Datenschutzrecht Glossar

A

Anonyme Daten
Anonyme Daten lassen keine Rückschlüsse auf eine betroffene Person zu, sodass die DSGVO hier nicht (mehr) anwendbar ist. Anonymisierte Daten sind Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen lassen.

 

Anonymisieren
Bei einer Anonymisierung werden einzelne Elemente der Daten, zum Beispiel die Matrikelnummer, so verändert, dass eine Zuordnung zu einer Person nicht mehr möglich ist. Eine echte Anonymisierung kann nicht rückgängig gemacht werden und kommt im Hochschulbereich eher selten vor, da hier eine Zuordnung in der Regel Grundlage der Verwaltungsarbeit ist.

 

Aufsichtsbehörde/Landesdatenschutzbeauftragter
Jedes Bundesland hat eine Aufsichtsbehörde, die für die Überprüfung von Datenverarbeitungsprozessen zuständig ist. Bei der jeweiligen Aufsichtsbehörde können Betroffene sich informieren oder beschweren, wenn sie mit den Datenverarbeitungsprozessen nicht einverstanden sind.

 

Auftragsverarbeitungsvertrag
Nicht selten werden Dienstleistungen durch externe Dienstleister erbracht. Ist die Leistung insbesondere in der Verarbeitung personenbezogener Daten zu sehen, wobei der Dienstleister an die Weisungen des Auftraggebers gebunden ist, kann ein Auftragsverarbeitungsverhältnis vorliegen. Es wird zur Klärung der Einzelheiten ein sog. Auftragsverarbeitungsvertrag geschlossen, worin der Auftragsverarbeiter, also der externe Dienstleister, sich verpflichtet, die Sorgfaltspflichten einzuhalten.

 

Auskunftsrecht
Das Auskunftsrecht ist in der DSGVO verankert und stellt das Recht dar, über die Datenverarbeitungsprozesse der personenbezogenen Daten Informationen zu erhalten.

 

B

Beschwerde
Werden personenbezogene Daten nicht datenrechtskonform verarbeitet, hat der Betroffene das Recht, sich bei der entsprechenden Aufsichtsbehörde darüber zu beschweren.

 

Besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten werden in Art. 9 DSGVO definiert. Unter anderem zählen Gesundheitsdaten dazu, die Auskunft über den Gesundheitszustand der betroffenen Person geben können. Aber auch die Verarbeitung von Daten, aus denen beispielsweise politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen, sind grundsätzlich nicht gestattet. Die Verarbeitung solcher Daten bedarf einer speziellen Rechtsgrundlage aus Art. 9 Absatz 2 DSGVO.

 

Betroffener
Bei einer betroffenen Person handelt es sich um eine, deren personenbezogene Daten verarbeitet werden.

 

Bundesdatenschutzgesetz
Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und präzisiert die Datenschutz-Grundverordnung (DSGVO) an den Stellen, die nationalen Regelungen der EU-Staaten überlassen sind. Darunter fallen beispielsweise die Regelungen zur Verarbeitung von Beschäftigtendaten, die Videoüberwachung, die Bestellung von Datenschutzbeauftragten oder die Aufsichtsbehörden.

 

Berichtigungsrecht
Durch das Recht auf Berichtigung kann die betroffene Person verlangen, dass die verarbeiteten bzw. gespeicherten Daten korrigiert werden, sofern Fehler vorhanden sind.

 

Beschwerderecht

Wenn die betroffene Person der Ansicht ist, dass die personenbezogenen Daten nicht richtig verarbeitet wurden, dürfen Sie sich an die Aufsichtsbehörde wenden. Die Beschwerde kann mit einfachen Worten formuliert werden, ohne dass besondere Formalitäten eingehalten werden müssen. Dadurch soll gewährleistet werden, dass das Beschwerderecht so einfach wie möglich umgesetzt werden kann.

 

Betroffenenrechte
Datenschutzgrundverordnung (DSGVO) stärkt die Rechte der von Datenschutzverarbeitungsprozessen betroffener Personen. Die DSGVO bietet verschiedene Rechte, die durch die Betroffenen geltend gemacht werden können. So können sie Auskunftsrechte oder Beschwerderechte ausüben, um zu erfahren, wie die Daten genutzt werden oder welche Daten überhaupt erhoben wurden. Sofern sie Fehler finden oder nicht (mehr) einverstanden sind, kann das Beschwerderecht oder das Widerrufsrecht geltend gemacht werden.

 

Bußgeld
Bußgelder können durch die Aufsichtsbehörde verhängt werden, wenn es zu datenschutzrechtlichen Verstößen kommt. Staatlichen Hochschulen gegenüber können keine Bußgelder verhängt werden. Alle anderen Sanktionen wirken auch zu Lasten von Hochschulen.

 

C

Cookies
Bei Cookies handelt es sich um kleine Dateien, die von Webseiten auf Ihrem PC abgelegt werden, um Informationen über Ihre bevorzugten Einstellungen zu speichern.

 

D

Datenauskunft
Beim Recht auf Datenauskunft handelt es sich um das Recht, darüber Auskunft zu erhalten, ob und wie persönliche personenbezogene Daten verarbeitet werden. So kann ein Studierender durch Ausübung des Rechts erfahren, welche Daten von der Hochschule verarbeitet werden und wie lange diese beispielsweise gespeichert werden.

 

Datenpanne
Eine Datenpanne liegt vor, wenn personenbezogene Daten und unbefugte Personen geraten. Werden beispielsweise Studierendenunterlagen versehentlich an eine falsche Adresse versandt, kann eine solche Datenpanne vorliegen. Auch bei einem Hackerangriff kann es dazu kommen, dass personenbezogene Daten unbefugten Personen zugänglich werden.

 

Datenschutz durch Technikgestaltung
Hochschulen sind verpflichtet, bei der Gestaltung von technischen Verarbeitungsvorgängen technische und organisatorische Maßnahmen (TOM) zu treffen, die die Privatsphäre schützen und die Datenschutzgrundsätze garantieren.

 

Datenschutzbeauftragter
Der Datenschutzbeauftragte überwacht die Verarbeitung personenbezogener Daten und ist als Berater tätig. Er fungiert als Ansprechpartner in allen datenschutzrechtlichen Angelegenheiten. Oft werden externe Datenschutzbeauftragte hinzugezogen, welche im engen Austausch mit den Datenschutzkoordinatoren sind.

 

Datenschutzerklärung
Die Datenschutzerklärung ist eine Erklärung darüber, wie die datenverarbeitende Institution mit den Daten umgeht. Es wird festgelegt, welche Daten erhoben und gespeichert und zu welchem Zweck diese verarbeitet werden. Zudem wird dort erläutert, welche Schutzmaßnahmen ergriffen werden, um die Daten zu schützen. Damit die Betroffenen wissen, was sie tun können, müssen die Rechte ebenfalls festgeschrieben werden. Sie soll in einfacher und verständlicher Sprache formulier sein, damit die Betroffenen diese auch verstehen und nachvollziehen können.

 

Datensicherheit
Datensicherheit beschäftigt sich mit der Frage, wie die verarbeiteten Daten vor unbefugten Zugriffen durch Dritte, dem Verlust oder der Veränderung aufgrund von technischer Pannen geschützt werden können.

Der Begriff der Datensicherheit wird häufig mit dem Datenschutz gleichgestellt, obwohl sie unterschiedliche Bedeutungen haben: Während der Datenschutz danach strebt, bei der Verarbeitung von personenbezogenen Daten die Rechte und Freiheiten natürlicher Personen zu wahren, bezeichnet die Datensicherheit den technischen Aspekt des Schutzes von Daten. Unter die Prozesse zur Umsetzung der Datensicherheit fallen auch Daten, die nicht personenbezogen sind.

 

Datenverarbeitung
Bei der Datenverarbeitung werden persönliche Daten erhoben, ausgewertet oder verändert. Daten werden beispielsweise erfasst, angefragt, gespeichert, verbreitet, ausgelesen, ausgewertet oder gelöscht.

 

Double Opt-In
Die Double Opt-In-Authentifizierung ist eine Eiwilligungserklärung auf zwei Ebenen. Im ersten Schritt werden die personenbezogenen Daten überlassen, wobei im zweiten Schritt diese Handlung bestätigt wird. Es ist demnach als doppelte Einwilligung zu werten. Ein Nutzer, der sich mit seiner E-Mail-Adresse in einen Verteiler eingetragen hat (Single Opt-In), erhält durch eine anschließende E-Mail die Möglichkeit, die Anmeldung zu bestätigen. Bei fehlender Bestätigung, gilt das Verfahren als nicht beendet.

 

Drittland
Drittländer sind alle Länder, die nicht Mitglied der EU sind. Bei einer Übermittlung von Daten an Drittländer bedarf es zusätzlich zu einer bereits vorhandenen Rechtsgrundlage entweder eines Angemessenheitsbeschlusses dahingehend, dass das jeweilige Drittland geeignete Schutzmöglichkeiten bietet, oder es müssen Garantien vorliegen, die den Datenschutz anderweitig gewährleisten.

 

DSGVO
Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der EU, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der EU sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

 

E

Einwilligung
Durch die Einwilligung erteilt der Betroffene seine Erlaubnis zur Datenverarbeitung. Hierbei handelt es sich um eine geforderte Rechtsgrundlage und muss eingeholt werden, wenn die Datenverarbeitung nicht bereits durch eine Rechtsgrundlage im Gesetz erlaubt ist.
Die Einwilligung ist nur dann rechtmäßig, wenn diese freiwillig und ohne Zwang abgegeben wird. Sofern man sich gegen die Datenverarbeitung entscheidet und damit die Einwilligung nicht erteilt, dürfen den Betroffenen daraus keine Nachteile entstehen. Die Einwilligung kann jederzeit ohne Angabe von Gründen für die Zukunft widerrufen werden.

Erwägungsgründe
Bei den Erwägungsgründen handelt es sich um einzeln formulierte Zusätze zur DSGVO selbst. Sie definieren die Ziele der einzelnen Normen und helfen dabei, den Sinn und Zweck der Rechtsnormen zu verstehen.

 

G

Gemeinsame Verantwortlichkeit
Gemeinsame Verantwortlichkeit liegt vor, wenn zwei unabhängige Verantwortliche personenbezogene Daten gemeinsam verarbeiten. Sie sind dabei nicht gegenseitig weisungsgebunden, müssen sich aber über Rechte und Pflichten austauschen und eine Vereinbarung über die gemeinsame Verantwortlichkeit aufsetzen.
Häufiger kommt dies im Bereich der Forschung bzw. der Projektarbeit vor. So können mehrere Forschungspartner bzw. Projektpartner als gemeinsam verantwortlich betrachtet. Hinweis dafür kann beispielsweise gemeinsame Entscheidungsgewalt über Zwecke und Mittel sein. Ein Kooperationsvertrag kann helfen, datenschutzrechtliche Fragen zu klären.

 

Grundrecht
Grundrechte sind im deutschen Grundgesetz verankerte Gleichheits- und Freiheitsrechte. Beispiele dafür sind das Recht auf freie Meinungsäußerung, die Glaubensfreiheit sowie das Prinzip der Gleichheit vor dem Gesetz. Historisch betrachtet sind Grundrechte Abwehrrechte der Bürger gegen staatliche Machtentfaltung. Sie sollen den Menschen helfen, sich gegen Eingriffe in ihre Privatsphäre und ungleiche Behandlung zu wehren. Der Staat ist dazu verpflichtet, die Grundrechte aktiv zu schützen und zu fördern.

 

Grundsätze der Datenverarbeitung
Die Datenverarbeitung unterliegt verschiedenen Grundsätzen. So müssen die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht des Verantwortlichen gewahrt werden.

 

I

Informationelle Selbstbestimmung
Die DSGVO soll das Recht auf informationelle Selbstbestimmung aus Art. 1 und 2 des Grundgesetzes (GG) schützen. Es leitet sich insbesondere aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht ab. Das heißt, dass jeder das Recht hat, selbst zu bestimmen, welche personenbezogenen Daten offengelegt werden können und welchen nicht.

 

Informationspflichten
Die Informationspflichten dienen dem sog. Transparenzgrundsatz. Um die Betroffenenrechte geltend machen zu können, muss der Betroffene über die Prozesse der Datenverarbeitung Bescheid wissen.
Informationssicherheit
Informationssicherheit soll den Schutz von Informationen vor verschiedenen Gefahren oder Manipulationen gewährleisten und so schwerwiegende wirtschaftlichen Schäden verhindern. Es soll insbesondere der unbefugte Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte verhindert werden.

 

Informationssicherheitsbeauftragter
Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Hochschule zuständig.

 

L

Löschung
Die Löschung personenbezogener Daten führt dazu, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können. Dabei reicht es z. B. aus, die Daten zu anonymisieren und alle bezüglichen Logfiles zu entfernen.

 

O

Opt-In
Bei der Opt-In-Authentifizierung handelt es sich um eine Art Einwilligung in die Datenverarbeitung. Dieses Verfahren kann mittels einfachem Opt-In, aber auch mittels Double-Opt-In, also zweifache Erlaubnis der Datenverarbeitung, realisiert werden.

 

Opt-Out
Bei diesem Verfahren wird die Zustimmung des Nutzers automatisch vorausgesetzt. Sollte dieser nicht einverstanden sein, muss er dies erst eigenständig erklären und der Nutzung ausdrücklich widersprechen.

 

P

Personenbezogene Daten
Personenbezogene Daten sind alle Daten, die eine Person identifizieren oder identifizierbar machen. Darunter fallen neben Name, Anschrift oder Foto auch die IP-Adresse oder auch die Matrikelnummer.

 

Pseudonymisierung
Bei der Pseudonymisierung werden die Daten so aufbereitet, dass Rückschlüsse auf den Betroffenen nur unter Hinzuziehung zusätzlicher Informationen möglich sind. Pseudonyme Daten sind solche Daten, können zwar nicht direkt vom Verantwortlichen keiner spezifischen Person zugeordnet werden, aber für andere besteht die grundsätzliche Möglichkeit der Zuordnung durch die Einbeziehung weitergehender Informationen.

 

R

Rechenschaftspflicht
Nach der Rechenschaftspflicht ist der Verantwortliche für die Einhaltung der in Art. 5 Abs.1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können. Das Erstellen und Führen eines Verarbeitungsverzeichnisses trägt zur Erfüllung der Rechenschaftspflicht bei.

 

Rechtmäßigkeit
Die Verarbeitung personenbezogener Daten muss gemäß Artikel 6 DSGVO rechtmäßig sein. Dafür bedarf es einer Rechtsgrundlage zur Datenverarbeitung und alle weiteren Grundsätze der Datenverarbeitung müssen eingehalten werden.

 

Rechtsgrundlage
Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, die dies legitimiert. Die DSGVO bietet beispielsweise in Art. 6 Abs. 1 DSGVO verschiedene Rechtsgrundlagen. Häufige Möglichkeit, die Datenverarbeitung rechtmäßig zu gestalten, ist die Einwilligung. Sie ist in Art. 6 Abs. 1 lit. a DSGVO geregelt.

 

Datenverarbeitungsprozesse im Hochschulsektor werden in der Regel durch zwei mögliche Rechtsgrundlagen gedeckt. Zum einen greift hier oftmals die Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO, zum anderen kann die Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe nach lit. e als mögliche Rechtsgrundlage dienen. Hinzukommen muss jedoch eine weitere Grundlage, die die Aufgabenwahrnehmung näher ausgestaltet (vgl. Art. 6 Abs. 3 DSGVO). In Berlin kommen das Berliner Hochschulgesetz sowie das Berliner Datenschutzgesetz in Betracht.

 

V

Verantwortliche/Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Hochschulsektor ist es die Hochschule, die durch den jeweiligen Präsidenten vertreten wird. Die Umsetzung des Datenschutzes kann an Fachpersonen intern, aber auch an externe Fachkräfte delegiert werden.
Verarbeitung
Jeder Vorgang, der im Zusammenhang mit personenbezogenen Daten steht, stellt eine Datenverarbeitung dar. Dies gilt auch für interne Weitergabe sowie Lösch- und Anonymisierungsprozesse.

 

Verarbeitungsverzeichnis
In einem Verzeichnis von Verarbeitungstätigkeiten werden alle Schritte eines Datenverarbeitungsprozesses schriftlich festgehalten. Dort werden auch Angaben zum Zweck der Verarbeitung, zu den Datenkategorien, zum Kreis der betroffenen und zu den möglichen Datenempfängern gemacht.

 

Vernichtung
Dokumente und Akten in Papierform müssen geschreddert, also derart vernichtet werden, dass sie nicht mehr lesbar sind. Datenträger und Rechner müssen ebenfalls derart vernichtet werden, dass eine Datenlesung nicht mehr möglich ist. Um dies zu gewährleisten, werden in der Regel externe Dienstleister beauftragt.

 

W

Widerruf
Der Widerruf bietet dem Betroffenen die Möglichkeit, eine zuvor durch Einwilligung möglich gemachten Datenverarbeitung zu widersprechen. Der Widerruf gilt dann für die Zukunft, d. h., alle vor Einwilligung verarbeiteten Daten sind rechtmäßig erlangt worden.

 

Widerspruch
Gegen eine Datenverarbeitung die aufgrund des Art. 6 Abs. 1 lit.e oder lit.f DSGVO erfolgt, kann der Betroffene Widerspruch einlegen. Wenn die darauffolgende Interessenabwägung zugunsten des Betroffenen ausfällt, ist die Datenverarbeitung zu unterlassen.

 

Z

Zweckbindung
Der Grundsatz der Zweckbindung besagt, dass die Verarbeitung personenbezogener Daten unter Einhaltung des Zwecks stattfinden muss. Der Zweck muss vorab definiert sein und die Daten dürfen auch nur zu diesem Zweck verarbeitet werden.