Datenschutz an der TUHH

Wann überhaupt muss ich den Datenschutz berücksichtigen?

Diese Seite dient dazu, erste Grundlagen zum Thema Datenschutz zu vermitteln, um die Einhaltung der datenschutzrechtlichen Bestimmungen an der TUHH zu gewährleisten.

Die datenschutzrechtliche Verantwortlichkeit für die Einhaltung der gesetzlichen Bestimmungen liegt beim Präsidium. Die Einhaltung dieser Bestimmungen ist ferner aber auch Verpflichtung und Verantwortung aller Mitglieder und Angehörigen der TUHH.

Was ist Datenschutz?

Kurz gesagt: Datenschutz umfasst den Schutz einer Person vor der missbräuchlichen Verarbeitung ihrer persönlichen Informationen. Jeder kann zunächst selbst entscheiden, welche Informationen über sich an die Öffentlichkeit gelangen. Menschen sind frei in ihrer Entscheidung, wer diese Informationen erhalten darf und was mit ihnen geschieht. Einschränkungen jeglicher Art in diese Entscheidung, bedürfen einer gesetzlichen Regelung (siehe unter „Legitimation“). Das heißt: im Grunde genommen, ist die Verarbeitung von personenbezogenen Daten verboten, es sei denn, eine gesetzliche Legitimation gestattet die Verarbeitung. Zum Beispiel kann eine Hochschule gegebenenfalls personenbezogene Daten verarbeiten, wenn sie zur Erfüllung der Hochschulaufgabe notwendig ist.

Die Datenschutzgrundverordnung (DSGVO) gilt für die komplette TUHH. Das Hamburgische Datenschutzgesetz als auch das Hamburgische Hochschulgesetz mit den hochschuleigenen Satzungen und Ordnungen ergänzen und konkretisieren die DSGVO.

Wichtig ist: Zu Beginn eines jeden Projektes oder beim Start eines neuen Vorhabens, zum Beispiel die Einführung einer neuen Software, die Datenschutzkoordination der Hochschule zu kontaktieren.

Wann verarbeite ich personenbezogene Daten?

Die DSGVO kommt ins Spiel, wenn in einem Arbeitsschritt oder Projekt personenbezogene Daten verarbeitet werden. Denn erst, wenn das vorliegt, müssen auch datenschutzrechtliche Maßnahmen ergriffen werden. Erst dann haben die betroffenen Personen (deren personenbezogenen Daten verarbeitet werden) bestimmte Rechte und der Verantwortliche bestimmte Pflichten.

(1) Personenbezogene Daten

Darunter sind alle Informationen zu erstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr.1 DSGVO. Zum Beispiel (keine abschließende Aufzählung):

  • Allgemeine Personendaten, wie: Name, Alter, Geburtsdatum, Anschrift, Familienstand
  • Physische Merkmale, wie: Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße
  • Kennnummern, wie: Matrikelnummer, Identifikationsnummer, Personalausweisnummer, Sozialversicherungsnummer
  • Bankdaten, wie: Kreditkarte, Kontonummer, Einkommen, Kontostände
  • Besitzmerkmale, wie: Fahrzeug-, Immobilieneigentum, Grundbucheintrag
  • Onlinedaten, wie: Standortdaten, IP-Adresse, E-Mail-Adresse, Cookie-Kennung
  • Gesundheitsinformationen, wie: genetische Daten, Krankendaten
  • Werturteile, wie: Schul- und Arbeitszeugnisse

(2) Die Verarbeitung

Eine Verarbeitung ist ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B.:

  • Das Erfassen von personenbezogenen Daten im Rahmen des Immatrikulationsprozesses und Speichern dieser Daten
  • Das Ordnen und Strukturieren von personenbezogenen Daten durch das Anlegen von digitalen Akten oder Handakten
  • Das Weiterleiten von personenbezogenen Daten an einen Dienstleister (z.B. externer Newsletter-Anbieter) oder aber auch an eine interne Stelle zur Weiterbearbeitung (z.B. Einkauf, Controlling etc.)
  • Verändern von personenbezogenen Daten im Rahmen eines Forschungsprojektes (z.B. durch Auswertung, Pseudonymisierung von personenbezogenen Daten)
  • Das Löschen von personenbezogenen Daten stellt auch eine Verarbeitung dar, z.B. das Löschen von exmatrikulierten Studierenden oder auch ausgeschiedenen Mitarbeitern
  • Das Vernichten von Dokumenten, die personenbezogene Daten enthalten

Was heißt das nun für mich?

Vorab zusammengefasst: Als (intern) Verantwortlicher müssen Sie in jedem Fall (1) die Informationspflichten gegenüber den Betroffenen erfüllen, (2) dürfen Sie die Verarbeitung nur durchführen, wenn Sie eine Legitimation haben, (3) das Verarbeitungsverzeichnis führen, (4) rechtzeitiges Einbinden des Datenschutzkoordinators und (5) ggf. die Meldepflichten bei Datenpannen beachten.

(1) Informationspflichten

Zum Zeitpunkt der Verarbeitung von Daten sind betroffene Personen entsprechend des Art. 12.ff der DSGVO zu informieren. Die Datenschutzerklärung einer Webseite hat zum Beispiel in erster Linie das Ziel, dieser Informationspflicht nachzukommen.

(2) Legitimation

Bei der DSGVO handelt es sich um ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, die Verarbeitung personenbezogener Daten durch die Hochschule ist immer dann verboten, wenn sie nicht ausnahmsweise nach Art. 6 Abs. 1 DSGVO erlaubt ist. Eine Legitimation zur Verarbeitung kann durch eine gesetzliche Rechtsgrundlage vorliegen (bspw., wenn staatliche Hochschulen Daten zur Erfüllung ihres öffentlichen Auftrages verarbeiten). Die Verarbeitung kann aber auch durch eine freiwillige Einwilligung von Betroffenen möglich werden (bspw. zur Aufzeichnung von Videokonferenzen).

Zusammenfassend kann sich die Legitimation für die Verarbeitung aus verschiedenen Rechtsgrundlagen ergeben. Wenn Sie sich unsicher sind, lassen Sie sich gern durch Ihre Datenschutzkoordination beraten, unter datenschutz(at)tuhh.de beraten.

Hinweis: Eine Mustereinwilligungserklärung existiert nicht, sie ist auch kaum für alle Fälle eindeutig zu verfassen. Nichtsdestotrotz finden Sie unter dem folgenden Link eine kurze Anleitung, damit Ihre Einwilligungserklärung datenschutzfreundlich gelingen kann. (kommt demnächst)

(3) VVT

Die DSGVO verpflichtet den Verantwortlichen dazu, eine Dokumentation und Verfahrensübersicht über die Verarbeitung von personenbezogenen Daten, die an der Hochschule erfolgen, zu führen. In diesem „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) müssen alle wesentlichen Angaben über die Datenverarbeitung aufgeführt werden. Beispiele für eine dokumentationswürdige Verarbeitungstätigkeit an einer Hochschule können sein (keine abschließende Aufzählung!):

  • Verwaltung von Studierendendaten
  • Immatrikulationsprozess
  • Prüfungsverwaltung
  • Forschungsdatenerhebung
  • Verwaltung von Daten der Ausleihenden für Geräte im Fachbereich
  • Verwaltung der Nutzerkonten der Hochschulbibliothek
  • Verabschiedung  von Absolvent*innen
  • Teilnehmende an einem Kurs/Veranstaltung (insbesondere Teilnehmerverwaltung, Zusendung von Teilnamebescheinigungen, Auswertung der Teilnahme etc.)
  • Teilnehmende an einer Exkursion
  • Personalaktenführung

(4) Frühes Einbinden des Datenschutzkoordinators

Der Datenschutzkoordinator der Hochschule ist frühzeitig, d.h. bereits bei der Planung eines Einsatzes einer neuer Verarbeitungstätigkeit miteinzubeziehen. Dadurch können datenschutzrechtliche Aspekte von Anfang an berücksichtigt werden, wie z.B.

  • bei der Verarbeitung "besonderer Kategorien" personenbezogener Daten lt. Art. 9 DSGVO (dies sind z.B. Gesundheitsdaten, Daten über politische Meinungen, ethnische Herkunft, biometrische Daten,....)
  • bei dem Umgang mit großen Mengen an personenbezogenen Daten oder
  • wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen könnte.

(5) Datenschutzverletzung

Sollte es zu einer Datenschutzverletzung (Datenschutzpanne) kommen, ist die Hochschule unter gewissen Umständen dazu verpflichtet, diese Panne der Datenschutzbehörde binnen 72 Stunden zu melden. Es kommt auch in Betracht, dass der Vorfall der betroffenen Person gemeldet werden muss, Art. 33, 34 DSGVO.

Beispiele für eine Datenschutzverletzung:

  • ein verlorengegangener USB-Stick, unverschlüsselt
  • versendete E-Mail mit falschem Anhang
  • liegengelassener Dienstrechner (am Bahnhof/Flughafen/im Bus o.ä.)
  • der Versand von E-Mails an einen größeren Empfängerkreis ohne Verwendung der BCC-Funktion
  • Entsorgung von vertraulichen Unterlagen/Dokumenten im Papiermüll

Die abschließende Bewertung, ob eine risikolose Datenschutzverletzung vorliegt, die gegebenenfalls nicht meldepflichtig ist, obliegt dem Datenschutzbeauftragten. In jedem Fall sollten Sie bei einer Datenschutzpanne im Zweifel sofort Ihren Vorgesetzten und /oder den Datenschutzbeauftragten und den Datenschutzkoordinator*in kontaktieren!

Wo finde ich weiterführende Informationen und an wen kann ich mich bei Fragen wenden?

Die TUHH arbeitet eng mit dem MMKH zusammen. Das MMKH bietet Informationen rund um das Thema „Datenschutz in der Hochschule“ und unterstützt die TUHH und weitere Hamburger Hochschulen bei allen Fragen rund um das Thema Datenschutz.

Vertiefende Hinweise und Informationen zum Thema Datenschutz an den Hamburger Hochschulen finden Sie unter: www.hh-datenschutz.de

Zum Schluss

Ein Irrglaube der an den Hochschulen weit verbreitet ist: Öffentliche Stellen (und damit auch die Hochschulen) sind durch das Hamburgische Datenschutzgesetz von der Bußgeldandrohung der DSGVO zwar ausgenommen (§ 24 Abs. 3 HmbDSG), allerdings gibt es über das Bußgeld hinaus weitere Reaktionsmöglichkeiten, die der Aufsichtsbehörde gegenüber einer Hochschule zur Verfügung stehen und sogar kumulativ Anwendung finden können. Art. 58 Abs. 2 DSGVO nennt zehn Abhilfebefugnisse, unter anderem Warnungen, Verwarnungen, Anweisungen, Beschränkungen, Anordnungen bis hin zum Widerruf von Zertifizierungen. Die Abhilfebefugnisse variieren nach Schwere und Dauer des Verstoßes. Somit kann auch eine Hochschule, die zwar gegenüber dem Bußgeld privilegiert ist, vor enormen Problemen stehen, wenn etwa Datenverarbeitungen beschränkt oder ganz verboten werden.

Des Weiteren besteht gegen die Hochschule ein Schadenersatzanspruch (Art. 82 DSGVO), sofern jemandem ein finanzieller Schaden durch die Datenschutzverletzung der Hochschule entsteht. Im Rahmen des Arbeits- und Dienstrechts kann die Hochschule intern die verantwortliche Person in Regress nehmen.