Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine "identifizierbare Person" ist jemand, der direkt oder indirekt durch Bezugnahme auf einen oder mehrere spezifische Faktoren identifiziert werden kann. Dazu gehören:

1. Direkte Identifikation: Informationen wie Name, Geburtsdatum, Adresse, Telefonnummer, Matrikelnummer, E-Mail-Adresse, Benutzernamen, etc.
2. Indirekte Identifikation: Daten, die in Verbindung mit anderen Informationen verwendet werden können, um eine Person zu identifizieren. Dies können beispielsweise Standortdaten, IP-Adressen, biometrische Daten oder genetische Informationen sein.

Es ist wichtig zu beachten, dass der Begriff "personenbezogene Daten" sehr weit gefasst ist und viele Arten von Informationen umfassen kann. Im Kontext der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sind auch besondere Kategorien personenbezogener Daten geschützt, darunter Daten zur ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gesundheit oder Sexualleben. Der Schutz personenbezogener Daten ist ein grundlegendes Prinzip des Datenschutzes und erfordert eine rechtmäßige, faire und transparente Verarbeitung dieser Informationen.

Die besonderen Kategorien personenbezogener Daten, auch als sensible Daten bezeichnet, sind spezielle Arten von persönlichen Informationen, deren Verarbeitung nach der DSGVO der Europäischen Union strenger geregelt ist. Diese Kategorien umfassen:

1. „Rassische” oder ethnische Herkunft: Informationen, die die „Rasse” (die Stabsstelle DISM distanziert sich ausdrücklich von diesem Begriff und dem dahinterstehenden Gedankengut und gibt hier lediglich den Gesetzeswortlaut wieder) oder ethnische Zugehörigkeit einer Person offenlegen.
2. Politische Meinungen: Daten, die die politische Überzeugung einer Person widerspiegeln.
3. Religiöse oder weltanschauliche Überzeugungen: Informationen über die religiöse oder weltanschauliche Zugehörigkeit einer Person.
4. Gewerkschaftszugehörigkeit: Daten, die die Mitgliedschaft einer Person in einer Gewerkschaft oder ähnlichen Organisation offenlegen.
5. Gesundheitsdaten: Informationen über den Gesundheitszustand einer Person, medizinische Diagnosen, genetische Daten, Informationen zu Krankheiten oder Behinderungen.
6. Daten zum Sexualleben oder der sexuellen Orientierung: Informationen über das Sexualleben oder die sexuelle Orientierung einer Person.

Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten ist in der Regel nur unter bestimmten Bedingungen erlaubt. Dazu gehören in der Regel die ausdrückliche Einwilligung der betroffenen Person, die Notwendigkeit der Verarbeitung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, und andere spezifische rechtliche Grundlagen, die den Schutz dieser sensiblen Daten sicherstellen sollen. Der Umgang mit diesen Daten erfordert besonders hohe Datenschutzstandards, um die Privatsphäre und die Grundrechte der betroffenen Personen zu schützen.

Wenn personenbezogene Daten verarbeitet werden, muss insbesondere der folgende Umgang gewährleistet werden:

1. Rechtmäßigkeit: Gesetzlich ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn, die Verarbeitung kann auf eine Rechtsgrundlage gestützt werden. Als Rechtsgrundlagen kommt zum Beispiel die Wahrnehmung öffentlicher Aufgaben infrage, die Vertragsdurchführung, oder die Einwilligung der betroffenen Person, deren personenbezogene Daten verarbeitet werden.
2. Informationspflicht: Die Personen, deren personenbezogene Daten verarbeitet werden, müssen in transparenter Weise über die Verarbeitung ihrer personenbezogenen Daten informiert werden.
3. Zugriffsberechtigungen und Datensicherheit: Es müssen strenge Zugriffsvoraussetzungen implementiert werden, um sicherzustellen, dass nur berechtigte Personen Zugriff auf bestimmte personenbezogene Daten haben; hierzu werden entsprechende technische und organisatorische Maßnahmen getroffen.
4. Datenminimierung und Speicherbegrenzung: Es dürfen nur personenbezogene Daten erhoben werden, die für den jeweiligen Zweck zwingend notwendig sind und nur solange gespeichert werden, wie es erforderlich ist, um diesen Zweck zu erreichen. Überflüssige Daten müssen regelmäßig und schnellstmöglich gelöscht werden.
5. Datenschutz-Folgeabschätzung: Bei der Einführung neuer Verarbeitungstätigkeiten muss durch die einführende Organisationseinheit eine Abschätzung des Risikos und gegebenenfalls eine darüber hinausgehende Datenschutz-Folgeabschätzung durchgeführt werden, um mögliche Risiken für die Freiheiten und Rechte der Personen, deren personenbezogene Daten verarbeitet werden, zu bewerten und geeignete Schutzmaßnahmen zu treffen.

Die Rechenschaftspflicht im Sinne der DSGVO bezieht sich auf die Verpflichtung von Organisationen, nachzuweisen, dass sie die Daten­schutz­grund­sätze gemäß der Verordnung einhalten. Dies bedeutet, dass Universitäten und Ver­ant­wort­liche nicht nur dazu verpflichtet sind, die Daten­schutz­prinzipien zu befolgen, sondern auch nach­weisen müssen, dass sie dies tun. Die Rechen­schafts­pflicht soll die Transparenz und Ver­ant­wort­lichkeit im Umgang mit personen­bezogenen Daten stärken.

Die Erfüllung der Rechenschaftspflichten gemäß der DSGVO erfordert eine systematische und dokumentierte Herangehensweise an den Datenschutz. Hier sind einige Schritte, die hierzu erforderlich sind:

1. Dokumentation der Verarbeitungstätigkeiten: Bei der Einführung einer neuen Verarbeitungstätigkeit muss ein Datenschutz-Formular (z. B. ein Datenschutz-Fragebogen oder eine Verfahrensbeschreibung) ausgefüllt und an die Stabsstelle Datenschutz- und Informationssicherheitsmanagement übermittelt werden. In diesem Formular müssen der Verarbeitungszweck, die Kategorien betroffener Personen, die Empfänger der personenbezogenen Daten, Übermittlungen in Drittländer und geplante Löschfristen sowie die genutzten IT-Tools zur Durchführung der Verarbeitung angegeben werden. Diese Dokumentation muss regelmäßig auf Richtig- und Vollständigkeit geprüft werden.
2. Dokumentation der Sicherheitsmaßnahmen: Es müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies sind zum Beispiel Verschlüsselung, Pseudonymisierung oder Zugriffskontrollen und weitere Maßnahmen. Diese Maßnahmen sind in Bezug auf die jeweilige Datenverarbeitungstätigkeit zu dokumentieren.
3. Meldung von Datenschutzverletzungen: Jede unbeabsichtigte Verarbeitung von personenbezogenen Daten stellt eine Datenschutzverletzung (auch „Datenpanne“ genannt) dar. Jede Datenpanne muss unverzüglich der Stabsstelle Datenschutz- und Informationssicherheitsmanagement gemeldet werden, sodass gegebenenfalls weitere Maßnahmen getroffen werden können.
4. Datenschutzverträge abschließen: Nicht selten ist vor dem Beginn der personenbezogenen Datenverarbeitung ein Datenschutzvertrag, z. B. mit dem Anbieter einer Software oder Kooperationseinrichtungen, erforderlich. Die DSGVO sieht für den Abschluss spezifischer Datenschutzverträge genaue Regelungen vor, welche Inhalte die Verträge aufweisen müssen. Die Einhaltung der Vorgaben der DSGVO muss auch in Datenschutzverträgen sichergestellt werden.
5. Beratung in Anspruch nehmen: Bei Fragen zur Einhaltung des Datenschutzes und bei der Einführung neuer oder der Aktualisierung vorhandener Verarbeitungstätigkeiten können Sie sich von der Stabsstelle Datenschutz- und Informationssicherheitsmanagement beraten lassen. Hierfür senden Sie eine E-Mail mit Ihrem Anliegen an dsm@uol.de. Für allgemeine Fragen das Datenschutzes können Sie sich zur Beratung an den Datenschutzbeauftragten und dsb@uol.de wenden.

Die DSGVO verfolgt der Grundsatz der Transparenz. Eines der wichtigsten Werkzeuge zur Einhaltung dieses Grundsatzes ist die Einhaltung der Informationspflichten. Die DSGVO legt verschiedene Informationspflichten fest, die Organisationen erfüllen müssen, wenn sie personenbezogene Daten verarbeiten.

Um die Informationspflichten zu erfüllen, muss zunächst in der Regel eine Datenschutzerklärung verfasst werden, die die folgenden Aspekte enthalten muss:

1. Identität des Verantwortlichen: Sie müssen klarstellen, wer für die Datenverarbeitung verantwortlich ist, d.h., wer entscheidet, warum und wie die Daten verarbeitet werden. Dies erfolgt einerseits über die klare Benennung der Carl von Ossietzky Universität Oldenburg als auch durch Angabe der aus­führenden Stelle.
2. Zweck der Datenverarbeitung: Die DSGVO verlangt, dass der Zweck der Datenverarbeitung trans­parent ist. Universitäten müssen erklären, warum sie personenbezogene Daten sammeln und wie sie verwendet werden.
3. Rechtsgrundlage für die Verarbeitung: Sie müssen angeben, auf welcher rechtlichen Grundlage die Verarbeitung basiert. Dies könnte beispielsweise die Einwilligung der betroffenen Person, die Ver­trags­er­fül­lung oder die Wahrung eines berechtigten Interesses sein.
4. Datenempfänger: Universitäten müssen angeben, ob und an wen sie personenbezogene Daten weitergeben, sei es intern oder an externe Dritte.
5. Speicherdauer: Die DSGVO schreibt vor, dass Universitäten die Dauer angeben müssen, für die die personenbezogenen Daten gespeichert werden, oder zumindest die Kriterien für die Festlegung dieser Dauer.
6. Rechte der betroffenen Personen: Betroffene Personen haben verschiedene Rechte gemäß der DSGVO, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch. Universitäten müssen darüber informieren, wie diese Rechte ausgeübt werden können.
7. Beschwerderecht bei der Aufsichtsbehörde: Betroffene Personen haben das Recht, bei der Daten­schutz­auf­sichts­be­hörde eine Beschwerde einzureichen. Die Kontaktinformationen der Auf­sichts­be­hörde sollten daher bereitgestellt werden.

Je nach Sachverhalt muss über weitere Aspekte der Datenverarbeitung informiert werden, wie zum Beispiel die Quellen, aus denen und welche personenbezogenen Daten von einer anderen Stelle erfasst werden.

Die DSGVO gewährt den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, ver­schiedene Rechte, um die Kontrolle über ihre Daten zu stärken. Die Betroffenenrechte dienen dazu, die Privat­sphäre und das Recht auf informationelle Selbstbestimmung einzelner Personen zu schützen und sicher­zu­stellen, dass Universitäten mit personenbezogenen Daten transparent und rechtmäßig umgehen.

1. Recht auf Auskunft (Art. 15 DSGVO): Betroffene haben das Recht, von einer Organisation zu erfahren, ob und welche personenbezogenen Daten von ihnen verarbeitet werden.
2. Recht auf Berichtigung (Art. 16 DSGVO): Betroffene können die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten verlangen.
3. Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO): Betroffene haben unter bestimmten Bedingungen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, insbesondere wenn die Daten nicht mehr notwendig sind oder unrechtmäßig verarbeitet wurden.
4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Umständen können betroffene Personen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen, zum Beispiel während der Prüfung von Einwänden gegen die Richtigkeit der Daten.
5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie gegebenenfalls an einen anderen Verantwortlichen zu übermitteln.
6. Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Verarbeitung ihrer personenbezogenen Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen.
7. Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO): Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, es sei denn, es gibt eine rechtliche Grundlage oder die betroffene Person hat ihre ausdrückliche Einwilligung gegeben.

In der DSGVO gibt es spezifische Anforderungen für die Verarbeitungen von personenbezogenen Daten mit mehreren Akteuren. In vielen Fällen sieht die DSGVO vor, dass mit Dritten, die die personenbezogenen Daten verarbeiten sollen, bestimmte Verträge abgeschlossen werden. Datenschutzverträge im Sinne der DSGVO sind:

1. Auftragsverarbeitungsvertrag (kurz: AVV / DPA) nach Artikel 28 DSGVO
2. Vereinbarung über die gemeinsame Verantwortlichkeit (kurz: GemV-Vertrag / JCA) nach Artikel 26 DSGVO
3. Standarddatenschutzklauseln / Standardvertragsklauseln (kurz: SCC) nach Artikel 46 DSGVO

Ein Auftragsverarbeitungsvertrag (AVV) ist eine schriftliche Vereinbarung zwischen einem Ver­ant­wort­lichen und einem Auf­trags­ver­arbeiter gemäß den Bestimmungen der DSGVO. In dieser Vereinbarung werden die Bedingungen und Modalitäten festgelegt, unter denen der Auf­trags­ver­arbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten darf.

Die DSGVO sieht vor, dass der Verantwortliche bestimmte Anforderungen erfüllen muss, wenn er die Verarbeitung personenbezogener Daten an einen Dritten (den Auftragsverarbeiter) auslagert. Der Abschluss eines Auf­trags­ver­arbeitungs­vertrags ist eine dieser Anforderungen.

Ein typischer Auftragsverarbeitungsvertrag enthält folgende Elemente:

1. Art und Zweck der Verarbeitung: Klare Angaben darüber, welche Art von Daten zu welchem Zweck verarbeitet werden sollen.
2. Dauer der Verarbeitung: Festlegung der Zeitspanne, für die der Auftragsverarbeiter die Daten verarbeiten darf.
3. Art der personenbezogenen Daten: Spezifizierung der Kategorien personenbezogener Daten, die verarbeitet werden sollen.
4. Verpflichtungen des Auftragsverarbeiters: Definition der Sicherheitsmaßnahmen und Verpflichtungen des Auftragsverarbeiters, um den Schutz der personenbezogenen Daten sicherzustellen.
5. Rechte und Pflichten des Verantwortlichen: Klärung der Rechte und Pflichten des Verantwortlichen in Bezug auf die Verarbeitung.
6. Mögliche Unterauftragsverarbeitung: Regelungen bezüglich einer möglichen Weitergabe der Daten an Subunternehmer und die Bedingungen, unter denen dies erlaubt ist.

Eine Vereinbarung über die gemeinsame Verantwortlichkeit (JCA) ist eine rechtliche Vereinbarung zwischen zwei oder mehr unabhängigen Parteien, die gemeinsam für die Verarbeitung per­sonen­bezogener Daten verantwortlich sind. Dieser Begriff ist in der DSGVO verankert und bezieht sich auf die Zusammenarbeit von mehreren Verantwortlichen, wenn sie gemeinsam darüber entscheiden, wie und warum personenbezogene Daten verarbeitet werden.

Gemäß Artikel 26 der DSGVO müssen die Verantwortlichen eine Vereinbarung über die gemeinsame Verantwortlichkeit treffen, die bestimmte Informationen enthält, einschließlich:

1. Die Identität der Verantwortlichen: Klarstellung, welche Parteien gemeinsam für die Verarbeitung verantwortlich sind.
2. Die Kontaktdaten der Datenschutzbeauftragten: Angabe der Kontaktdaten der Datenschutzbeauftragten, sofern vorhanden.
3. Die Zwecke und Mittel der Verarbeitung: Klarstellung, warum und wie die personenbezogenen Daten verarbeitet werden.
4. Die Rolle und Verantwortlichkeiten der beteiligten Parteien: Festlegung der spezifischen Rollen und Verantwortlichkeiten jeder Partei in Bezug auf die Datenverarbeitung.
5. Die Rechte der betroffenen Personen: Information darüber, wie die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung und Löschung, gewährleistet werden.
6. Die Weitergabe von Informationen unter den Verantwortlichen: Regelungen darüber, wie Informationen zwischen den Verantwortlichen ausgetauscht werden.

Die Standarddatenschutzklauseln, auch als Standardvertragsklauseln oder kurz SCCs (von englisch: Standard Contractual Clauses) bezeichnet, sind vordefinierte Vertragsbedingungen, die von der Europäischen Kommission entwickelt wurden. Ihr Zweck besteht darin, den internationalen Transfer personenbezogener Daten aus der Europäischen Union (EU) in Drittländer zu regeln, die kein angemessenes Datenschutzniveau bieten.

Wenn personenbezogene Daten aus der EU in ein Drittland übertragen werden, dessen Datenschutzniveau als nicht ausreichend sicher eingestuft wird, müssen alternative Mechanismen genutzt werden, um die Datenübertragung zu legitimieren. Die Standarddatenschutzklauseln sind ein solcher Mechanismus.

Die Klauseln enthalten verbindliche Bestimmungen für den Schutz personenbezogener Daten und die  Einhaltung der Datenschutzprinzipien gemäß der DSGVO. Sie können in Verträgen zwischen dem Datenexporteur (aus der EU) und dem Datenimporteur (im Drittland) eingefügt werden. Die Klauseln decken verschiedene Aspekte ab, einschließlich:

1. Datenschutzgrundsätze: Die Verpflichtung zur Einhaltung der Datenschutzgrundsätze, die in der DSGVO festgelegt sind.
2. Rechte der betroffenen Personen: Sicherstellung, dass die Rechte der betroffenen Personen gemäß der DSGVO geschützt werden.
3. Haftung und Schadensersatz: Festlegung von Haftungsregelungen und Bedingungen für Schadensersatz bei Verletzung der Datenschutzbestimmungen.
4. Überwachung durch Aufsichtsbehörden: Regelungen, die es den Datenschutzbehörden ermöglichen, die Einhaltung der Klauseln zu überwachen.

Die Standarddatenschutzklauseln bieten eine rechtliche Grundlage für den internationalen Datentransfer und werden von Organisationen genutzt, um sicherzustellen, dass personenbezogene Daten auch außerhalb der EU angemessen geschützt werden.

Es kann im Einzelfall auch vorkommen, dass die die DSGVO für den spezifischen Sachverhalt keinen Abschluss eines von der DSGVO vorgegebenen Datenschutzvertrags erfordert. Dennoch kann es hilfreich sein, daten­schutz­recht­liche Regelungen in anderen Verträgen, die nicht von der DSGVO vorgegeben werden, fest­zu­legen. Hierfür ist eine Beratung im Einzelfall zwingend erforderlich.