Kombination der Informationen die Studierende B identifizieren kann.

Unter „Verarbeitung“ fällt jeder Vorgang im Zusammenhang mit personenbezogenen Daten (vgl. Art. 4 Nr. 2 DSGVO). Darunter fallen zum Beispiel 

• die Erhebung, 

• Erfassung, 

• Organisation, 

• Speicherung, 

• Anpassung, 

• Veränderung, 

• Übermittlung, 

• Löschung und 

• Vernichtung 

von personenbezogenen Daten.

Personenbezogene Daten können derart verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer Person zugeordnet werden können. Dabei müssen diese zusätzlichen Informationen getrennt von den Daten aufbewahrt werden und es muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass eine Zuordnung nicht erfolgt (vgl. Art. 4 Nr. 5 DSGVO). In diesem Fall handelt es sich um pseudonyme Daten. Da durch Hinzuziehung der zusätzlichen Informationen die Person wieder identifiziert werden kann, handelt es sich bei pseudonymen Daten um personenbezogenen Daten. Daher sind auch bei der Verarbeitung von pseudonymen Daten die datenschutzrechtlichen Bestimmungen einzuhalten. 

Die Verarbeitung von anonymen Daten, dh Daten bei denen ein Personenbezug nicht mehr oder nur mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann¹, unterliegt hingegen keinen datenschutzrechtlichen Beschränkungen. 

Informationen darüber wie man richtig anonymisiert, finden Sie

___

¹ vgl. Laue/Nink/Kremer, in: Laue/Nink/Kremer Datenschutzrecht in der betrieblichen Praxis, 3. Auflage, 2024, § 1 Rn 16

„Verantwortlicher“ ist jede natürliche Person oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Zum Beispiel sind wir als Hochschule verantwortlich für die Verarbeitung der personenbezogenen Daten unserer Beschäftigten. Während Studierende beispielsweise für die Erhebung von personenbezogenen Daten im Rahmen ihrer Bachelor- oder Masterarbeit selbst verantwortlich sind. 

Entscheiden mehrere gemeinsam über die Zwecke und Mittel der Datenverarbeitung, liegt eine „gemeinsame Verantwortlichkeit” vor (z.B. bei einer Forschungskooperation). In diesem Fall müssen die gemeinsam Verantwortlichen eine Vereinbarung gem. Art. 26 DSGVO treffen. 

Für Beschäftigte: Für uns als Hochschule wird diese Vereinbarung durch das Rektorat geschlossen. Unser Datenschutzbeauftragte (DSB) berät Sie dabei gerne. 

Personenbezogene Daten dürfen verarbeitet werden, wenn mindestens eine der nachfolgenden Rechtsgrundlagen vorliegt:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der Person, deren Daten verarbeitet werden (Eine Vorlage samt Ausfüllhinweise finden Sie hier LINK) 

• Art. 6 Abs. 1 lit. b DSGVO: die Datenverarbeitung erfolgt in Erfüllung eines Vertrages mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen

• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung einer gesetzlichen Verpflichtung 

• Art. 6 Abs. 1 lit. d DSGVO: Schutz lebenswichtiger Interessen

• Art. 6 Abs. 1 lit. e DSGVO: die Datenverarbeitung ist erforderlich zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (z.B. § 13 LDSG, § 12 LHG iVm Hochschul-Datenschutzsatzung) oder in Ausübung öffentlicher Gewalt

• Art. 6 Abs. 1 lit. f DSGVO: Überwiegende berechtigte Interessen des Verantwortlichen (! Da die Hochschule eine öffentliche Stelle ist, können sich Beschäftigte der Hochschule bei Ausübung ihrer Tätigkeit nicht auf diese Rechtsgrundlage stützen)

   

Für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. ethnische Herkunft, Religionszugehörigkeit) müssen zusätzlich die Bestimmungen des Art. 9 DSGVO eingehalten werden.

Bei der Verarbeitung personenbezogener Daten sind verschiedene Grundsätze zu beachten (Art. 5 DSGVO):

• Rechtmäßigkeit - Die Datenverarbeitung muss auf eine gestützt werden 

• Verarbeitung nach Treu und Glauben - Die Betroffenen dürfen bei der Datenverarbeitung nicht in die Irre geführt werden 

• Transparenz - Die Betroffenen müssen über die Datenverarbeitung informiert werden 

• Zweckbindung - Die Daten dürfen nur für den von der Rechtsgrundlage vorgegebenen Zweck verarbeitet werden

• Datenminimierung - Es dürfen nur die Daten verarbeitet werden, die zur Erfüllung des Zwecks erforderlich sind

• Richtigkeit - Die verarbeiteten Daten müssen richtig sein 

• Speicherbegrenzung - Die Daten dürfen nur so lange verarbeitet werden, wie es zur Erfüllung des Zwecks erforderlich ist

• Integrität und Vertraulichkeit - Die Daten dürfen nicht unerlaubt verändert oder anderen Personen offengelegt werden 

• Rechenschaftspflicht - Die verantwortliche Person oder Stelle muss die Einhaltung der datenschutzrechtlichen Bestimmungen nachweisen können (Dokumentationspflicht, siehe „

Soweit jeweils die gesetzlichen Voraussetzungen vorliegen, haben Betroffene (Personen, deren personenbezogene Daten verarbeitet werden) gegenüber dem Verantwortlichen folgende Rechte: 

• Sie haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO) und/oder unrichtig gespeicherte Daten berichtigen zu lassen (Art. 16 DSGVO).
• Sie haben darüber hinaus das Recht auf Löschung, sofern keine Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO, § 10 LDSG BW).
• Zudem haben sie ein Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO).
• Ebenso haben sie das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO).
• Außerdem haben sie das Recht auf jederzeitigen Widerruf ihrer Einwilligung für die Verarbeitung der Daten, die aufgrund ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erhoben wurden. Allerdings berührt der Widerruf nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO). 

• Ebenso haben sie ein Widerspruchsrecht gegen die Verarbeitung der Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO verarbeitet werden (Art. 21 DSGVO).

   

Möchten Betroffene von einem Ihrer oben stehenden Rechte Gebrauch machen, müssen sie sich an den für die Datenverarbeitung Verantwortlichen wenden. Werden die Daten beispielsweise durch uns als Hochschule verarbeitet, können sich Betroffene an wenden. 

• Zudem haben Betroffene das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Rechtsvorschriften verstößt. In Baden-Württemberg ist das der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI).

„Technische und organisatorische Maßnahmen“ (sog. „TOMs“) sind Maßnahmen, die der Verantwortliche trifft, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können (vgl. Art. 24 DSGVO). Solche Maßnahmen können zum Beispiel die Pseudonymisierung und Verschlüsselung personenbezogener Daten und die Einrichtung von Zugangskontrollen sein.

 Diese Maßnahmen müssen regelmäßig überprüft und aktualisiert werden. 

Eine „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu verarbeiteten personenbezogenen Daten führt (vgl. Art. 4 Nr. 12 DSGVO). Dies kann beispielsweise bei Verlust eines Laptops in der Bahn oder einem Versenden einer E-Mail an falsche Empfänger der Fall sein. 

Wenn eine Datenschutzverletzung vorliegt, kann der Verantwortliche bzw. die verantwortliche Stelle unter bestimmten Umständen verpflichtet sein, die Verletzung der Aufsichtsbehörde zu melden und die Betroffenen zu benachrichtigen (vgl. Art. 33 DSGVO). 

In einem Verarbeitungsverzeichnis (sog. „VVT”) werden alle verschiedenen Verarbeitungstätigkeiten des Verantwortlichen aufgeführt und z.B. der jeweilige Verarbeitungszeck und die Kategorien der Personen, deren Daten verarbeitet werden, angegeben. 

Das Verzeichnis muss vom Verantwortlichen erstellt werden und dient zum Nachweis der Einhaltung der DSGVO (vgl. Art. 30 DSGVO). 

Eine „Auftragsverarbeitung“ liegt vor, wenn eine Person oder eine Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (vgl. Art. 4 Nr. 8, 28 DSGVO). Die Entscheidung über die Zwecke und Mittel der Datenverarbeitung verbleibt dabei beim Verantwortlichen. Der Auftragsverarbeiter handelt weisungsgebunden.

Eine Auftragsverarbeitung liegt zum Beispiel in der Regel vor, wenn ein externer Dienstleister das Hosting oder die IT-Wartung für den Verantwortlichen übernimmt.

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss gem. Art. 28 DSGVO ein Auftragsverarbeitungsvertrag (sog. „AV-Vertrag") geschlossen werden, in dem die Art und Weise der Datenverarbeitung (z.B. Dauer, Art, Zweck, …) geregelt werden. 

Für Beschäftigte: Für uns als Hochschule wird dieser Vertrag durch das Rektorat geschlossen. Unser Datenschutzbeauftragte (DSB) hilft Ihnen dabei gerne.