Das Datenschutzrecht, oft einfach als Datenschutz bezeichnet, definiert die Rahmenbedingungen für den Umgang mit personenbezogenen Daten. Es klärt, ob, in welchem Umfang und von wem Daten, die einer bestimmten natürlichen Person zugeordnet werden können, verarbeitet werden dürfen. Auf unseren Seiten zum Datenschutzrecht möchten wir Ihnen einen Überblick über die wesentlichen datenschutzrechtlichen Grundsätze, Regeln und Herausforderungen bieten. Weiterführende Informationen, Musterdokumente und Formulare finden Sie in BayernCollab:
Portal der bayerischen Kunsthochschulen für Datenschutz und Informationssicherheit (intern)
Als Einstieg in das Thema finden Sie nachfolgend Informationen zu den Grundlagen des Datenschutzes.
Hintegrund: Was ist Datenschutz?
Beim Datenschutz geht es nicht nur darum Daten als solche zu schützen, sondern die Grundrechte von individuellen Menschen.
Die Verarbeitung personenbezogener Daten ist aus unserem Alltag nicht mehr wegzudenken. Aber: Je mehr personenbezogene Daten Dritte über einen Menschen besitzen und folglich über ihn wissen, desto berechenbarer und somit auch beeinflussbar wird diese Person für sie. Ein transparenter, vertraulicher, sicherer, gewissenhafter und vor allem datenschutzkonformer Umgang mit personenbezogenen Daten ist daher Pflicht!
Ziel des Datenschutzes ist daher primär, das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts der betroffenen Personen zu schützen – denn Datenschutz ist Grundrechtsschutz. Gleichzeitig soll dieser Schutz bestmöglich mit den Interessen der Datenverarbeiter (z.B. Forschung, Öffentlichkeitsarbeit, Veranstaltungsplanung, etc.) vereinbart werden.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Beispiele für die Art von Informationen, die die direkte oder indirekte Identifizierung einer Person ermöglichen und daher als personenbezogene Daten gelten können, sind:
Name, Nachname, Telefonnummern von Kunden, Interessenvertretern, Mitarbeitern, Anbietern;
Identifikationsnummern, wie die Kundennummer einer Person, die Mitarbeiternummer einer Person,
eine Buchungsreferenz;
E-Mail-Adressen, Standortdaten;
Browser-Verlauf einer Person;
Kaufhistorie und Quittungen einer Person;
Fotos, Videos und Audioaufnahmen, die Bilder oder Geräusche von Einzelpersonen enthalten.
Mit diesen personenbezogenen Daten kann eine Person direkt oder indirekt identifiziert werden:
Wenn Ihre Organisation beispielsweise den Vor- oder Nachnamen einer Person verarbeitet, ermöglichen diese personenbezogenen Daten die direkte Identifizierung dieser Person.
Wenn Ihr Unternehmen beispielsweise die Kundennummer oder Buchungsreferenz einer Person verarbeitet, können diese personenbezogenen Daten die indirekte Identifizierung dieser Person ermöglichen.
Jede Art von Informationen, die in Bezug auf die direkt oder indirekt identifizierte Person verarbeitet werden (z.B. Vorlieben, Gewohnheiten), werden auch als personenbezogene Daten betrachtet.
Keine personenbezogenen Daten sind:
- anonyme Daten
- reine Sachdaten (z. B. der Kaufpreis oder die Höchstgeschwindigkeit eines Autos).
Besondere Kategorien personenbezogener Daten
Einige Arten von personenbezogenen Daten, die normalerweise als sensible Daten bezeichnet werden, gehören zu speziellen Kategorien, die mehr Schutz genießen. Gemäß Art. 9 DSGVO gelten als sensible Daten Informationen über:
die Gesundheit einer Person;
das Sexualleben oder die sexuelle Orientierung einer Person;
die rassische oder ethnische Herkunft einer Person;
die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen;
biometrische und genetische Daten einer Person;
Gewerkschaftsmitgliedschaft.
Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen (z. B. ausdrückliche Einwilligung).
Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten umfasst jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten automatisiert durchgeführt wird oder nicht.
Beispiele für Verarbeitungsvorgänge sind das Sammeln, Erfassen, Organisieren, Verwenden, Ändern, Speichern und die Offenlegung personenbezogener Daten natürlicher Personen.
Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z.B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO.
Rechtliche Grundlagen zum Datenschutz für Hochschulen in Bayern
Datenschutz ist ein allgemeines Menschenrecht, das durch die europäische Datenschutzgrundverordnung (DSGVO) und dem Bayerischen Datenschutzgesetz (BayDSG) näher geregelt ist.
Immer wenn personenbezogene Daten verarbeitet werden sollen, müssen die Regelungen des Datenschutzes beachtet werden. Datenschutzrechtliche Vorschriften, d.h. Vorschriften, in denen Vorgaben zur Verarbeitung personenbezogener Daten, Betroffenenrechte und sonstige „organisatorische“ Begleitvorgaben enthalten sind, kann es „überall“ geben (Unionsrecht, Bundesrecht, Landes-/Hochschulrechtrecht).
Datenschutz-Vorschriften sind manchmal eher „versteckt“ in einzelnen Paragrafen (oder einzelnen Sätzen) in Fachgesetzen, manchmal in gesonderten Abschnitten eines Fachgesetzes und manchmal in gesonderten (Datenschutz-)Gesetzen normiert.
Einschlägige Regelungen im Datenschutzrecht im Hochschulkontext sind im Wesentlichen:
- die Europäische Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 europaweit anwendbar ist
- im Freistaat Bayern das Bayerische Datenschutzgesetz (BayDSG)
- weitere sog. bereichsspezifische Gesetze (z.B. Bayerisches Hochschulinnovationsgesetz (BayHIG), die Sozialgesetzbücher)
Grundsätze bei der Bearbeitung von personenbezogenen Daten
Bei der Verarbeitung personenbezogener Daten von Einzelpersonen muss die Hochschule die folgenden Schlüsselprinzipien der DSGVO einhalten.
Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO)
Jede Verarbeitung von personenbezogenen Daten benötigt eine gesetzliche Grundlage oder, sofern zulässig, eine Einwilligung der betroffenen Person (Art. 6, ggf. Art. 9 DSGVO).
Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Personenbezogene Daten dürfen nur für festgelegte Zwecke erhoben und nicht gegen diese Zwecke weiterverarbeitet werden.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Datenverarbeitung muss dem Zweck angemessen sowie inhaltlich und zeitlich auf das notwendige Maß beschränkt sein, Beispiel: erforderliche Angaben vs. weitere Angaben.
Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO)
Die Verarbeitung von personenbezogenen Daten darf nur in „fairer“ Art und Weise erfolgen. Typische Fälle einer „unfairen“ Verarbeitung sind verborgene Datenverarbeitung, wie z.B. versteckte Videokameras oder Software zum Ausspionieren von Nutzern.
Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden, d.h. Aufklärung über die „W-Fragen“ (Wer? Was? Wofür? Wohin? Wie lange?).
Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
Personenbezogene Daten müssen richtig und auf dem neuesten Stand sein, „falsche“ Daten müssen berichtigt bzw. gelöscht werden.
Speicherbegrenzung (Löschung/Sperrung) (Art. 5 Abs. 1 lit. e DSGVO)
Werden personenbezogene Daten nicht mehr benötigt, müssen sie gelöscht werden, es sei denn, der Löschung stehen gesetzliche Aufbewahrungspflichten entgegen. Solange die Aufbewahrungsfrist läuft, werden die Daten zwar nicht gelöscht, aber für eine weitere Nutzung durch den Verantwortlichen gesperrt.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
Personenbezogene Daten müssen sicher und vertraulich behandelt werden. Insbesondere dürfen Unbefugte keinen Zugang zu ihnen haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen (gem. Art. 32 DSGVO).
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Die Hochschule muss gegenüber Aufsichtsbehörden nachweisen können, alle Vorgaben der DSGVO einzuhalten. Aus diesem Grund müssen Sie die von Ihnen getroffenen rechtlichen, technischen und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes genauestens dokumentieren. Dokumentation heißt, dass Sie entsprechende Dokumente, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahren und archivieren, damit Sie diese im Ernstfall unverzüglich griffbereit haben. Zu diesen Dokumentationspflichten gehört beispielsweise auch das Führen eines Verarbeitungsverzeichnisses).
Datenschutzbeauftragter
Der Datenschutzbeauftragte (DSB) ist Ansprechpartner für alle Fragen zum Umgang mit personenbezogenen Daten innerhalb der jeweiligen Kunsthochschule. Jeder Beschäftigte kann sich ohne Einhaltung des Dienstweges an ihn wenden.
Der Datenschutzbeauftragte nimmt die Aufgaben nach Art. 39 Abs. 1 DSGVO wahr. Dazu zählen insbesondere die:
Unterrichtung und Beratung der Hochschulleitung und der Beschäftigten der Hochschule, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Europäischen Union und nach nationalem Recht
Überwachung der Einhaltung datenschutzrechtlicher Vorschriften, z.B. DSGVO, BayDSG
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
Zusammenarbeit mit der Aufsichtsbehörde, dem Bayerischen Landesbeauftragten für Datenschutz (BayLfD)
Der Datenschutzbeauftragte hat weder gegenüber der Hochschulleitung noch gegenüber einzelnen Beschäftigten/Funktionsträgern eine Weisungsbefugnis. Am Ende der Beratung und/oder Überwachung steht daher lediglich eine Empfehlung, auf welche Art und Weise datenschutzkonform agiert werden könnte. Den jeweils ratsuchenden Beschäftigten/Funktionsträgern und auch der Hochschulleitung (Entscheider) steht es frei, diesem Rat zu folgen oder sich über ihn hinwegzusetzen. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben tragen die im jeweiligen Einzelfall zur Entscheidung befugten Personen, nicht der Datenschutzbeauftragte. Deren Verantwortung liegt in der ordnungsgemäßen Erfüllung der in Art. 39 Abs. 1 DSGVO genannten Aufgaben.
Kontakt zum Datenschutzbeauftragten (DSB):
Bei Fragen zum Thema Datenschutz wenden Sie sich bitte an den Datenschutzbeauftragten der HFF München: datenschutz@hff-muc.de