Grundlegendes zum Datenschutz
Auf den Seiten unseres Datenschutzrechtportals wollen wir Ihnen einen Überblick über die wichtigsten datenschutzrechtlichen Grundsätze, Regeln und Problemfelder geben und für Sie wichtige Informationen, Musterdokumente, Formulare etc. zum Datenschutzrecht an der Uni Bremen zur Verfügung stellen. Zudem sind hier interaktive Online-Schulungen zum Datenschutz, die speziell auf den universitären Bereich angepasst wurden, für Mitarbeitende der Uni Bremen aufrufbar.
Als Einstieg in das Thema finden Sie nachfolgend die wichtigsten allgemeinen Informationen zum Datenschutzrecht.
Das Datenschutzrecht legt die Spielregeln für den Umgang mit personenbezogenen Daten fest, d. h. es befasst sich mit der Frage, ob, in welchem Umfang und durch wen Daten, die einer bestimmten natürlichen Person zugeordnet werden können, verarbeitet werden dürfen. Es findet somit immer dann Anwendung, wenn personenbezogene Daten eines lebenden Menschen verarbeitet werden.
„Personenbezogene Daten“ sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, d.h. Daten sind personenbezogen, wenn die datenverarbeitende Stelle über eine Zuordnungsmöglichkeit der Daten zu der betroffenen Person verfügt. Dies ist immer gegeben bei Klardaten wie Klarnamen, personalisierten E-Mail-Adressen oder Foto- oder Videoaufnahmen, auf denen Personen zu erkennen sind. Aber auch bei Informationen mit Daten, die für sich gesehen nicht personenbezogen sind, ist es möglich, dass die Informationen einen Personenbezug aufweisen, nämlich dann, wenn sie bei einer Gesamtbetrachtung eine Person so konkret umschreiben, dass eine Identifizierung der Person dahinter für andere möglich ist. Firmendaten oder Daten von Verstorbenen werden nicht vom Datenschutzrecht geschützt. Wird der Personenbezug bei personenbezogenen Daten vollständig entfernt oder ist eine Re-Identifizierung der dahinterstehenden Person und damit die Herstellung eines Personenbezugs nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft möglich, spricht man von anonymen Daten und das Datenschutzrecht findet keine Anwendung mehr.
Der Begriff "Verarbeiten" ist weit auszulegen und umfasst quasi jeden Vorgang im Zusammenhang mit personenbezogenen Daten, z. B. das Erheben, die Anpassung, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung sowie das Löschen der Daten. Ausgenommen sind nur nicht-automatisierte Datenverarbeitungen, d. h. Verarbeitungen, die ohne Hilfe technisierter/computerisierter Datenverarbeitungsanlagen vorgenommen werden und die nicht anschließend in einem strukturierten Dateisystem gespeichert werden.
Das in Deutschland geltende Datenschutzrecht ist seit der großen Reform des Datenschutzrechts 2018 hauptsächlich in der Datenschutz-Grundverordnung der EU (kurz: DSGVO) geregelt, die in allen Ländern der EU wortgleich gilt. Je nachdem, wer die personenbezogenen Daten verarbeitet und um welche Daten es geht, finden zusätzlich noch weitere nationale Sonder- und Spezialgesetze Anwendung: So sind von Behörden und öffentlichen Stellen des Landes Bremen (und damit auch von der Universität Bremen) bei der Datenverarbeitung zusätzlich noch die Spezialregelungen des Bremischen Ausführungsgesetz zur EU-Datenschutz-Grundverordnung (kurz: BremDSGVOAG) zu beachten. Zudem finden für Datenverarbeitungen an der Uni Bremen § 11 des Bremischen Hochschulgesetzes und die Satzung der Universität Bremen über die Erhebung und Verarbeitung von personenbezogenen Daten (DV-Satzung) Anwendung. Das heutige Bundesdatenschutzgesetz hingegen gilt regelmäßig nur für private Unternehmen.
1. Verbot mit Erlaubnisvorbehalt (Rechtmäßigkeitsgrundsatz)
Die Verarbeitung personenbezogener Daten unterliegt dem sog. Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies eine gesetzliche Regelung erlaubt (oder anordnet) oder die betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat.
2. Zweckbindungsgrundsatz
Die Verarbeitung personenbezogener Daten unterliegt zudem dem Zweckbindungsgrundsatz. Hiernach dürfen personenbezogene Daten nur für die Zwecke verarbeitet werden, für die sie zuvor erhoben worden sind. Sollen personenbezogene Daten zu einem anderen Zweck verarbeitet werden, ist dies grundsätzlich nur zulässig, wenn hierfür eine Rechtsgrundlage in Form einer Einwilligung oder einer gesetzlichen Erlaubnisnorm vorliegt (siehe oben Verbot mit Erlaubnisvorbehalt).
3. Transparenzgrundsatz
Nach dem Transparenzgrundsatz muss die Datenverarbeitung für die betroffene Person transparent und nachvollziehbar sein. Die betroffenen Personen sind daher umfassend und transparent über die beabsichtigte Datenverarbeitung zu informieren. Dabei sollten den betroffenen Personen u.a. folgende Informationen zur Verfügung gestellt werden:
- Wer ist für die Verarbeitung der Daten verantwortlich?
- Welche Datenkategorien werden verarbeitet?
- Zu welchem Zweck werden die Daten verarbeitet?
- Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung?
- Wie lange werden die Daten gespeichert?
- An wen werden die Daten intern und extern weitergeben?
- Welche Rechte haben die betroffenen Personen?
- Die Kontaktdaten der/s Datenschutzbeauftragten
Die Informationspflicht entfällt jedoch, wenn und soweit die Datenverarbeitung den betroffenen Personen bekannt ist.
4. Grundsatz der Datenminimierung und Datenlöschung
Von zentraler Bedeutung sind außerdem die Grundsätze der Datenminimierung und der Speicherbegrenzung. Hiernach ist die Datenverarbeitung so zu organisieren, dass nur die personenbezogenen Daten verarbeitet werden, die auch tatsächlich für die konkrete Verarbeitungstätigkeit erforderlich sind. Zudem sind personenbezogene Daten grundsätzlich zu löschen, wenn sie für den Zweck für den sie erhoben worden sind, nicht mehr erforderlich sind. Ausnahmsweise können diese weiter aufbewahrt werden, wenn dies gesetzlich gefordert wird (z.B. für die Dauer von gesetzlichen Aufbewahrungsfristen oder wenn dies vom Bremer Archivgesetz gedeckt ist) oder die betroffene Person hierin freiwillig eingewilligt hat. Weiterführende Informationen des Uni Archivs zum Thema Aufbewahrungsfristen/Archivierung finden Sie hier. Auf dem Portal der ZENDAS* finden Sie zudem eine Übersicht zum Thema Aufbewahrung/Aufbewahrungsfristen in der Univerwaltung .
* Login für alle Mitarbeitenden der Uni möglich über: „Login“ → dann „Login via Shibboleth" wählen → dann unter „Organisation auswählen“: „Universität Bremen“ auswählen → mit ZfN-Zugangsdaten einloggen
5. Grundsatz der Verhältnismäßigkeit
Die Datenverarbeitung darf nicht außer Verhältnis zum Zweck stehen, der mit der Datenverarbeitung verfolgt wird. Wenn die Zwecke mit weniger einschneidenden, gleichermaßen geeigneten Maßnahmen erreicht werden können, sollten Sie diesen den Vorzug geben.
6. Grundsatz der Richtigkeit
Nach dem Grundsatz der Datenrichtigkeit ist darauf zu achten, dass personenbezogene Daten richtig sind und auf dem neusten Stand gehalten werden. Datenbestände sind daher regelmäßig auf ihre Richtigkeit und Aktualität zu prüfen und ggfs. zu löschen bzw. zu berichtigen bei unzutreffenden oder unvollständigen Daten.
7. Integrität, Vertraulichkeit und Datensicherheit
Personenbezogene Daten sind vor Verlust, Beschädigung, Zerstörung und unbefugten Zugriffen angemessen zu schützen.
Kann eine Datenverarbeitung nicht auf eine gesetzliche Regelung gestützt werden, die diese erlaubt (oder anordnet) (wie bspw.§ 11 des Bremischen Hochschulgesetzes ), ist für die Legitimation der Datenverarbeitung eine datenschutzrechtliche Einwilligung einzuholen. Folgendes ist für die Wirksamkeit einer Einwilligung unbedingt zu beachten:
- Die Einwilligung muss freiwillig gegeben werden, d.h. es darf keinerlei Zwang oder Druck ausgeübt werden.
- Die Einwilligung muss informiert gegeben werden, d.h. die betroffene Person muss verständlich und vollständig darüber aufgeklärt werden, was mit ihren Daten geschehen soll (vgl. dazu auch die Hinweise zum Transparenzgrundsatz)
- Die Einwilligung muss jederzeit widerrufbar sein. Die betroffene Person muss davon vor Abgabe der Einwilligung in Kenntnis gesetzt werden und der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
- Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen, mit der unmissverständlich zum Ausdruck gebracht wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Stillschweigen oder Untätigkeit der betroffenen Person können keine Einwilligung darstellen.
Wenn die Verarbeitung personenbezogener Daten der Universität mit anderen zusammen erfolgt, ist stets zu prüfen, ob es sich dabei ggf. um eine sogenannte Auftragsverarbeitung oder um eine Verarbeitung in gemeinsamer Verantwortung handelt. Für diese beiden Formen der Datenverarbeitung sind spezielle Datenschutzverträge zu schließen, um eine DSGVO-konforme Datenverarbeitung zu gewährleisten. Merkblätter hierzu finden sich in unserem Downloadbereich. Falls Sie als Mitarbeiter:in der Uni entsprechende Vertragsmuster für Ihren Bereich benötigen und/ oder hierzu Fragen haben, hilft Ihnen das Datenschutz-Team der Uni gerne weiter.
Bei Fragen zum Thema Datenschutzrecht wenden Sie sich bitte an das Datenschutz-Team der Uni Bremen: datenschutzprotect me ?!uni-bremenprotect me ?!.de