Steck­brief - Wichtiges zum Datens­chutz im Überblick

Ein Erklärvideo zum Einstieg ins Thema:
Das Datenschutz Basismodell (Das Datenschutz-Wimmelbild) (Stand: 06.05.2022)

Einordnung und Umsetzung des Schutzes personenbezogener Daten an der Universität Paderborn – eine Übersicht

Datenschutz ist ein Grundrecht: 
Jede Person hat das Recht auf informationelle Selbstbestimmung und damit den Schutz der sie betreffenden personenbezogenen Daten. Dieses Recht ist ein Grundrecht. Es leitet sich aus dem Persönlichkeitsrecht der deutschen Verfassung (Art. 2 des Grundgesetzes (GG)) ab und ist explizit in Art. 8 der Charta der Grundrechte der Europäischen Union (GrCh) der Europäischen Union geregelt.

Regelungen zum Datenschutz: 
Einfachgesetzlich umgesetzt wird das Grundrecht auf den Schutz personenbezogener Daten grundlegend in der Europäischen Datenschutz-Grundverordnung (DS-GVO). Sie gilt seit dem 25.5.2018 für alle EU-Mitgliedstaaten unmittelbar. Ausgehend von der DS-GVO sind weitere nationale Gesetze zu beachten. Für öffentliche Behörden, wie die Universität Paderborn, konkretisiert vor allem das Landesdatenschutzgesetz NRW (DSG NRW) den Schutz personenbezogener Daten. Ferner spielen zahlreiche spezialgesetzliche Bestimmungen, wie bspw. das Hochschulgesetz NRW (HG NRW) und rechtliche Regelungen der Universität (z.B. Einschreibungsordnung) eine Rolle.

Datenschutz ist Schutz von personenbezogenen Daten: 
Gegenstand des Datenschutzrechts sind personenbezogene Daten, d. h. „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person  beziehen […]; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ (Art. 4 Nr. 1 DS-GVO)

Verantwortung: 
Verantwortlich für die Einhaltung des Datenschutzrechts an der Universität Paderborn ist die Universität, als juristische Person des öffentlichen Rechts. In der internen Umsetzung, haben die Einhaltung des Datenschutzrechts Führungskräfte sowie alle Beschäftigten in ihrem Verantwortungsbereich sicherzustellen. Sie haben alle Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DS-GVO und die damit verbundenen Anforderungen einzuhalten und stellen gemäß Art. 38 Abs. 1 DS-GVO sicher, dass der*die Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Um dieser Verantwortung Rechnung zu tragen, sind die hochschulinternen Strukturen und Prozesse einzuhalten. Beschäftigte dürfen personenbezogene Daten ausschließlich im Rahmen der Weisungsgebundenheit der verantwortlichen Stelle verarbeiten, es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor (Art. 28 Abs. 3 S. 2 lit. a), Art. 29 DS-GVO).

Datenschutzleitlinie:
Die Universität Paderborn legt in ihrer Datenschutzleitlinie den Rahmen für den Umgang mit personenbezogenen Daten, die Einhaltung des Datenschutzes und den sicheren Betrieb ihrer informationstechnischen Infrastrukturen fest.

Etablierung eines Datenschutzmanagements:
Um die Umsetzung der Anforderungen des Datenschutzrechts systematisch zu planen, zu organisieren, zu steuern, zu kontrollieren und zu verbessern hat die Universität Paderborn ein Datenschutzmanagement mit definierten Verantwortlichkeiten sowie einer geeigneten Organisationsstruktur etabliert. Der Austausch von unterschiedlichen Akteuren (Datenschutzbeauftragte*r, Hochschulleitung, Informationssicherheit und weiterer Sachverstand) hat – unter Beachtung des Standard-Datenschutzmodell Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (SDM) – das Ziel, durch Auswahl und/oder Bewertung technischer und organisatorischer Maßnahmen sicherzustellen, dass eine kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt.

Grundsätze des Datenschutzrechts:
Für die Verarbeitung personenbezogener Daten sind die Grundsätze der DS-GVO zu wahren; sie sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:

Personenbezogene Daten müssen danach:

a) auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Die weiteren Regelungen in der DS-GVO beinhalten konkrete Verpflichtungen in Bezug auf die einzelnen Grundsätze. Je nach Datenverarbeitung sind die sich daraus ergebenden Anforderungen auf unterschiedliche Art und Weise zu erfüllen.

Praktische Umsetzung des Datenschutzrechts: 
Die Umsetzung der einzelnen Anforderungen des Datenschutzrechts kann sehr unterschiedlich und durchaus mit sehr komplexen Herausforderungen verbunden sein. Auf den Seiten zum Datenschutzrecht an der Universität Paderborn werden die grundlegenden Anforderungen erklärt und Hilfsangebote- und materialen zur Verfügung gestellt, um Sie bei konkreten Anforderungen und Fragestellungen zu unterstützen.

Datenschutzbeauftragte*r und Datenschutzkoordinator*innen:
Die Universität Paderborn hat gemäß Art. 37 DS-GVO eine*n Datenschutzbeauftragte*n benannt. Die*der Datenschutzbeauftragte ist der Hochschulleitung unmittelbar unterstellt und in seiner*ihrer Tätigkeit weisungsfrei. Ihm*Ihr obliegen die Aufgaben gemäß Art. 39 der DS-GVO. Dazu gehören insbesondere die Unterrichtung und Beratung der Universität und ihrer Beschäftigten hinsichtlich ihrer Pflichten zur Verarbeitung personenbezogener Daten, die Überwachung der Einhaltung des Datenschutzes, die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen sowie die Zusammenarbeit mit der Aufsichtsbehörde. Betroffene Personen können die*den Datenschutzbeauftragte*n zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen (Art. 38 Abs. 4 DS-GVO).

In den einzelnen Dezernaten/Fakultäten/Organisationseinheiten gibt es außerdem benannte Datenschutzkoordinator*innen, die Sie als erste Anlaufstelle in Datenschutzfragen unterstützen können.

Informationen und Hilfsmaterialien 
Unter Informationen und Hilfsmaterialien finden Sie grundlegende Informationen sowie unterschiedliche Hilfsmittel (bspw. Muster) zur datenschutzkonformen Verarbeitung personenbezogener Daten.

Die Grundlagen des Datenschutzes erläutert auch ein E-Learning-Kurs in der Lernplattform PANDA.