SID - Datenschutz

Um zu überprüfen, ob und inwiefern Ihr Projekt unter die weiteren Regularien des Datenschutzes fällt, können Sie sich hier informieren und in Form eines interaktiven Assistenen die datenschutzrechtliche Relevanz prüfen: Datenschutz in der Forschung.

Im Zweifel ist stets der Beauftragte für Informationssicherheit und Datenschutz zu kontaktieren.

Über den auf der verlinkten Seite abrufbaren Antrag können Sie Zugriff auf DPMS zur Erstellung und Pflege einer Dokumentation von Verarbeitungstätigkeiten (Verzeichnis von Verarbeitungstätigkeiten) sowie weiterer datenschutzrechtlicher Dokumentationen erhalten.
https://uni-ko.de/vvt

Dabei werden die eingegebenen Daten an die Stabsstelle für Informationssicherheit und Datenschutz versendet und nach einer Prüfung wird der Zugriff auf DPMS freigegeben. Bei Rückfragen kontaktiert Sie der Beauftragte für Informationssicherheit und Datenschutz.

Link zur Richtlinie

Die "Richtlinie zur Datenschutzorganisation" der Universität Koblenz wurde vom Kollegialen Präsidium am 20.03.2025 beschlossen und ist mit ihrer Veröffentlichung am 08.04.2025 in Kraft getreten.

In der Richtlinie werden die an der Datenschutzorganisation beteiligten Personen und Einheiten (vgl. hierzu insbesondere die Grundsätze der Präambel) sowie deren Aufgaben und Verantwortlichkeiten im Hinblick auf die gesetzeskonforme Verarbeitung personenbezogener Daten nach den Vorgaben des anwendbaren Datenschutzrechts definiert. Das in der Richtlinie beschriebene Datenschutzkonzept orientiert sich an den unterschiedlichen Pflichten der Universität Koblenz als verantwortliche Stelle im datenschutzrechtlichen Sinne und den damit verbundenen Aufgaben.

In der Sektion "Formulare und Vorlagen" finden Sie weitere Formulare (z.B. Ausfüllhilfen, Vorlagen für Einwilligungserklärungen u.v.m.): Link

Beim Datenschutz geht es darum, Menschen davor zu schützen, dass ihnen durch die Erhebung, Verarbeitung und Nutzung ihrer Daten ein Schaden entsteht. Personen sollen frei entscheiden können, welche ihrer persönlichen Daten sie wann, wem und zu welchem Zweck zur Verfügung stellen. Beim Datenschutz werden die Daten von Individuen in den Mittelpunkt gestellt, während es bei der Informationssicherheit um den Schutz aller relevanten Arten von Informationen jeglicher Art und Herkunft an einer Institution geht. Beide Themen sind allerdings eng verzahnt.

Rechtlich maßgebend sind hier die DSGVO (Datenschutz-Grundverodnung), LDSG RLP (Landesdatenschutzgesetz) und HochSchG RLP (Hochschulgesetz).

(Die DSGVO findet sich in obiger Verlinkung auch auf deutsch oder hier per Direktlink.)

Einfach gesagt ist der Datenschutz immer dann relevant, wenn Daten, die sich auf einen Menschen beziehen, verarbeitet werden (Verarbeitung personenbezogener Daten).

(s. Artikel 1 DSGVO, Artikel 2 DSGVO)

Damit sind alle Daten gemeint, die einen Menschen betreffen. Daten sind immer dann personenbezogen, wenn diese in irgendeiner Form an eine Person gekoppelt sind oder gekoppelt werden können. Das können Name, Adresse, Uni-ID u.v.m. sein.

Sobald aus den Daten eine Person identifiziert werden kann oder sie eine Aussage zu dieser Person enthalten, sind sie personenbezogen. Somit können auch indirekte Daten (wie Nutzungsprotokolle o. Ä.) personenbezogen sein, wenn sich daraus Rückschlüsse auf bestimmte Personen ziehen lassen. Auch verschiedene Teilinformationen, die in ihrer Gesamtheit zur Identifizierung einer bestimmten Person führen können, sind personenbezogene Daten.

Der Schutz personenbezogener Daten ist ein wesentlicher Bestandteil des Datenschutzes.

(s. Artikel 4 Nr. 1 DSGVO )

Einfach ausgedrückt sind das sehr sensible persönliche Informationen, bei denen ein Missbrauch besonders schlimm wäre und die daher durch das Datenschutzrecht besonders geschützt werden. Diese sind abschließend in Artikel 9 Absatz 1 DSGVO aufgelistet.

Dazu gehören zum Beispiel Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen. Aber auch genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der geschlechtlichen Orientierung.

(s. Artikel 9 Abs. 1 DSGVO)

Die Verarbeitung solcher Informationen ist grundsätzlich untersagt, außer in bestimmten Umständen. Solche Daten dürfen beispielsweise verarbeitet werden, wenn dies zur medizinischen Diagnostik erforderlich ist, angemessene Garantien im Arbeitsrecht bestehen oder die betroffene Person insoweit ihre ausdrückliche Einwilligung erteilt hat.

(s. Artikel 9 Abs. 2 DSGVO)

Der Begriff "Verarbeitung" ist weit zu verstehen und beinhaltet viele verschiedene denkbare Verarbeitungsschritte. Die Verarbeitung beginnt bei der Beschaffung ("Erhebung") von personenbezogenen Daten (direkt von der betroffenen Person oder bei Dritten), umfasst die Verwendung (z. B. Speicherung, Veränderung oder Weitergabe) und auch die Löschung.

(s. Artikel 4 Nr. 2 DSGVO)

Werden personenbezogene Daten in Ihrer Arbeitsgruppe, Institution oder grundsätzlich von Ihnen als Mitarbeiterin oder Mitarbeiter der Universität Koblenz verarbeitet, so muss dies im sog. Verarbeitungsverzeichnis dokumentiert werden (siehe: Formulare und Vorlagen).

(s. Artikel 30 Abs. 1 DSGVO)

Für jede Verarbeitung personenbezogener Daten ist nach der DSGVO eine Legitimation erforderlich. Solche Legitimationen können in der DSGVO selbst sowie in anderen Rechtsvorschriften, wie z.B. dem Landesdatenschutzgesetz oder dem Hochschulgesetz Rheinland-Pfalz, formuliert sein.

(s. Artikel 5 Abs. 1 lit. a DSGVO, Artikel 6 DSGVO)

Die betroffene Person ist jene, deren personenbezogene Daten erhoben, gespeichert oder verarbeitet wird.

Beispiel: Beschäftigte, Studierende

(Artikel 4 Nr. 1 DSGVO)

Wenn personenbezogene Daten im Kontext der Universität verarbeitet werden (bspw. durch Mitarbeitende oder Forschende), obliegt die datenschutzrechtliche Verantwortung nach dem Gesetz regelmäßig der Universität selbst. Als verantwortliche Stelle hat sie sicherzustellen, dass die Verarbeitung sowohl organisatorisch als auch technisch datenschutzkonform gestaltet ist. Das Personal, die Forschenden wie auch die Studierenden tragen dabei eine Mitverantwortung und haben sich insbesondere an die Vorgaben der Universität zu halten (bspw. bei der Nutzung der IT-Infrastruktur).

Bei entsprechenden Feldern in Datenschutzinformationen oder dem Verarbeitungsverzeichnis ist daher regelmäßig die "Universität Koblenz" einzutragen.

(Artikel 4 Nr. 7 DSGVO)

Eine Anonymisierung von Daten liegt nur dann vor, wenn sich aus den Daten keine Personen mehr identifizieren lassen! Dabei darf es auch keinen Schlüssel bzw. "Übersetzung" geben, mit der sich aus den veränderten Daten wieder ursprüngliche personenbezogene Zuordnungen ermitteln lassen! In letzterem Falle handelt sich es sich dann nämlich lediglich um eine Pseudonymisierung.

Ebenfalls ist zu beachten, dass auch ggf. Backups nicht-anonymisierter Daten gelöscht werden müssen!

In Ergänzung zu diesem Thema, sind anonym erhobene Daten solche, bei denen bereits ab der Erhebung (inkl.) zu keinem Zeitpunkt mehr ein Bezug zwischen einer betroffenen Person und den Daten besteht.

Wichtig: Da anonyme Daten keine Rückschlüsse auf betroffene Personen ermöglichen, ist die DSGVO für diese nicht anwendbar. Im Gegensatz dazu sind pseudonyme Daten personenbezogene Daten und unterliegen somit auch den Vorgaben der DSGVO.

Allgemeine Tipps zum anonymisieren von Daten:

• Entfernung direkter personenbezogener Daten (Name, Adresse...)
• Aggregation oder Reduzierung der Genauigkeit (d.h. z.B. Altersspanne (z.B. 20-30 Jahre) statt konkretes Alter/Geburtsdatum)
• Verallgemeinerung in einem Text (d.h. ähnlich zu "Reduzierung der Genauigkeit")
• Im Falle von Ausreißern/Extrem-Werten mit "<" oder ">" Kategorien arbeiten

(s. Artikel 4 Nr. 5 DSGVO sowie ErwG.26)

In der Rechtssprache ist der Begriff der Einwilligung ganz klar definiert als "ausdrücklich vorher erteilte Zustimmung". Eine nachträgliche Zustimmung ist eine Genehmigung. In der DSGVO wird bewusst der Begriff "Einwilligung" verwendet, um klarzustellen, dass die betroffene Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten vor der Verarbeitung erteilen muss. Der betroffenen Person muss daher zuvor klar dargelegt werden, weshalb und inwiefern die Daten erhoben und verarbeitet werden sollen. Zusätzlich muss über das Bestehen eines Widerrufsrechts aufgeklärt werden und darüber, wie dieses ausgeübt werden kann. Die Befugnisse, die mit der Einwilligung erteilt werden sollen, dürfen kein "Blankoscheck" sein, sondern müssen sich in dem Rahmen bewegen, der von der Grundlage der Verarbeitung gesetzt wird.

Die Einwilligung ist darüber hinaus als Opt-In zu konzipieren (d.h. die betroffene Person muss aktiv der Verarbeitung/Erhebung zustimmen) und nicht als Opt-Out (die betroffene Person muss aktiv der Verarbeitung/Erhebung widersprechen). Stillschweigen oder Untätigkeit reicht nicht für eine gültige Zustimmung aus. Die betroffene Person muss also aktiv etwas unternehmen, womit man nachweisen kann, dass zugestimmt wurde.

Damit die Einwilligung gültig ist, muss sie zudem freiwillig erklärt werden (ohne Zwang). Außerdem ist zu beachten, dass es keine Kopplung geben darf. Das heißt, dass der betroffenen Person keine Nacheile entstehen dürfen, wenn sie die Einwilligung nicht erteilt (z.B. Ausschluss von einem Event o.ä.)

Neben der Einwilligung gibt es andere Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten (siehe Artikel 6 DSGVO). Die Einwilligung ist erforderlich, wenn keine andere Rechtsgrundlage anwendbar ist, wie z.B. die Aufgabenerfüllung der Universität, Erfüllung eines Vertrags oder rechtliche Verpflichtungen.

(s. Artikel 4 Nr. 11 DSGVO, Artikel 6 Abs. 1 lit. a DSGVO sowie Artikel 7 DSGVO)

Der Begriff Drittland bezeichnet ein Land, das nicht an die DSGVO gebunden ist, d.h. Länder außerhalb der Europäischen Union und außerhalb von Island, Liechtenstein und Norwegen. Werden Daten also außerhalb der EU / dem EWR verarbeitet oder geteilt (z. B. Partnerschaft mit außer-europäischen Hochschulen), so gelangen diese in ein Drittland. Besteht ein Drittlandbezug, muss darauf geachtet werden, dass das europäische Schutzniveau bei Datentransfers in oder Datenzugriffen aus Drittländern aufrechterhalten wird.

(s. Artikel 44ff. DSGVO; ErwG 101ff. )

Dabei handelt es sich um ein generelles Prinzip im Kontext der Verwaltung von Informationen. Es basiert auf der einfachen, aber wirkungsvollen Idee, dass der Zugriff auf vertrauliche oder sensible Informationen nur den Personen gewährt werden sollte, die diese Daten für ihre konkrete Aufgabenbewältigung zwingend benötigen.

(s. Artikel 5 Absatz 1 lit. f DSGVO und Artikel 32 Absatz 1 lit. b DSGVO)

Hierbei handelt es sich um Schutzmaßnahmen, die dabei helfen, personenbezogene Daten sicher zu verarbeiten. Zu den technischen Maßnahmen zählen etwa die Verschlüsselung von Daten oder der Einsatz von Antivirenprogrammen. Organisatorische Maßnahmen beinhalten Richtlinien und Vorgehensweisen für Mitarbeitende, wie z. B. Zugangsbeschränkungen für bestimmte Räumlichkeiten. Beide Arten von Schutzmaßnahmen sind notwendig, um das Risiko für die betroffenen Personen zu minimieren.

Zum Schutz sensibler Daten im Arbeitsalltag können auch Sie beitragen, indem Sie z. B. Büros auch bei kurzen Abwesenheiten grundsätzlich abschließen und eine passwortgeschützte Bildschirmsperre verwenden, Unterlagen während des Arbeitstages so aufbewahren, dass sie nicht einsehbar sind, und Akten in ausreichend gesicherten und verschlossenen Behältnissen bzw. Schränken aufbewahren.

(mehr dazu, wie sich Daten schützen lassen, findet sich auch in bei Wissenswertes Informationssicherheit)

(s. Artikel 5 Absatz 1 lit. f) DSGVO, Artikel 24 Absatz 1 DSGVO, Artikel 32 DSGVO)

Die Frage, welche Speicherfrist gilt, wird nicht direkt durch die DSGVO festgelegt. Dies hängt nämlich von verschiedenen Faktoren ab, darunter dem Zweck der Datenverarbeitung und den rechtlichen Anforderungen im jeweiligen Kontext. Dem Grundsatz nach ist es nicht erlaubt personenbezogenen Daten länger zu verarbeiten, als es für die Zwecke, für die sie eingeholt wurden, notwendig ist. Nach Erreichung des Verarbeitungszwecks sind die Daten zu löschen oder zu anonymisieren, es sei denn, es liegen rechtliche Aufbewahrungspflichten oder berechtigte Interessen vor, die eine längere Speicherung rechtfertigen. Solange diese bestehen, haben sie Vorrang vor der Löschpflicht nach DSGVO.

Übliche Aufbewahrungsfristen richten sich nach den einschlägigen Rechtsnormen, die die Zeitspanne der Aufbewahrung festlegen, wobei sich diese je nach Art der Daten unterscheiden kann.

So gelten für manche Daten Fristen von zehn Jahren, in anderen Fällen aber auch nur ein Jahr. Egal ob Daten auf Papier oder digital gespeichert sind, das gilt immer.

(s. Artikel 5 Absatz 1 lit. e DSGVO, Artikel 17 DSGVO)

Zu den Grundsätzen gehören die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht des Verantwortlichen.

(s. Artikel 5 Absätze 1 und 2 DSGVO)

Die Verarbeitung personenbezogener Daten muss gemäß Artikel 6 DSGVO rechtmäßig sein. Hierzu bedarf es einer Rechtsgrundlage und die weiteren Anforderungen (s. Grundsätze der Datenverarbeitung) müssen berücksichtigt und erfüllt werden.

(s. Artikel 5, Artikel 6 DSGVO)

Nach dem Verbotsprinzip im Datenschutz ist alles, was mit personenbezogenen Daten gemacht wird, erst einmal verboten, es sei denn, es ist ausdrücklich erlaubt.

Die Rechtsgrundlage ist das, was die Verarbeitung personenbezogener Daten rechtlich legitimiert. Entweder ergibt sich die Rechtsgrundlage aus einer anwendbaren Rechtsvorschrift (Gesetz, Ordnung usw. ) oder aus der Einwilligung der betroffenen Person. Nur wenn keine andere Rechtsgrundlage für die Datenverarbeitung in Betracht kommt, kann eine Einwilligung der betroffenen Person als Legitimation dienen.

(s. Artikel 5, Artikel 6 DSGVO)

An der Universität Koblenz werden personenbezogene Daten unter anderem nach den folgenden Rechtsvorschriften verarbeitet:

• Datenschutz-Grundverordnung
• Landesdatenschutzgesetz Rheinland-Pfalz
• Hochschulgesetz Rheinland-Pfalz
• Hochschulstatistikgesetz
• Digitale-Dienste-Gesetz
• Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz
• Landesbeamtengesetz Rheinland-Pfalz
• Beamtenstatusgesetz
• Grundordnung der Universität Koblenz
• Einschreibeordnung der Universität Koblenz
• Einschlägigen Studien-, Prüfungs- sowie Promotionsordnungen

Nutzen Sie externe Tools oder benötigen Sie für Ihr Vorhaben zusätzliche Dienstleistungen, wie etwa spezielle Online-Umfrage-Tools oder externes Hosting? Falls ja, denken Sie daran, sich rechtzeitig um den Abschluss eines Auftragsverarbeitungsvertrags zu kümmern. Dieser regelt unter anderem, wie die erhobenen Daten zwischen der Universität als Auftraggeber und dem Dienstleister verarbeitet werden. Beachten Sie, dass die Universität in manchen Fällen auch selbst als Auftragsverarbeiter für andere Stellen tätig werden kann, etwa wenn Daten im Auftrag eines Projektpartners verarbeitet werden sollen. Auch in diesem Fall ist ein Auftragsverarbeitungsvertrag zu schließen.

Vor dem Abschluss eines solchen Vertrags ist dieser gemeinsam mit dem Vertragsbegleitblatt dem Datenschutzbeauftragten zur Prüfung vorzulegen. Der Datenschutzbeauftragte steht Ihnen beratend zur Seite und begleitet Sie beim Vertragsschluss mit dem externen Dienstleister.

Bitte beachten Sie, dass die Durchführung einer Auftragsverarbeitung ohne das zuvor wirksame Zustandekommen einer schriftlichen (auch elektronischen) Auftragsverarbeitungsvereinbarung gemäß Art. 28 Abs. 3 DSGVO unzulässig ist.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr eigenständige Verantwortliche (z.B. Universitäten) personenbezogene Daten gemeinsam verarbeiten, ohne dass ein Weisungsverhältnis besteht. In diesem Fall sind die beteiligten Stellen / Parteien verpflichtet, ihre jeweiligen Rechte und Pflichten abzustimmen und eine Vereinbarung gemäß Art. 26 DSGVO über die gemeinsame Verantwortlichkeit zu schließen.

Typische Beispiele sind Kooperationen im Forschungsbereich oder gemeinsame Projektarbeit verschiedener Stellen. Ein wesentliches Kriterium ist, ob die beteiligten Parteien gemeinsam über die Zwecke („Was“) und Mittel („Wie“) der Verarbeitung entscheiden. Hinweise darauf können sich etwa aus Kooperationsverträgen ergeben, in denen Aufgaben und Verantwortlichkeiten festgelegt sind. Neben vertraglichen Regelungen sind jedoch auch die tatsächlichen Abläufe und die faktische gemeinsame Festlegung von Zweck und Mitteln der Verarbeitung maßgeblich.

Vor dem Abschluss einer solchen Vereinbarung ist diese gemeinsam mit dem Vertragsbegleitblatt dem Datenschutzbeauftragten zur Prüfung vorzulegen. Der Datenschutzbeauftragte steht Ihnen beratend zur Seite und begleitet Sie beim Vertragsschluss mit den beteiligten verantwortlichen Stellen.