Datenschutz

Die Datenschutzbeauftragte schützt keine Daten, sondern Personen vor der Verletzung ihrer grundrechtlich garantierten Persönlichkeitsrechte durch den fehlerhaften oder rechtswidrigen Umgang mit ihren Daten.

Letzte Änderung: 09. Juli 2018 - Status: In laufender Bearbeitung


Rechtliche Grundlagen

Weitere Informationen zum Datenschutz

Dokumente und Formulare


Häufig gestellte Fragen: Inkrafttreten des HDSIG und der DSGVO

HDSIG? DSGVO? Ich arbeite mit personenbezogenen Daten. Muss ich mir als Mitarbeiterin bzw. Mitarbeiter der Universität jetzt Sorgen machen?

  • Nein, es sei denn, Sie hätten sich auch schon vor Inkrafttreten der DSGVO Sorgen machen müssen. Bitte lesen Sie hierzu auch die Zusammenfassung des "Forums Privatheit" zur DSGVO.
  • Verantwortlich für die Einhaltung datenschutzrechtlicher Bestimmungen ist die Leitung der Universität Kassel. Diese haftet ggf. auch für Verstöße. Sie persönlich können (wie bisher schon) nur zur Verantwortung gezogen werden, wenn Sie personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeiten oder durch unrichtige Angaben erschleichen und hierbei gegen Entgelt oder in der Absicht handeln, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 37 HDSIG, Straftat). Nach § 38 HDSIG kann zudem ein Bußgeld gegen Sie verhängt werden, wenn Sie personenbezogene Daten für andere Zwecke verarbeiten, als für die sie übermittelt wurden (Ordnungswidrigkeit). Dass Ihnen ersteres (§ 37) "aus Versehen" passiert, ist schwer vorstellbar. Bei letzterem (§ 38) hilft Aufpassen und im Zweifel nachfragen.
  • Wenn Sie eine Anweisung erhalten, deren datenschutzrechtliche Zulässigkeit Sie bezweifeln, können Sie (wie auch in jeder anderen Angelegenheit des Datenschutzes) jederzeit und unmittelbar die Datenschutzbeauftragte einschalten. Die Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet (§ 6, Abs. 4 HDSIG).
  • Sie können das Inkrafttreten der neuen Rechtsvorschriften gerne zum Anlass nehmen, die Datenbestände im eigenen Bereich kritisch unter die Lupe zu nehmen: Wo sind personenbezogene Daten enthalten? Ist deren Verarbeitung durch Rechtsvorschrift oder Einwilligung erlaubt (s.u.)? Wenn nein: Löschen oder anonymisieren. Wenden Sie sich im Zweifel an die Datenschutzbeauftragte.
  • Sofern Sie mit dem Contentmanagement-System arbeiten und Inhalte auf www.uni-kassel.de veröffentlichen, sollten Sie besonders darauf achten, dass keine personenbezogenen Daten sichtbar sind, die dort nicht (oder nicht mehr) sein dürften. Es gab in der Vergangenheit immer wieder Beschwerden wegen alter Prüfungslisten, Hausarbeiten und ähnlichem.

Muss ich jetzt alle Visitenkarten vernichten und alle E-Mails löschen, die ich jemals bekommen habe?

  • Nein. Wenn Ihnen jemand eine E-Mail sendet oder die Visitenkarte überreicht, können Sie das als konkludente Einwilligung zu einer "Verarbeitung" werten.
  • Darüber, wo die Grenzen dieser Verarbeitung zu ziehen sind, lässt sich jedoch oft trefflich streiten. Beispiel: Wenn Ihnen jemand die Visitenkarte gibt, hat die Person wahrscheinlich kein Problem damit, wenn Sie die Kontaktdaten nicht nur in Ihrer Brieftasche "speichern", sondern auch auf Ihrem Rechner. Wenn Sie jedoch die Kontaktdaten (womöglich noch in Verbindung mit weiteren Daten wie einem Bild oder dem Geburtsdatum) von Ihrem Rechner in die Cloud eines Dritten "hochladen" (Google Kontakte, WhatsApp, etc.), wird für viele bereits eine Grenze überschritten sein. Derlei sollten Sie also vermeiden.

Was ist mit meinen alten Verfahrensverzeichnissen bzw. meinen alten Vorabkontrollen? Gelten die noch? Was tritt künftig an deren Stelle?

  • Verfahrensverzeichnisse und begründete Ergebnisse von Vorabkontrollen nach HDSG behalten ihre Gültigkeit, müssen aber ggf. ergänzt werden.
  • [Einzelheiten zu den erforderlichen Ergänzungen werden an dieser Stelle noch beschrieben.]

Ich habe gehört, dass es mit der DSGVO erweiterte Privilegien für die Verarbeitung von personenbezogenen Daten in der Forschung gibt. Was hat sich da geändert bzw. was gilt überhaupt für Forschungsvorhaben mit personenbezogenen Daten?


Häufig gestellte Fragen: Grundsätzliches zum Datenschutz

Was sind personenbezogene Daten?

  • Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder (mit Zusatzwissen) bestimmbaren natürlichen Person (z.B. Name, Adresse, Geburtsdatum, Staatsangehörigkeit, Beruf, Titel, Konfession, Personalnummer, Matrikelnummer, Personalausweisnummer, Familienstand, Telefon-, Faxnummer, KFZ-Kennzeichen, Einkommen, Schulden, Krankheiten, Beurteilungen, Zeugnisnoten und Bilder sowie biometrische Daten der Person).
  • Bestimmte personenbezogene Daten genießen besonderen Schutz (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, etc.). Derlei Daten dürfen entweder gar nicht verarbeitet werden oder es werden besondere Auflagen für die Verarbeitung gemacht.

Was ist eine Verarbeitung personenbezogener Daten?

  • Eine Verarbeitung ist so ziemlich alles, was man mit personenbezogenen Daten tun kann, insbesondere auch einfaches Speichern oder Übermitteln (z.B. durch "Hochladen" in soziale Medien).
  • Personenbezogene Daten dürfen grundsätzlich nur
    • innerhalb der Universität oder
    • bei externen Dienstleistern, mit denen die Universität einen Vertrag zur Auftragsverarbeitung geschlossen hat, verarbeitet werden.

Was bedeuten die Begriffe "anonym" und "pseudonym"?

  • "Anonym" bedeutet, dass aus einem gegebenen Datensatz (z.B. einer Befragung) kein Personenbezug mehr hergestellt werden kann (oder dies unverhältnismäßig aufwendig ist; die Verhältnismäßigkeit wird hierbei im Zweifel Gegenstand einer Prüfung sein).
  • "Pseudonym" bedeutet, dass ein Personenbezug wieder hergestellt werden kann, wenn man über Zusatzwissen verfügt (z.B. eine Liste mit Kennungen und den dazugehörigen Klarnamen).
  • Wenn ein Datensatz anonym ist (oder wirksam anonymisiert wurde), greifen die Regelungen des Datenschutzes nicht mehr. Sie können die Daten dann beliebig verwenden (zumindest, soweit es den Datenschutz betrifft).

Was ist eine Rechtsgrundlage? Wofür brauche ich eine Einwilligung?

  • Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist erlaubt. Die Erlaubnis kann sich entweder aus einer anwendbaren Rechtsvorschrift (Gesetz, Satzung, etc.) oder der Einwilligung der Betroffenen ergeben. Wenn es eine Rechtsvorschrift gibt, die die Verarbeitung erlaubt, ist keine Einwilligung erforderlich.
  • Die Rechtsgrundlage für die Verarbeitung ist also entweder die Rechtsvorschrift oder die Einwilligung.
  • Für die Verarbeitung personenbezogener Daten an der Universität Kassel häufig angewandte Rechtsvorschriften sind (unter anderen):
    • Das HDSIG
      • insbesondere § 23 HDSIG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses)
    • Die DSGVO
    • Das Telekommunikationsgesetz (TKG)
    • Das Telemediengesetz (TMG)
    • Das "Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie" (KunstUrhG bzw. KUG)
    • Das Hessische Hochschulgesetz (HHG)
    • Die Hessische Immatrikulationsverordnung (HImV)
    • Die Hochschulfinanzverordnung (HFV)
    • Satzungen der Universität Kassel
    • Prüfungsordnungen der Universität Kassel
    • Dienstvereinbarungen und Dienstanweisungen der Universität Kassel
    • [wird noch ergänzt und präzisiert]

Welche Maßnahmen muss ich ggf. treffen, wenn ich personenbezogene Daten verarbeiten möchte?

  • [Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung - wird noch beantwortet.]


Häufig gestellte Fragen: Konkrete Vorhaben

Was muss ich beachten, wenn ich eine wissenschaftliche Befragung durchführen möchte?

  • Lesen Sie hierzu bitte die ausführliche Behandlung des Themas durch die ZENDAS.
  • Wenn möglich, konzipieren Sie Ihre Befragung so, dass sie von vornherein (wirklich) anonym ist bzw. die erhobenen Daten unmittelbar wirksam anonymisiert werden.
  • Wenn Sie eine anonyme Befragung beabsichtigen: Achten Sie darauf, dass Sie die Antwortmöglichkeiten für Ihre Fragen nicht so detailliert ausführen, dass eine anonyme Beantwortung dadurch gefährdet wird. Fragen Sie also z.B. nicht nach dem genauen Geburtsdatum, wenn das Geburtsjahr (oder eine Spanne von Geburtsjahren) für Ihren Forschungszweck ausreichen würde. Prüfen Sie kritisch, ob sich bei Betrachtung der Gesamtheit Ihrer Fragen evtl. eine zu kleine Gruppe mit gleichen Antworten ergeben könnte (das sollte nicht passieren).
  • Wenn eine anonyme Befragung nicht möglich ist (z.B. weil Sie für ein Preisausschreiben Kontaktdaten erheben, eine Längsschnittstudie durchführen möchten oder es einen anderen Grund gibt, aus dem Sie Ihr Forschungsziel nicht mit einer anonymen Befragung erreichen können), greifen die Formalien des Datenschutzes (Verarbeitungsverzeichnis, etc.). Wenden Sie sich bitte frühzeitig an die Datenschutzbeauftragte.
  • Spezialfall: Ich möchte an einer Schule Kinder oder Jugendliche befragen. [Wird noch beantwortet.]

Was genau müssen die Hinweise zum Datenschutz bei meiner Befragung enthalten?

  • Art und Umfang der personenbezogenen Daten, die im Rahmen der Umfrage verarbeitet werden
  • Zweck der Datenverarbeitung (Ihr Forschungsziel)
  • Die Teilnahme ist freiwillig, bei Nichtteilnahme entsteht kein Nachteil
  • Die gegebene Einwilligung kann jederzeit widerrufen werden (falls zutreffend: So lange die Daten noch nicht wirksam anonymisiert sind)
  • Ihre E-Mail-Adresse für Rückfragen und Widerruf

Darf ich meine Befragung als anonym bezeichnen, wenn sie in Wirklichkeit pseudonym ist (oder womöglich noch nicht einmal das)?

  • Nein. Bei Befragungen ist die Rechtsgrundlage fast immer die Einwilligung. Eine wirksame Einwilligung bedingt eine vollständige und wahrheitsgemäße Aufklärung über Zweck, Art und Umfang der Datenverarbeitung. Falsche oder irreführende Angaben zur Befragung machen die Einwilligung unwirksam und Sie würden somit rechtswidrig handeln.

Ich möchte eine bestimmte Personengruppe innerhalb der Universität anschreiben (z.B. um zur Teilnahme an einer Befragung einzuladen). Wie bekomme ich deren E-Mail Adressen?

  • Normalerweise gar nicht. Stattdessen kommt Adressmittlung zum Einsatz: Sie formulieren Ihr Schreiben und die Universität verschickt es entweder für Sie an die gewünschte Personengruppe oder es wird Ihnen ermöglicht, selbst mit einer E-Mail an eine spezielle Adresse die Personengruppe zu erreichen. [Genaues Verfahren wird noch ergänzt.]

Was muss ich beachten, wenn ich Fotos oder Videos von Personen anfertigen möchte?

  • Spätestens, wenn Sie eine Übermittlung bzw. Veröffentlichung beabsichtigen, benötigen Sie die (im Zweifel schriftliche) Einwilligung aller auf Ihren Fotos oder Videos klar zu erkennenden Personen (es sei denn, es besteht eine der Ausnahmen unter § 23 KunstUrhG).
  • Augenscheinlich wenig bekannt: Der Verstoß dagegen erfüllt einen Straftatbestand (§ 33 KunstUrhG i.V.m. § 22 KunstUrhG ).
  • Für die Veröffentlichung der (Portrait-) Bilder von Bediensteten der Universität gibt es ein Formular zur Einholung der erforderlichen Einwilligung.
  • Spezialfall: Ich möchte an einer Schule den Unterricht mit Kindern oder Jugendlichen filmen. [Wird noch beantwortet.]

Wie versende ich E-Mail datenschutzgerecht?

  • Wenn Sie eine E-Mail an mehrere Personen versenden wollen, sollten Sie in Erwägung ziehen, nicht die naheliegende Möglichkeiten des "To" (An) bzw. "CC" (Kopie) zu verwenden, sondern stattdessen die Mail an sich selbst zu senden und die Empfänger im "BCC" (Blindkopie) einzutragen. Dies ist insbesondere dann ratsam, wenn es die einzelnen Empfänger nichts angeht oder nichts angehen darf, an wen die fragliche Mail sonst noch versandt wurde.
  • Die Datenschutzbeauftragte rät davon ab, E-Mail im HTML-Format zu versenden. Dies ist für die Empfänger unerfreulich, weil man nie sicher sein kann, dass bei E-Mails im HTML-Format keine aktiven Elemente enthalten sind, die unkontrolliert Daten übermitteln oder Schadcode aufweisen bzw. nachladen.
  • Spezialfall: Wenn Sie einen bestehenden E-Mail-Verteiler in Gestalt einer handgepflegten Liste von E-Mail-Adressen haben, den Sie nutzen, um über Neuigkeiten zu informieren, die Ihre Arbeit an der Universität Kassel betreffen, können Sie diesen weiter verwenden. Bei einer der nächsten Mails sollten Sie jedoch mit in etwa der folgenden Formulierung auf die neue Rechtslage eingehen: Ich verarbeite Ihre Kontaktdaten in einer Datei zum ausschließlichen Zweck der Versendung des vorliegenden Newsletters (o.ä). Wenn Sie mit der Zusendung nicht weiter einverstanden sind, teilen Sie mir dies bitte unter der folgenden E-Mail Adresse mit: ... Ich werde Ihre Kontaktdaten dann umgehend löschen. (Verfahren Sie ebenso mit vergleichbaren Postsendungen.)
  • Weitere nützliche Hinweise finden Sie auf den Seiten des Datenschutzbeauftragten der THM.

Wie vernichte ich meine alten Datenträger und Akten datenschutzkonform?

Ich möchte Internet-Dienste zur Datenspeicherung, Terminvereinbarung, etc. nutzen. Ist das erlaubt?

Ich möchte in meinem Bereich ein biometrisches Zutrittssystem betreiben (Fingerabdruck, Gesichtserkennung, etc.). Ist das erlaubt?

  • Nein. Zumindest ist der Datenschutzbeauftragten bisher kein Fall an der Universität Kassel bekannt geworden, bei dem das Verarbeiten biometrischer Daten von Universitätsangehörigen verhältnismäßig gewesen wäre. Auch eine Einwilligung der Betroffenen (deren Freiwilligkeit ohnehin zu bezweifeln wäre) berechtigt nicht zur Verarbeitung biometrischer Daten, wenn mildere Mittel für Zutrittssysteme zur Verfügung stehen (Schlüssel-, Code- und Smartcard-Schlösser).

Ich möchte in meinem Bereich Überwachungskameras betreiben. Ist das erlaubt?

  • Nein. Videoüberwachung an der Universität Kassel erfolgt nur
    • in begründeten Einzelfällen und
    • wenn mildere Mittel sich als untauglich erwiesen haben
    • mit dem geprüften, zentral durch das IT Servicezentrum betriebenen Videoüberwachungssystem.
  • Auch selbstinstallierte Kamera-Attrappen sind unzulässig.
  • Elektronische Türspione sind nur dann unbedenklich, wenn
    • bauliche Gegebenheiten keine andere Möglichkeit zulassen,
    • die Geräte technisch bedingt keine Aufzeichnungen ermöglichen und
    • eine Bildübertragung nur dann erfolgt, wenn jemand geklingelt hat.


Häufig gestellte Fragen: Sonstiges

Auf welcher Rechtsgrundlage werden die an der Universität Kassel eingesetzten E-Learning-Systeme (Moodle u.ä.) betrieben? Welche Daten dürfen innerhalb dieser Systeme verarbeitet werden und welche nicht?

  • Für alle an der Universität Kassel eingesetzten E-Learning-Systeme (also nicht nur das "große" Moodle des Servicecenter Lehre, sondern alle derartigen Systeme an der Universität Kassel) gilt die Satzung zum "Schutz personenbezogener Daten bei multimedialer Nutzung von E-Learning-Verfahren an der Universität Kassel" (1.62.10, Fassung vom 06.07.2009).
  • Die o.g. Satzung gilt auch für Prüfungsverfahren, also z.B. Multiple Choice-Tests am Computer mit anschließender automatisierter Auswertung.
  • Moodle und (wahrscheinlich auch) andere E-Learning-Systeme enthalten im Auslieferungszustand Funktionen, die Regelungen der o.g. Satzung verletzen. So ist es z.B. laut § 6 Abs. 1 der Satzung nur dann erlaubt, personenbezogene Daten der Nutzer zu verarbeiten, wenn dies zur Nutzung des E-Learning-Systems erforderlich ist. Eine tabellarische Übersicht von Teilnehmenden und deren Prüfungsergebnissen ist z.B. nachvollziehbar erforderlich, bei einer Übersicht von angesehenen Dokumenten je Teilnehmendem ist dies jedoch mindestens fraglich.
  • Laut Satzung unzulässige oder fragliche Funktionen sind in dem vom Servicecenter Lehre betriebenen Moodle deaktiviert. Wer ein eigenes Moodle oder ein ähnliches System betreibt, ist gehalten, derlei Funktionen ebenfalls zu deaktivieren.

Muss ich als Lehrperson an der Universität hinnehmen, dass meine Lehrveranstaltungen aufgezeichnet werden?

  • Nein. Es ist dabei egal, wer aufzeichnet (oder dies beabsichtigt) und zu welchem Zweck: Ihre Einwilligung ist immer erforderlich. Ausnahmen gibt es allenfalls bei besonderen Veranstaltungen und Vortragenden (Pressekonferenzen, Festansprachen, Vorträge von Personen mit zeitgeschichtlicher Bedeutung o.ä.), nicht aber bei normalen Lehrveranstaltungen.
  • Falls sich hierbei jemand uneinsichtig zeigen sollte: Lt. § 2, Abs. 3 und 4 der Hausordnung der Universität Kassel (1.75.00, Fassung vom 26.03.2015) sind Sie als Lehrperson während einer Lehrveranstaltung auch Hausrechtsbeauftragter und können Störende des Hauses verweisen bzw. verweisen lassen (Sicherheitsdienst: Tel. 0561-804-2222).

Datenschutzbeauftragte

Anja-Nicole Hentschel

+49 5 61 - 804 -  2756
datenschutz@uni-kassel.de

 

Stellvertreter: Daniel Bischof

+49 5 61 - 804 -  2011
datenschutz@uni-kassel.de

 

Webredaktion