Ein Puzzle mit Begriffen aus dem Datenschutz. Ein Puzzleteil mit dem Begriff Datenschutz wird von einer Hand in eine Lücke mit dem Begriff DSGVO gelegt..

Allgemeine Informationen zum Datenschutz

Datenschutz ist ein zentrales Anliegen in einer zunehmend digitalen Welt. Hier stellen wir unseren Beschäftigten Informationen zum Datenschutz zur Verfügung.
Ein Puzzle mit Begriffen aus dem Datenschutz. Ein Puzzleteil mit dem Begriff Datenschutz wird von einer Hand in eine Lücke mit dem Begriff DSGVO gelegt..
Foto: Adobe stock

Was ist Datenschutz?

Datenschutz ergibt sich aus dem Grundsatz der Selbstbestimmung und Kontrolle über die eigenen Daten. Dieser muss beachtet werden, wenn Daten natürlicher Personen verarbeitet werden sollen und bedeutet, dass eine Verarbeitung nur mit einer entsprechenden Rechtsgrundlage oder der Einwilligung der betroffenen Person erfolgen darf. Mit geeigneten Maßnahmen sollen die Persönlichkeitsrechte geschützt und die Privatsphäre gewahrt bleiben.

Den Rahmen für den Datenschutz in Deutschland bilden hauptsächlich die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu). In Thüringen kommt für öffentliche Stellen das Thüringer Datenschutzgesetz (ThürDSG) hinzu.

Warum ist Datenschutz wichtig?

Ein blau-weiße Schild vor einer grauen Wand. Auf dem Schild ist ein weißes Schloß zu sehen.

Foto: Adobe stock

Datenschutz ist in unserer heutigen Zeit aus mehreren Gründen besonders wichtig:

  1. Bewahrung der persönlichen Autonomie: Datenschutz gibt den Menschen die Kontrolle über ihre persönlichen Informationen und ermöglicht es ihnen, selbst zu entscheiden, wie ihre Daten verwendet werden dürfen.
  2. Schutz der Privatsphäre: Im digitalen Zeitalter werden riesige Mengen an persönlichen Daten gesammelt und digital verarbeitet. Datenschutz gewährleistet, dass persönliche Informationen nicht missbraucht oder unerwünscht genutzt werden.
  3. Schutz vor Diskriminierung: Ohne angemessenen Datenschutz könnten persönliche Informationen verwendet werden, um diskriminierende Entscheidungen zu treffen, beispielsweise bei der Arbeitssuche, Kreditvergabe oder medizinischen Behandlung.
  4. Förderung des Vertrauens: Ein effektiver Datenschutz baut Vertrauen auf. Wenn Menschen wissen, dass ihre Daten sicher sind, sind sie eher bereit, digitale Dienste zu nutzen und persönliche Informationen gezielt bereitzustellen.
  5. Sicherstellung fairer Handelspraktiken: Datenschutz trägt dazu bei, den Wettbewerb auf dem Markt fair zu halten, indem er sicherstellt, dass Unternehmen keine unfairen Vorteile durch den Missbrauch persönlicher Daten ihrer Kunden erlangen.

Angesichts des rapiden technologischen Fortschritts und der zunehmenden Cyberkriminalität ist Datenschutz heute wichtiger denn je. Digitale Daten sind leichter zugänglich und können leichter missbraucht werden. Datenschutzmaßnahmen sind daher entscheidend, um die Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu gewährleisten.

Insgesamt trägt Datenschutz also maßgeblich dazu bei, individuelle Rechte zu schützen, Fairness und Vertrauen in der Gesellschaft zu fördern und eine ausgewogene Nutzung digitaler Technologien sicherzustellen.

Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DS-GVO

  • Rechtmäßigkeit, Treu und Glauben, Transparenz

    Eine Verarbeitung personenbezogener Daten benötigt immer eine Rechtsgrundlage und muss nach Treu und Glauben sowie in einer für betroffene Personen nachvollziehbaren Weise erfolgen.

  • Zweckbindung

    Eine Verarbeitung personenbezogener Daten darf nur für einen festgelegten, eindeutigen und legitimen Zweck erfolgen. Dieser muss vor einer Verarbeitung von Daten festgelegt werden.

  • Datenminimierung

    Eine Erhebung personenbezogener Daten muss dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

  • Richtigkeit

    Verarbeitete personenbezogene Daten sollen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.

  • Speicherbegrenzung

    Personenbezogene Daten sollen nur solange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.

  • Integrität und Vertraulichkeit

    Daten sollen nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.

  • Rechenschaftspflicht

    Der Verantwortliche ist für die Einhaltung der Vorschriften zuständig und muss die Einhaltung nachweisen können (Dokumentationspflicht).

Leitlinie zum Datenschutz

Die Buchstaben für Guideline stehen auf Holzwürfeln und werden von einer Hand gedreht.

Foto: Adobe stock

Die Friedrich-Schiller-Universität Jena verarbeitet bei der Erfüllung ihrer gesetzlichen Aufgaben in Forschung, Lehre und Verwaltung regelmäßig personenbezogene Daten von
Studierenden, Beschäftigten und externen Personen. Dabei ist der Universität Jena der Schutz der anvertrauten personenbezogenen Daten besonders wichtig. Das CIO-Gremium der Universität Jena verabschiedete daher eine Leitlinie als grundlegende Regelung zur Umsetzung des Datenschutzes. Mit dieser werden die Ziele, Maßnahmen und die Organisationsstruktur des Datenschutzes an der Universität Jena beschrieben. Die Leitlinie zum Datenschutz finden Beschäftigte im Verwaltungshandbuch HanFRIEDDieser Link erfordert eine Anmeldung.

FAQs zum Datenschutz

In diesem Bereich geben wir Informationen zu den wichtigsten Hintergründe im Datenschutz und beantworten häufig gestellte Fragen. Sollten sie hier keine Antwort auf ihr Anliegen finden, kontaktieren Sie bitte die Datenschuztbeauftragte.

  • Datenschutz - Warum ist das überhaupt wichtig?

    Datenschutz ist unverzichtbar, um sicherzustellen, dass persönliche Informationen von Personen nicht missbraucht oder von Unbefugten abgerufen werden. Er gewährleistet die Privatsphäre, verhindert Identitätsdiebstahl, sichert die Meinungsfreiheit und schützt vor Diskriminierung und Überwachung. Gerade die zunehmende Digitalisierung der Gesellschaft eröffnet den Zugang zu einer Vielzahl persönlicher Daten und birgt dadurch ein hohes Missbrauchspotenzial.

  • Für wen gilt die Datenschutzgrundverordnung (DS-GVO)?

    Die DS-GVO gilt für alle, die personenbezogene Daten in der Europäischen Union verarbeiten. Ausgenommen ist eine Verarbeitung ausschließlich für persönliche oder familiäre Zwecke.

    Die Einhaltung des Datenschutzes bei der Verarbeitung von personenbezogenen Daten an der Universität Jena verantwortet die Leitung. Allerdings sind alle Angehörigen im Rahmen ihrer Tätigkeit an der Universität an die Vorgaben der DS-GVO gebunden. Sofern also personenbezogene Daten während der Tätigkeit verarbeitet werden, muss dies unter Beachtung der Grundsätze des Datenschutzes erfolgen.

  • Welche Grundsätze muss ich unbedingt beachten?

    Jede Verarbeitung von personenbezogenen Daten muss auf einer Rechtsgrundlage beruhen und darf nur zu bestimmten, vorab festgelegten Zwecken erfolgen. Die Verarbeitung sowie die erhobenen Daten müssen auf das notwendige Maß beschränkt sein und dürfen nur solange wie benötigt gespeichert werden (außer rechtliche Vorgaben verlangen eine längere Aufbewahrung). Vorhandene Daten sollen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Zudem sollen Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Der Verantwortliche ist für die Einhaltung der Vorschriften zuständig und muss die Einhaltung nachweisen können (Dokumentationspflicht).

  • Datenschutzverletzung - Was ist das und was muss ich tun, wenn ich eine Verletzung vermute?

    Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem personenbezogene Daten unbeabsichtigt offengelegt, verändert, gelöscht oder unberechtigt zugänglich gemacht wurden.

    Beispiele:

    • Verlust von Geräten mit gespeicherten personenbezogenen Geräten oder Zugriffsrechten auf solche: Verlust oder Diebstahl eines Laptops oder USB-Sticks mit unverschlüsselten personenbezogenen Daten.
    • Fehlgeleitete E-Mails: Senden personenbezogener Daten an die falsche E-Mail-Adresse oder mit einem Verteiler in cc statt bcc.
    • Unbefugte Weitergabe: Weitergabe von Daten an Dritte ohne Zustimmung der betroffenen Personen.
    • Hackerangriffe: Unbefugter Zugriff auf einen Bereich mit personenbezogenen Daten durch Schadsoftware.

    Sollten Sie eine Verletzung feststellen, kontaktieren Sie bitte umgehend die Datenschutzbeauftragte über das Datenschutz-Portal im Service Desk oder telefonisch unter 401603. Nehmen Sie bitte auch bei einem Verdacht Kontakt auf, die Datenschutzbeauftragte unterstützt bei der Einschätzung einer Situation.

  • Was ist die Informationspflicht?

    Verantwortliche sind gemäß Artikel 12 DS-GVO verpflichtet, betroffene Personen in klarer und verständlicher Form über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Informationen müssen leicht zugänglich und in einer präzisen, transparenten Weise vor der Datenerhebung bzw. -verarbeitung bereitgestellt werden.

  • Ich brauche eine Vorlage für einen Datenschutzhinweis. Wo finden ich diese?

    Die Informationspflicht kann in der Regel über einen bereitgestellten Datenschutzhinweis zum Zeitpunkt der Datenerhebung erfüllt werden.

    Dieser sollte folgende Angaben gemäß Artikel 12 DS-GVO enthalten:

    • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
    • die Kontaktdaten des Datenschutzbeauftragten;
    • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
    • sowie die Rechtsgrundlage für die Verarbeitung;
    • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    • Verweis auf die Betroffenenrechten;
    • gegebenenfalls die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
    • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
    • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.

    Entsprechende Vorlagen sind unter "Datenschutz/Datenschutzhinweise" im Verwaltungshandbuch HanFRIED zu finden. Bei Fragen wenden Sie sich an die Datenschutzbeauftragte der Universität.

  • Was sind die Betroffenenrechte?

    Betroffene oder betroffene Pesonen, sind die Personen von denen Daten verarbeitet werden. Sie haben nach der DS-GVO das Recht auf Auskunft, Berichtigung, Löschung ("Recht auf Vergessenwerden"), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten. Sie haben zudem das Recht, nicht einer ausschließlich automatisierten Entscheidung, einschließlich Profiling, unterworfen zu werden. Zudem haben Betroffene das Recht der Beschwerde bei einer Aufsichtsbehörde.

    Diese Rechte müssen vor einer Datenverarbeitung den betroffenen Personen mitgeteilt werden (Teil der Informationspflicht bzw. des Datenschutzhinweises).

  • Ich habe eine Auskunfts- oder Löschanfrage einer betroffenen Person. Was muss ich tun?

    Wenn sich eine betroffene Person an Sie wendet und um Auskunft oder Löschung ihrer personenbezogenen Daten bittet, müssen wir dem unverzüglich nachgehen. Bitte kontaktieren Sie umgehend die Datenschutzbeauftragte der Universität für eine Beratung.

    Bei einer Auskunfts- oder Löschanfrage muss zweifelsfrei festgestellt werden, dass die anfragende Person auch wirklich die Person ist, für die sie sich ausgibt. Die gewünschten Daten sind dann umgehend bereitzustellen oder zu löschen, sofern keine rechtlichen Gründe dagegensprechen. Die maximale Frist zur Bearbeitung beträgt in der Regel einen Monat. Es ist wichtig den gesamten Prozess zu dokumentieren. Die betroffene Person hat zudem das Recht, eine Kopie ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Die Übergabe muss auf einem sicheren Weg und in direkter Absprache mit der betroffenen Person erfolgen.

  • Bei meiner Veranstaltung möchte ich Foto- und/oder Videoaufnahmen machen. Was ist zu beachten?

    Sollten Personen klar auf einem Foto erkennbar/identifizierbar sein, ist eine Rechtsgrundlage für die Verarbeitung notwendig. In der Regel wird dies über eine freiwillige Einwilligung der fotografierten Person (Art. 6 Abs. 1 lit. a DS-GVO) ermöglicht. Dazu muss vorab die Einwilligung eingeholt werden und ein Datenschutzhinweis bereit gestellt werden. Muster für beide Dokumente werden im Verwaltungshandbuch HanFRIED bereitgestellt.

    Wichtig ist, dass neben dem Zweck der Aufnahmen, den geplanten Veröffentlichungsmedien auch auf die Betroffenenrechte und das Widerspruchsrecht hingewiesen wird.

    Idealerweise wird bereits bei Registrierung auf das Vorgehen hingewiesen und/oder spätestens bei der Begrüßung durch den Organisator der geplante Umgang mit dem Thema angesprochen. Der Verantwortliche sollte sich vorab überlegen, wie sichergestellt werden kann, dass Personen, die der Aufnahme widersprechen nicht auf den Aufnahmen erscheinen.

    Hinweis: Eine offen zugängliche Liste, wo jeder sich selbst mit Namen einträgt, ist aus Datenschutzsicht nicht zu empfehlen.

    Sollte eine Person (nonverbale) Signale senden, dass Sie in einer bestimmten Situation (z. B. beim Essen) nicht fotografiert oder gefilmt werden will, sollte der Fotograf dies auch respektieren und keine Aufnahmen machen, auch wenn die Person allgemein den Aufnahmen zugestimmt hat.

  • Rechtsgrundlagen - Welche kann ich nutzen für die Verarbeitung?

    Die Rechtsgrundlagen sind in Artikel 6 DS-GVO klar definiert.

    • Einwilligung (Art. 6 Abs. 1 lit a): Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck zugestimmt. Hinweis: Die Einwilligung kann jederzeit widerrufen werden.
    • Vertragliche Erfüllung (Art. 6 Abs. 1 lit b): Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, an dem die betroffene Person beteiligt ist oder auf deren Anfrage hin Maßnahmen vor Vertragsschluss erfolgen.
    • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der Universität erforderlich.
    • Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit d): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
    • Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit e): Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

    Neben der Einwilligung, kommt im universitären Kontext vor allem die rechtliche Verpflichtung (Art. 6 Abs. 1 lit c DS-GVO) oder die Erfüllung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit e DS-GVO) in Betracht. Beides erfolgt in Verbindung mit Landesgesetzen.

    Achtung: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten gelten die Bedingungen in Artikel 9 DS-GVO. Zu diesen Daten zählen u. a. Gesundheitsdaten, Religionszugehörigkeit, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Weltanschauung. Diese Datenkategorien unterliegen einem strengeren Schutz.

  • Einwilligung als Rechtsgrundlage - Was ist zu beachten und wo finde ich eine Vorlage?

    Bei der Verwendung der Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind mehrere Punkte zu beachten:

    • Freiwilligkeit: Die Einwilligung muss freiwillig erfolgen, ohne Zwang oder Nachteil bei Nichteinwilligung.
    • Spezifität: Die Einwilligung muss spezifisch für jeden Verarbeitungszweck und klar verständlich sein.
    • Informiertheit: Die betroffene Person muss über den Verarbeitungszweck, die Art der Daten und die Identität des Verantwortlichen informiert werden.
    • Eindeutigkeit: Die Einwilligung muss durch eine eindeutige positive Handlung, wie beispielsweise das Ankreuzen eines Kästchens, erfolgen.
    • Widerrufbarkeit: Die betroffene Person muss das Recht haben, ihre Einwilligung jederzeit zu widerrufen, und es muss genauso einfach sein, die Einwilligung zu widerrufen wie sie zu geben.
    • Protokollierung: Der Verantwortliche sollte die Einwilligung protokollieren können, um im Falle einer Überprüfung die Einhaltung nachweisen zu können.

    Die Einhaltung dieser Grundsätze ist entscheidend, um sicherzustellen, dass die Einwilligung rechtmäßig und wirksam ist. Eine Vorlage kann im Verwaltungshandbuch HanFRIED gefunden werden.

  • Wie lange darf ich personenbezogene Daten speichern?

    Die Aufbewahrungsfrist richtet sich immer nach dem Zweck der Datenverarbeitung. Sobald der Zweck für die personenbezogenen Daten nicht mehr greift, muss gelöscht werden.

    Es gibt jedoch Ausnahmen. Denn personenbezogene Daten dürfen nicht gelöscht werden, soweit die Verarbeitung erforderlich ist

    • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
    • zur Erfüllung einer rechtlichen Verpflichtung (Beachtung gesetzlicher Aufbewahrungspflichten),
    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3 DS-GVO
    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke,
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Grundsätzlich sollten personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. 

  • Ich habe eine Auftragsverarbeitung - wie ist das Vorgehen?

    Sie wollen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen? In der Regel ist hierfür eine Auftragsverarbeitungsvereinbarung (kurz AVV) erforderlich. Das Muster der Universität finden Sie im Verwaltungshandbuch HanFRIED. Alternativ kann eine Mustervereinbarung des Dienstleisters genutzt werden.

    Die AVV muss durch die Datenschutzbeauftragte geprüft werden. Anschließend wird der Vertrag dem Rechtsamt zur vertraglichen Prüfung weitergeleitet. Nach erfolgter Prüfung wird die Unterschrift des Kanzlers eingeholt.

    Als Auftraggeber tritt vertragsrechtlich i. d. R. die Universitätsleitung auf.

Würfel mit Kontaktsymbolen

Foto: Adobe Stock

Haben Sie weitere Fragen zum Datenschutz? Oder benötigen Sie eine individuelle Beratung oder Schulung zum Datenschutz?

Kontaktieren Sie bitte die Datenschutzbeauftragte der Universität Jena:

Frau Dr. Jana Schleicher

Telefon: +49 3641 9-401603

E-Mail: jana.schleicher@uni-jena.de

Allgemeine Beratungsanfragen und die Meldung von Datenschutzverletzungen können über den Service Desk - Datenschutz-PortalExterner Link oder per E-Mail an datenschutz@uni-jena.de gestellt werden.

Information

Die Datenschutzbeauftragte ist bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung und der Vertraulichkeit gebunden. Namen oder andere auf eine konkrete Person beziehbare Daten werden nicht weitergegeben, außer die Person ist damit einverstanden.

Weiterführende externe Inhalte

Das Datenschutzwimmelbild: Eine kurzweilige und verständliche Erklärung zum Datenschutz an Hochschulen (Quelle: Universität Bielefeld) findet sich hier Externer Link

Die aktuelle Version der Datenschutz-Grundverordnung (DS-GVO) findet sich zum Beispiel unter https://dsgvo-gesetz.de/Externer Link

Wichtig für den Datenschutz an der Universität sind insbesondere:

  • Artikel 5 - Grundsätze des Datenschutz
  • Artikel 6 - Rechtmäßigkeit der Verarbeitung (Rechtsgrundlage)
  • Artikel 9 - Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, Glaubenszugehörigkeit etc.)
  • Artikel 12-22 - Informationspflicht, Auskunftsrecht, Betroffenenrechte
  • Artikel 32 - Datensicherheit (technische und organisatorische Maßnamen)

Die aktuelle Version der Bundesdatenschutzgesetzes (BDSG): https://dsgvo-gesetz.de/bdsg/Externer Link

Die aktuelle Version des Thüringer Datenschutzgesetzes (ThürDSG)https://dsgvo-gesetz.de/thuerdsg/Externer Link