Allgemeine Informationen zum Datenschutz

Eine Verarbeitung personenbezogener Daten benötigt immer eine Rechtsgrundlage und muss nach Treu und Glauben sowie in einer für betroffene Personen nachvollziehbaren Weise erfolgen.

Eine Verarbeitung personenbezogener Daten darf nur für einen festgelegten, eindeutigen und legitimen Zweck erfolgen. Dieser muss vor einer Verarbeitung von Daten festgelegt werden.

Eine Erhebung personenbezogener Daten muss dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Verarbeitete personenbezogene Daten sollen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.

Personenbezogene Daten sollen nur solange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

Daten sollen nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.

Der Verantwortliche ist für die Einhaltung der Vorschriften zuständig und muss die Einhaltung nachweisen können (Dokumentationspflicht).

Datenschutz ist unverzichtbar, um sicherzustellen, dass persönliche Informationen von Personen nicht missbraucht oder von Unbefugten abgerufen werden. Er gewährleistet die Privatsphäre, verhindert Identitätsdiebstahl, sichert die Meinungsfreiheit und schützt vor Diskriminierung und Überwachung. Gerade die zunehmende Digitalisierung der Gesellschaft eröffnet den Zugang zu einer Vielzahl persönlicher Daten und birgt dadurch ein hohes Missbrauchspotenzial.

Die DS-GVO gilt für alle, die personenbezogene Daten in der Europäischen Union verarbeiten. Ausgenommen ist eine Verarbeitung ausschließlich für persönliche oder familiäre Zwecke.

Die Einhaltung des Datenschutzes bei der Verarbeitung von personenbezogenen Daten an der Universität Jena verantwortet die Leitung. Allerdings sind alle Angehörigen im Rahmen ihrer Tätigkeit an der Universität an die Vorgaben der DS-GVO gebunden. Sofern also personenbezogene Daten während der Tätigkeit verarbeitet werden, muss dies unter Beachtung der Grundsätze des Datenschutzes erfolgen.

Jede Verarbeitung von personenbezogenen Daten muss auf einer Rechtsgrundlage beruhen und darf nur zu bestimmten, vorab festgelegten Zwecken erfolgen. Die Verarbeitung sowie die erhobenen Daten müssen auf das notwendige Maß beschränkt sein und dürfen nur solange wie benötigt gespeichert werden (außer rechtliche Vorgaben verlangen eine längere Aufbewahrung). Vorhandene Daten sollen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Zudem sollen Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Der Verantwortliche ist für die Einhaltung der Vorschriften zuständig und muss die Einhaltung nachweisen können (Dokumentationspflicht).

Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem personenbezogene Daten unbeabsichtigt offengelegt, verändert, gelöscht oder unberechtigt zugänglich gemacht wurden.

Beispiele:

• Verlust von Geräten mit gespeicherten personenbezogenen Geräten oder Zugriffsrechten auf solche: Verlust oder Diebstahl eines Laptops oder USB-Sticks mit unverschlüsselten personenbezogenen Daten.
• Fehlgeleitete E-Mails: Senden personenbezogener Daten an die falsche E-Mail-Adresse oder mit einem Verteiler in cc statt bcc.
• Unbefugte Weitergabe: Weitergabe von Daten an Dritte ohne Zustimmung der betroffenen Personen.
• Hackerangriffe: Unbefugter Zugriff auf einen Bereich mit personenbezogenen Daten durch Schadsoftware.

Sollten Sie eine Verletzung feststellen, kontaktieren Sie bitte umgehend die Datenschutzbeauftragte über das Datenschutz-Portal im Service Desk oder telefonisch unter 401603. Nehmen Sie bitte auch bei einem Verdacht Kontakt auf, die Datenschutzbeauftragte unterstützt bei der Einschätzung einer Situation.

Verantwortliche sind gemäß Artikel 12 DS-GVO verpflichtet, betroffene Personen in klarer und verständlicher Form über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Informationen müssen leicht zugänglich und in einer präzisen, transparenten Weise vor der Datenerhebung bzw. -verarbeitung bereitgestellt werden.

Die Informationspflicht kann in der Regel über einen bereitgestellten Datenschutzhinweis zum Zeitpunkt der Datenerhebung erfüllt werden.

Dieser sollte folgende Angaben gemäß Artikel 12 DS-GVO enthalten:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
• sowie die Rechtsgrundlage für die Verarbeitung;
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• Verweis auf die Betroffenenrechten;
• gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

Entsprechende Vorlagen sind unter "Datenschutz/Datenschutzhinweise" im Verwaltungshandbuch HanFRIED zu finden. Bei Fragen wenden Sie sich an die Datenschutzbeauftragte der Universität.

Betroffene oder betroffene Pesonen, sind die Personen von denen Daten verarbeitet werden. Sie haben nach der DS-GVO das Recht auf Auskunft, Berichtigung, Löschung ("Recht auf Vergessenwerden"), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Sie haben zudem das Recht, nicht einer ausschließlich automatisierten Entscheidung, einschließlich Profiling, unterworfen zu werden. Zudem haben Betroffene das Recht der Beschwerde bei einer Aufsichtsbehörde.

Diese Rechte müssen vor einer Datenverarbeitung den betroffenen Personen mitgeteilt werden (Teil der Informationspflicht bzw. des Datenschutzhinweises).

Wenn sich eine betroffene Person an Sie wendet und um Auskunft oder Löschung ihrer personenbezogenen Daten bittet, müssen wir dem unverzüglich nachgehen. Bitte kontaktieren Sie umgehend die Datenschutzbeauftragte der Universität für eine Beratung.

Bei einer Auskunfts- oder Löschanfrage muss zweifelsfrei festgestellt werden, dass die anfragende Person auch wirklich die Person ist, für die sie sich ausgibt. Die gewünschten Daten sind dann umgehend bereitzustellen oder zu löschen, sofern keine rechtlichen Gründe dagegensprechen. Die maximale Frist zur Bearbeitung beträgt in der Regel einen Monat. Es ist wichtig den gesamten Prozess zu dokumentieren. Die betroffene Person hat zudem das Recht, eine Kopie ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Die Übergabe muss auf einem sicheren Weg und in direkter Absprache mit der betroffenen Person erfolgen.

Sollten Personen klar auf einem Foto erkennbar/identifizierbar sein, ist eine Rechtsgrundlage für die Verarbeitung notwendig. In der Regel wird dies über eine freiwillige Einwilligung der fotografierten Person (Art. 6 Abs. 1 lit. a DS-GVO) ermöglicht. Dazu muss vorab die Einwilligung eingeholt werden und ein Datenschutzhinweis bereit gestellt werden. Muster für beide Dokumente werden im Verwaltungshandbuch HanFRIED bereitgestellt.

Wichtig ist, dass neben dem Zweck der Aufnahmen, den geplanten Veröffentlichungsmedien auch auf die Betroffenenrechte und das Widerspruchsrecht hingewiesen wird.

Idealerweise wird bereits bei Registrierung auf das Vorgehen hingewiesen und/oder spätestens bei der Begrüßung durch den Organisator der geplante Umgang mit dem Thema angesprochen. Der Verantwortliche sollte sich vorab überlegen, wie sichergestellt werden kann, dass Personen, die der Aufnahme widersprechen nicht auf den Aufnahmen erscheinen.

Hinweis: Eine offen zugängliche Liste, wo jeder sich selbst mit Namen einträgt, ist aus Datenschutzsicht nicht zu empfehlen.

Sollte eine Person (nonverbale) Signale senden, dass Sie in einer bestimmten Situation (z. B. beim Essen) nicht fotografiert oder gefilmt werden will, sollte der Fotograf dies auch respektieren und keine Aufnahmen machen, auch wenn die Person allgemein den Aufnahmen zugestimmt hat.

Die Rechtsgrundlagen sind in Artikel 6 DS-GVO klar definiert.

• Einwilligung (Art. 6 Abs. 1 lit a): Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck zugestimmt. Hinweis: Die Einwilligung kann jederzeit widerrufen werden.
• Vertragliche Erfüllung (Art. 6 Abs. 1 lit b): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, an dem die betroffene Person beteiligt ist oder auf deren Anfrage hin Maßnahmen vor Vertragsschluss erfolgen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der Universität erforderlich.
• Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit d): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
• Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit e): Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

Neben der Einwilligung, kommt im universitären Kontext vor allem die rechtliche Verpflichtung (Art. 6 Abs. 1 lit c DS-GVO) oder die Erfüllung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit e DS-GVO) in Betracht. Beides erfolgt in Verbindung mit Landesgesetzen.

Achtung: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten gelten die Bedingungen in Artikel 9 DS-GVO. Zu diesen Daten zählen u. a. Gesundheitsdaten, Religionszugehörigkeit, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Weltanschauung. Diese Datenkategorien unterliegen einem strengeren Schutz.

Bei der Verwendung der Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind mehrere Punkte zu beachten:

• Freiwilligkeit: Die Einwilligung muss freiwillig erfolgen, ohne Zwang oder Nachteil bei Nichteinwilligung.
• Spezifität: Die Einwilligung muss spezifisch für jeden Verarbeitungszweck und klar verständlich sein.
• Informiertheit: Die betroffene Person muss über den Verarbeitungszweck, die Art der Daten und die Identität des Verantwortlichen informiert werden.
• Eindeutigkeit: Die Einwilligung muss durch eine eindeutige positive Handlung, wie beispielsweise das Ankreuzen eines Kästchens, erfolgen.
• Widerrufbarkeit: Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen, und es muss genauso einfach sein, die Einwilligung zu widerrufen wie sie zu geben.
• Protokollierung: Der Verantwortliche sollte die Einwilligung protokollieren können, um im Falle einer Überprüfung die Einhaltung nachweisen zu können.

Die Einhaltung dieser Grundsätze ist entscheidend, um sicherzustellen, dass die Einwilligung rechtmäßig und wirksam ist. Eine Vorlage kann im Verwaltungshandbuch HanFRIED gefunden werden.

Die Aufbewahrungsfrist richtet sich immer nach dem Zweck der Datenverarbeitung. Sobald der Zweck für die personenbezogenen Daten nicht mehr greift, muss gelöscht werden.

Es gibt jedoch Ausnahmen. Denn personenbezogene Daten dürfen nicht gelöscht werden, soweit die Verarbeitung erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung (Beachtung gesetzlicher Aufbewahrungspflichten),
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3 DS-GVO
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke,
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Grundsätzlich sollten personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. 

Sie wollen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen? In der Regel ist hierfür eine Auftragsverarbeitungsvereinbarung (kurz AVV) erforderlich. Das Muster der Universität finden Sie im Verwaltungshandbuch HanFRIED. Alternativ kann eine Mustervereinbarung des Dienstleisters genutzt werden.

Die AVV muss durch die Datenschutzbeauftragte geprüft werden. Anschließend wird der Vertrag dem Rechtsamt zur vertraglichen Prüfung weitergeleitet. Nach erfolgter Prüfung wird die Unterschrift des Kanzlers eingeholt.

Als Auftraggeber tritt vertragsrechtlich i. d. R. die Universitätsleitung auf.