SID - Datenschutz

Richtlinie Datenschutz

Richtlinie zur Datenschutzorganisation

Die "Richtlinie zur Datenschutzorganisation" der Universität Koblenz wurde vom Kollegialen Präsidium am 20.03.2025 beschlossen und ist mit ihrer Veröffentlichung am 08.04.2025 in Kraft getreten.

In der Richtlinie werden die an der Datenschutzorganisation beteiligten Personen und Einheiten (vgl. hierzu insbesondere die Grundsätze der Präambel) sowie deren Aufgaben und Verantwortlichkeiten im Hinblick auf die gesetzeskonforme Verarbeitung personenbezogener Daten nach den Vorgaben des anwendbaren Datenschutzrechts definiert. Das in der Richtlinie beschriebene Datenschutzkonzept orientiert sich an den unterschiedlichen Pflichten der Universität Koblenz als verantwortliche Stelle im datenschutzrechtlichen Sinne und den damit verbundenen Aufgaben.

Wissenswertes Datenschutz - FAQ

Hinweis: Das FAQ dient dazu in klaren und einfachen Worten die Regelungen, Vorschriften und Gesetzmäßigkeiten zum Datenschutz zu vermitteln. Für die jeweils genauen Rechtstexte folgen Sie im Zweifelsfall den angegebenen Quellen/Gesetzen oder wenden Sie sich bei offenen Fragen im Kontext der Erfüllung von Datenschutzvorschriften an den Beauftragten für Informationssicherheit und Datenschutz.

Was ist Datenschutz?

Beim Datenschutz geht es darum, Menschen davor zu schützen, dass ihnen durch die Erhebung, Verarbeitung und Nutzung ihrer Daten ein Schaden entsteht. Personen sollen frei entscheiden können, welche ihrer persönlichen Daten sie wann, wem und zu welchem Zweck zur Verfügung stellen. Beim Datenschutz werden die Daten von Individuen in den Mittelpunkt gestellt, während es bei der Informationssicherheit um den Schutz aller relevanten Arten von Informationen jeglicher Art und Herkunft an einer Institution geht. Beide Themen sind allerdings eng verzahnt.

Rechtlich maßgebend sind hier die DSGVO (Datenschutz-Grundverodnung), LDSG RLP (Landesdatenschutzgesetz) und HochSchG RLP (Hochschulgesetz).

(Die DSGVO findet sich in obiger Verlinkung auch auf deutsch oder hier per Direktlink.)

Wann gilt der Datenschutz?

Was sind personenbezogene Daten?

Damit sind alle Daten gemeint, die einen Menschen betreffen. Daten sind immer dann personenbezogen, wenn diese in irgendeiner Form an eine Person gekoppelt sind oder gekoppelt werden können. Das können Name, Adresse, Uni-ID u.v.m. sein.

Sobald aus den Daten eine Person identifiziert werden kann oder sie eine Aussage zu dieser Person enthalten, sind sie personenbezogen. Somit können auch indirekte Daten (wie Nutzungsprotokolle o. Ä.) personenbezogen sein, wenn sich daraus Rückschlüsse auf bestimmte Personen ziehen lassen. Auch verschiedene Teilinformationen, die in ihrer Gesamtheit zur Identifizierung einer bestimmten Person führen können, sind personenbezogene Daten.

Der Schutz personenbezogener Daten ist ein wesentlicher Bestandteil des Datenschutzes.

(s. Artikel 4 Nr. 1 DSGVO )

Was sind "besondere Kategorien personenbezogener Daten"?

Einfach ausgedrückt sind das sehr sensible persönliche Informationen, bei denen ein Missbrauch besonders schlimm wäre und die daher durch das Datenschutzrecht besonders geschützt werden. Diese sind abschließend in Artikel 9 Absatz 1 DSGVO aufgelistet.

Dazu gehören zum Beispiel Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen. Aber auch genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der geschlechtlichen Orientierung.

(s. Artikel 9 Abs. 1 DSGVO)

Die Verarbeitung solcher Informationen ist grundsätzlich untersagt, außer in bestimmten Umständen. Solche Daten dürfen beispielsweise verarbeitet werden, wenn dies zur medizinischen Diagnostik erforderlich ist, angemessene Garantien im Arbeitsrecht bestehen oder die betroffene Person insoweit ihre ausdrückliche Einwilligung erteilt hat.

(s. Artikel 9 Abs. 2 DSGVO)

Was bedeutet "Verarbeitung personenbezogener Daten"?

Der Begriff "Verarbeitung" ist weit zu verstehen und beinhaltet viele verschiedene denkbare Verarbeitungsschritte. Die Verarbeitung beginnt bei der Beschaffung ("Erhebung") von personenbezogenen Daten (direkt von der betroffenen Person oder bei Dritten), umfasst die Verwendung (z. B. Speicherung, Veränderung oder Weitergabe) und auch die Löschung.

(s. Artikel 4 Nr. 2 DSGVO)

Werden personenbezogene Daten in Ihrer Arbeitsgruppe, Institution oder grundsätzlich von Ihnen als Mitarbeiterin oder Mitarbeiter der Universität Koblenz verarbeitet, so muss dies im sog. Verarbeitungsverzeichnis dokumentiert werden (siehe: Formulare und Vorlagen).

(s. Artikel 30 Abs. 1 DSGVO)

Für jede Verarbeitung personenbezogener Daten ist nach der DSGVO eine Legitimation erforderlich. Solche Legitimationen können in der DSGVO selbst sowie in anderen Rechtsvorschriften, wie z.B. dem Landesdatenschutzgesetz oder dem Hochschulgesetz Rheinland-Pfalz, formuliert sein.

(s. Artikel 5 Abs. 1 lit. a DSGVO, Artikel 6 DSGVO)

Wer ist die "betroffene Person"?

Wer ist der/die Verantwortliche?

Wenn personenbezogene Daten im Kontext der Universität verarbeitet werden (bspw. durch Mitarbeitende oder Forschende), obliegt die datenschutzrechtliche Verantwortung nach dem Gesetz regelmäßig der Universität selbst. Als verantwortliche Stelle hat sie sicherzustellen, dass die Verarbeitung sowohl organisatorisch als auch technisch datenschutzkonform gestaltet ist. Das Personal, die Forschenden wie auch die Studierenden tragen dabei eine Mitverantwortung und haben sich insbesondere an die Vorgaben der Universität zu halten (bspw. bei der Nutzung der IT-Infrastruktur).

Bei entsprechenden Feldern in Datenschutzinformationen oder dem Verarbeitungsverzeichnis ist daher regelmäßig die "Universität Koblenz" einzutragen.

(Artikel 4 Nr. 7 DSGVO)

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Forschungsdaten müssen i.A. zur Einhaltung der datenschutzrechlichen Bestimmungen anonymisiert werden. Die Anonymisierung bietet sich allerdings auch in anderen Fällen an. Dabei ist zu beachten:

Eine Anonymisierung der Daten liegt nur dann vor, wenn sich aus den Daten keine Personen mehr identifizieren lassen! Dabei darf es auch keinen Schlüssel bzw. "Übersetzung" geben, mit der sich aus den veränderten Daten wieder ursprüngliche personenbezogene Zuordnungen ermitteln lassen! In letzterem Falle handelt sich es sich dann nämlich lediglich um eine Pseudonymisierung.

Ebenfalls ist zu beachten, dass auch ggf. Backups der nicht-anonymisierten Daten gelöscht werden müssen!

In Ergänzung zu diesem Thema, sind anonym erhobene Daten solche, bei denen bereits ab der Erhebung (inkl.) zu keinem Zeitpunkt mehr ein Bezug zwischen einer betroffenen Person und den Daten besteht.

Wichtig: Da anonyme Daten keine Rückschlüsse auf betroffene Personen ermöglichen, ist die DSGVO für diese nicht anwendbar. Im Gegensatz dazu sind pseudonyme Daten personenbezogene Daten und unterliegen somit auch den Vorgaben der DSGVO.

Allgemeine Tipps zum anonymisieren von Daten:

Entfernung direkter personenbezogener Daten (Name, Adresse...)
Aggregation oder Reduzierung der Genauigkeit (d.h. z.B. Altersspanne (z.B. 20-30 Jahre) statt konkretes Alter/Geburtsdatum)
Verallgemeinerung in einem Text (d.h. ähnlich zu "Reduzierung der Genauigkeit")
Im Falle von Ausreißern/Extrem-Werten mit "<" oder ">" Kategorien arbeiten

(s. Artikel 4 Nr. 5 DSGVO sowie ErwG.26)

Was muss ich beim Einholen einer "Einwilligung" beachten?

In der Rechtssprache ist der Begriff der Einwilligung ganz klar definiert als "ausdrücklich vorher erteilte Zustimmung". Eine nachträgliche Zustimmung ist eine Genehmigung. In der DSGVO wird bewusst der Begriff "Einwilligung" verwendet, um klarzustellen, dass die betroffene Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten vor der Verarbeitung erteilen muss. Der betroffenen Person muss daher zuvor klar dargelegt werden, weshalb und inwiefern die Daten erhoben und verarbeitet werden sollen. Zusätzlich muss über das Bestehen eines Widerrufsrechts aufgeklärt werden und darüber, wie dieses ausgeübt werden kann. Die Befugnisse, die mit der Einwilligung erteilt werden sollen, dürfen kein "Blankoscheck" sein, sondern müssen sich in dem Rahmen bewegen, der von der Grundlage der Verarbeitung gesetzt wird.

Die Einwilligung ist darüber hinaus als Opt-In zu konzipieren (d.h. die betroffene Person muss aktiv der Verarbeitung/Erhebung zustimmen) und nicht als Opt-Out (die betroffene Person muss aktiv der Verarbeitung/Erhebung widersprechen). Stillschweigen oder Untätigkeit reicht nicht für eine gültige Zustimmung aus. Die betroffene Person muss also aktiv etwas unternehmen, womit man nachweisen kann, dass zugestimmt wurde.

Damit die Einwilligung gültig ist, muss sie zudem freiwillig erklärt werden (ohne Zwang). Außerdem ist zu beachten, dass es keine Kopplung geben darf. Das heißt, dass der betroffenen Person keine Nacheile entstehen dürfen, wenn sie die Einwilligung nicht erteilt (z.B. Ausschluss von einem Event o.ä.)

Neben der Einwilligung gibt es andere Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten (siehe Artikel 6 DSGVO). Die Einwilligung ist erforderlich, wenn keine andere Rechtsgrundlage anwendbar ist, wie z.B. die Aufgabenerfüllung der Universität, Erfüllung eines Vertrags oder rechtliche Verpflichtungen.

(s. Artikel 4 Nr. 11 DSGVO, Artikel 6 Abs. 1 lit. a DSGVO sowie Artikel 7 DSGVO)

Was ist ein "Drittland"?

Der Begriff Drittland bezeichnet ein Land, das nicht an die DSGVO gebunden ist, d.h. Länder außerhalb der Europäischen Union und außerhalb von Island, Liechtenstein und Norwegen. Werden Daten also außerhalb der EU / dem EWR verarbeitet oder geteilt (z. B. Partnerschaft mit außer-europäischen Hochschulen), so gelangen diese in ein Drittland. Besteht ein Drittlandbezug, muss darauf geachtet werden, dass das europäische Schutzniveau bei Datentransfers in oder Datenzugriffen aus Drittländern aufrechterhalten wird.

(s. Artikel 44ff. DSGVO; ErwG 101ff. )

Wie funktioniert das "Need-To-Know" Prinzip?

Dabei handelt es sich um ein generelles Prinzip im Kontext der Verwaltung von Informationen. Es basiert auf der einfachen, aber wirkungsvollen Idee, dass der Zugriff auf vertrauliche oder sensible Informationen nur den Personen gewährt werden sollte, die diese Daten für ihre konkrete Aufgabenbewältigung zwingend benötigen.

(s. Artikel 5 Absatz 1 lit. f DSGVO und Artikel 32 Absatz 1 lit. b DSGVO)

Was sind "technische und organisatorische Maßnahmen"?

Hierbei handelt es sich um Schutzmaßnahmen, die dabei helfen, personenbezogene Daten sicher zu verarbeiten. Zu den technischen Maßnahmen zählen etwa die Verschlüsselung von Daten oder der Einsatz von Antivirenprogrammen. Organisatorische Maßnahmen beinhalten Richtlinien und Vorgehensweisen für Mitarbeitende, wie z. B. Zugangsbeschränkungen für bestimmte Räumlichkeiten. Beide Arten von Schutzmaßnahmen sind notwendig, um das Risiko für die betroffenen Personen zu minimieren.

Zum Schutz sensibler Daten im Arbeitsalltag können auch Sie beitragen, indem Sie z. B. Büros auch bei kurzen Abwesenheiten grundsätzlich abschließen und eine passwortgeschützte Bildschirmsperre verwenden, Unterlagen während des Arbeitstages so aufbewahren, dass sie nicht einsehbar sind, und Akten in ausreichend gesicherten und verschlossenen Behältnissen bzw. Schränken aufbewahren.

(mehr dazu, wie sich Daten schützen lassen, findet sich auch in der Wissensdatenbank)

(s. Artikel 5 Absatz 1 lit. f) DSGVO, Artikel 24 Absatz 1 DSGVO, Artikel 32 DSGVO)

Welche Regeln muss ich zur Löschung und Aufbewahrung beachten?

Die Frage, welche Speicherfrist gilt, wird nicht direkt durch die DSGVO festgelegt. Dies hängt nämlich von verschiedenen Faktoren ab, darunter dem Zweck der Datenverarbeitung und den rechtlichen Anforderungen im jeweiligen Kontext. Dem Grundsatz nach ist es nicht erlaubt personenbezogenen Daten länger zu verarbeiten, als es für die Zwecke, für die sie eingeholt wurden, notwendig ist. Nach Erreichung des Verarbeitungszwecks sind die Daten zu löschen oder zu anonymisieren, es sei denn, es liegen rechtliche Aufbewahrungspflichten oder berechtigte Interessen vor, die eine längere Speicherung rechtfertigen. Solange diese bestehen, haben sie Vorrang vor der Löschpflicht nach DSGVO.

Übliche Aufbewahrungsfristen richten sich nach den einschlägigen Rechtsnormen, die die Zeitspanne der Aufbewahrung festlegen, wobei sich diese je nach Art der Daten unterscheiden kann.

So gelten für manche Daten Fristen von zehn Jahren, in anderen Fällen aber auch nur ein Jahr. Egal ob Daten auf Papier oder digital gespeichert sind, das gilt immer.

(s. Artikel 5 Absatz 1 lit. e DSGVO, Artikel 17 DSGVO)

Was sind die "Grundsätze der Datenverarbeitung"?

Wann ist eine Datenverarbeitung "rechtmäßig"?

Was besagt das Verbotsprinzip und was ist eine Rechtsgrundlage?

Nach dem Verbotsprinzip im Datenschutz ist alles, was mit personenbezogenen Daten gemacht wird, erst einmal verboten, es sei denn, es ist ausdrücklich erlaubt.

Die Rechtsgrundlage ist das, was die Verarbeitung personenbezogener Daten rechtlich legitimiert. Entweder ergibt sich die Rechtsgrundlage aus einer anwendbaren Rechtsvorschrift (Gesetz, Ordnung usw. ) oder aus der Einwilligung der betroffenen Person. Nur wenn keine andere Rechtsgrundlage für die Datenverarbeitung in Betracht kommt, kann eine Einwilligung der betroffenen Person als Legitimation dienen.

(s. Artikel 5, Artikel 6 DSGVO)

An der Universität Koblenz werden personenbezogene Daten unter anderem nach den folgenden Rechtsvorschriften verarbeitet:

Datenschutz-Grundverordnung
Landesdatenschutzgesetz Rheinland-Pfalz
Hochschulgesetz Rheinland-Pfalz
Hochschulstatistikgesetz
Digitale-Dienste-Gesetz
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz
Landesbeamtengesetz Rheinland-Pfalz
Beamtenstatusgesetz
Grundordnung der Universität Koblenz
Einschreibeordnung der Universität Koblenz
Einschlägigen Studien-, Prüfungs- sowie Promotionsordnungen