Wenn eine Stelle Daten speichert, ist es in vielen Fällen möglich, die Daten einer bestimmten Person zuzuordnen. So speichern zum Beispiel Universitäten den Namen und die Noten ihrer Studierenden. Jedem Studierenden kann also die Note einer bestimmten Prüfungsleistung zugeordnet werden. Bei einer Anonymisierung werden einzelne Elemente der Daten, zum Beispiel der Name, so verändert, dass eine Zuordnung zu einer Person nicht mehr möglich ist. Eine echte Anonymisierung kann nicht rückgängig gemacht werden.
Regelmäßig kommt es vor, dass Aufgaben oder Prozesse an externe Dienstleister ausgelagert werden müssen, z.B. bestimmte Aufgaben des Rechenzentrums, oder die Inanspruchnahme von Cloud-Diensten usw. Damit das beauftragte Unternehmen oder die beauftragte Stelle den Auftrag durchführen kann, werden häufig personenbezogene Daten weitergegeben.
Die Bauhaus-Universität Weimar bleibt in diesem Fall die Verantwortliche für die Datenverarbeitung auch bei der beauftragten Stelle. Aus diesem Grund muss die den Auftragsverarbeiter sorgfältig aussuchen und einen Vertrag abschließen, in dem die genauen Bedingungen der Verarbeitung festgelegt sind.
Der Auftragsverarbeiter darf die Daten nur in dem vereinbarten Umfang verarbeiten und ist somit der verlängerte Arm des Verantwortlichen.
Die betroffene Person ist eine identifizierbare natürliche Person, deren personenbezogenen Daten verarbeitet werden.
Jede Stelle, die personenbezogene Daten verarbeitet, muss die betroffenen Personen über die Aspekte des konkreten Datenverarbeitungsvorgangs informieren. Dazu gehören zum Beispiel der Umfang, die Rechtsgrundlage und der Zweck der Verarbeitung sowie die Speicherdauer und an wen die Daten ggf. weitergegeben werden.
Ihrer Informationspflicht kommt die verantwortliche Stelle in der Regel in Form einer Datenschutzinformation nach.
Die europäische Datenschutz-Grundverordnung (DS-GVO) hat einen zentralen Grundsatz – die Datensparsamkeit. Das bedeutet: Verantwortliche Stellen müssen die Erhebung von Daten und auch die Verarbeitung auf ein notwendiges Minimum beschränken. Es dürfen nur die Daten verarbeitet werden, die für den konkreten Zweck benötigt werden. Personenbezogene Daten sind zu löschen, sobald sie nicht mehr gebraucht werden.
Ein Drittland ist ein Land, in dem die DS-GVO nicht gilt. Länder in denen die DS-GVO gilt sind alle Mitgliedsstaaten der Europäischen Union und des EWR. Alle anderen Länder sind Drittländer.
Datenübermittlungen in ein Drittland sind zusätzlich zu den allgemeinen Regeln nur zulässig, wenn es entweder einen Angemessenheitsbeschluss der EU-Kommission für dieses Land gibt, oder wenn weitere Voraussetzungen gemäß Art. 44ff. DS-GVO erfüllt sind.
Für jede Datenverarbeitung ist eine Erlaubnis erforderlich. Ergibt sich diese nicht aus einem Gesetz, kann die verantwortliche Stelle, z.B. die Universität, die Daten auf Grundlage einer Einwilligung der betroffenen Person verarbeiten.
Die Einwilligung muss vor Beginn der Datenverarbeitung erteilt werden. Die einwilligende Person muss dabei freiwillig und ohne Zwang handeln können. Problematisch könnte z.B. das Einholen einer Einwilligung im Beschäftigungskontext sein.
Eine bestimmte Form ist nicht vorgeschrieben, solange die betroffene Person aktiv ihren Willen ausdrückt. Aus Beweisgründen ist von einer mündlichen Einwilligung aber abzuraten.
Die betroffene Person kann die Einwilligung jederzeit widerrufen. Sie wirkt jedoch nicht rückwirkend, d.h. die Datenverarbeitung vor dem Widerruf bleibt rechtmäßig.
Die Erhebung personenbezogener Daten ist eine Form der Datenverarbeitung durch die verantwortliche Stelle.
Sie kann direkt bei der betroffenen Person erfolgen, indem diese aktiv ihre Daten angibt, z.B. in einem Online-Formular. Es können aber auch Daten bei Dritten erhoben werden, wenn eine Rechtsgrundlage oder Einwilligung dies erlaubt.
Jede Erhebung löst Informationspflichten der erhebenden Stelle gegenüber der betroffenen Person aus, z.B. über den Verwendungszweck und die Speicherdauer.
Personenbezogene Daten sind zu löschen, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden oder eine erteilte Einwilligung widerrufen wurde.
Außerdem hat jede betroffene Person grundsätzlich das Recht, von der verantwortlichen Stelle die Löschung ihrer Daten zu verlangen.
Verpflichten gesetzliche Aufbewahrungspflichten (z.B. aus dem Steuerrecht), den Verantwortlichen zur längeren Speicherung, sind die Daten zu sperren und dürfen nicht weiter genutzt werden.
Datenlöschung passiert nicht nur digital, sondern betrifft auch Dokumente aus Papier.
Bei der Löschung ist darauf zu achten, dass die Daten nicht auf einfache Art und Weise wiederhergestellt werden können. Digital gespeicherte Daten sollten z.B. mehrfach überschrieben, Papier mit einem ausreichend feinen Schredder zerkleinert werden.
Personenbezogene Daten sind Informationen, die einer bestimmten Person zugeordnet werden können und Rückschlüsse über diese Person erlauben. Dazu zählen zum Beispiel biometrische Daten (Fingerabdruck, Größe, Augenfarbe), allgemeine Daten wie Anschrift Geburtstag oder Kontaktmöglichkeiten, Kennnummern wie die Steueridentifikationsnummer, Bankdaten, Grundbucheinträge, KFZ-Kennzeichen, Zeugnisse oder Nutzungsdaten. Personenbezogene Daten verdienen besonderen Schutz.
Häufig werden Daten so gespeichert, dass sie eindeutig einer bestimmten Person zugeordnet werden können. Die Universität vermerkt z.B. den Namen und die Matrikelnummer ihrer Studierenden gemeinsam in einer Datenbank.
Aus Datenschutzgründen kann es sinnvoll oder notwendig sein, eine Liste so zu verschlüsseln, dass auf den ersten Blick nicht mehr zu erkennen ist, zu welcher Person genau bestimmte Daten gehören. Das nennt man pseudonymisieren.
Dabei wird z.B. der Name in der Liste durch ein Pseudonym ersetzt. Eine Schlüssel-Tabelle, die den Namen und das zugehörige Pseudonym enthält, wird separat und sicher aufbewahrt.
Mit Hilfe der Tabelle kann die Pseudonymisierung rückgängig gemacht werden.
Im Gegensatz dazu ist die Anonymisierung unumkehrbar.
Häufig werden Daten so gespeichert, dass sie eindeutig einer bestimmten Person zugeordnet werden können. Die Universität vermerkt z.B. den Namen und die Matrikelnummer ihrer Studierenden gemeinsam in einer Datenbank.
Aus Datenschutzgründen kann es sinnvoll oder notwendig sein, eine Liste so zu verschlüsseln, dass auf den ersten Blick nicht mehr zu erkennen ist, zu welcher Person genau bestimmte Daten gehören. Das nennt man pseudonymisieren.
Dabei wird z.B. der Name in der Liste durch ein Pseudonym ersetzt. Eine Schlüssel-Tabelle, die den Namen und das zugehörige Pseudonym enthält, wird separat und sicher aufbewahrt.
Mit Hilfe der Tabelle kann die Pseudonymisierung rückgängig gemacht werden.
Im Gegensatz dazu ist die Anonymisierung unumkehrbar.
Speichern ist das verkörperte Erfassen und Aufbewahren von personenbezogenen Daten. Dabei ist es unerheblich, ob die Daten auf einem USB-Stick, einer Festplatte, auf einem Server oder auf einem Blatt Papier gespeichert werden.
Jede verantwortliche Stelle ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, die den Schutz der verarbeiteten Daten sicherstellen.
Zu den technischen Maßnahmen gehören bspw. die Verwendung von sicheren Passwörtern und ausreichender Verschlüsselung sowie ein aktueller Virenschutz.
Organisatorische Maßnahmen sind z.B. die restriktive Vergabe von Zugangs- und Zugriffsberechtigungen, regelmäßige Schulungen der datenverarbeitenden Personen sowie die regelmäßige Revision der ergriffenen Maßnahmen.
Unter dem Übermitteln von personenbezogenen Daten versteht man deren Weitergabe innerhalb der verantwortlichen Stelle oder an einen Dritten. Eine Übermittlung findet laut DS-GVO auch statt, wenn Daten abgerufen oder eingesehen werden können.
Jede Übermittlung bedarf einer Erlaubnis, also entweder einer Einwilligung oder einer gesetzlichen Grundlage.
Die verantwortliche Stelle oder der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Bauhaus-Universität Weimar ist verantwortlich für die Datenverarbeitungen, welche die Bediensteten in Ausübung ihrer Aufgaben vornehmen.
Eine umfassende Beratung aller Mitarbeitenden ist deshalb unbedingt erfoderlich.
Arbeitsvorgang, bei dem personenbezogene Daten verarbeitet werden. Die DSGVO definiert die Verarbeitung in Art. 4 Nr. 2 als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang [...] im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verarbeitungstätigkeiten können sein:
Jede Verarbeitungstätigkeit ist im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
Jede verantwortliche Stelle ist verpflichtet, ihre Verarbeitungstätigkeiten in einem Verzeichnis zu dokumentieren. De Dokumentation enthält u.a. Angaben zum Zweck der Datenverarbeitung, zu den Kategorien verarbeiteter Daten, welche Personen darauf Zugriff haben, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und zu den technischen und organisatorischen Maßnahmen.
Changes from color to monochrome mode
contrast active
contrast not active
Changes the background color from white to black
Darkmode active
Darkmode not active
Elements in focus are visually enhanced by an black underlay, while the font is whitened
Feedback active
Feedback not active
Halts animations on the page
Animations active
Animations not active
