Kontakt

Team

Lars Galow
(Leitung, Informationssicherheitsbeauftragter)
 

Christoph Wilken
(Referent)
 

Thorsten Kamp
(Referent, stellv. Informationssicherheitsbeauftragter)

Besucheranschrift

Ökocentrum ÖCO, 3. Stock
Uhlhornsweg 99a
26129 Oldenburg

Postanschrift

Carl von Ossietzky Universität Oldenburg 
Stabsstelle Datenschutz- und Informationssicherheitsmanagement
Ammerländer Heerstr. 114-118
26129 Oldenburg

Rechtsgrundlagen

Die wichtigsten Rechtsgrundlagen für den universitären Betrieb

Um personenbezogene Daten rechtmäßig verarbeiten zu können, bedarf es einer Rechtsgrundlage.

Die beiden wichtigsten Rechtsgrundlagen sind die Einwilligung und die Wahrnehmung öffentlicher Aufgaben.

Übersicht der relevanten Rechtsgrundlagen

  • Einwilligung - Art. 6 Abs. 1 lit. a DSGVO
  • Einwilligung - Art. 9 Abs. 2 lit. a DSGVO
  • Erfüllung einer rechtlichen Verpflichtung - Art. 6 Abs. 1 lit. c DSGVO
  • Wahrnehmung öffentlicher Aufgaben - Art. 6 Abs. 1 lit. e DSGVO (siehe unten)

Einwilligung

Für die Verarbeitung allgemeiner personenbezogener Daten kommt als Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht.

Nach dieser Vorschrift muss die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben, damit die Einwilligung als Rechtsgrundlage genommen werden kann.


Besonderheiten bei besonderen Kategorien personenbezogener Daten

Sofern auch besondere Kategorien personenbezogener Daten verarbeitet werden, kommt als Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO in Betracht. Dabei muss die Einwilligung ausdrücklich erklärt werden. Das bedeutet, dass hier stillschweigende, konkludente Zustimmungen nicht mehr ausreichen. Weiterhin sollte konkret benannt werden, welche Daten genau verarbeitet werden und was deren Verwendungszweck sein soll. Hierbei ist stark anzuraten, eine schriftliche Einwilligungserklärung zur Unterschrift bereitzustellen bzw. bei elektronischen Einwilligungen, diese zu protokollieren.


Wenn die Rechtsgrundlage in der Einwilligung der betroffenen Person liegt, steht dieser jederzeit ein Widerrufsrecht zu, worüber diese zu informieren ist.


Der Begriff der "Einwilligung" wird im Art. 4 Nr. 11 näher konkretisiert als

  • von der Person freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung
  • in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung,
  • mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Bestimmter Zweck

Weil sich die Einwilligung auf einen oder mehrere bestimmte Zwecke beziehen muss, müssen diese auch klar und transparent in der Einwilligungserklärung (oder ggf. bei Verweis entsprechend in der Datenschutzerklärung) niedergeschrieben werden. Mit der vorherigen Zweckfestlegung soll nämlich verhindert werden, dass die Einwilligung der betroffenen Person nachträglich erweitert werden.

  • Da die Verarbeitung personenbezogener Zwecke im Bereich der wissenschaftlichen Forschung nicht immer vollständig angegeben werden kann, ist es den betroffenen Personen erlaubt, die Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung anzugeben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Deswegen müssen auf diesem Gebiet betroffene Personen die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen. (Erwägungsgrund 33 zur DSGVO)

Freiwilligkeit

Die Einwilligung muss freiwillig erfolgen, was in der Regel auch der Fall sein wird. Besondere Obacht ist in solchen Fällen von Nöten, bei denen die Einwilligung in die Verarbeitung von personenbezogenen Daten Vertragsbestandteil zur Erfüllung eines Vertrages sein soll. Hier dürfte es schwer werden, noch von einer Freiwilligkeit zu reden, wenn doch die betroffenen Person eine Vertragspflicht dazu hat. Auch wegen weiterer Zweifel an der Rechtmäßigkeit dieser Art Vereinbarung wird an dieser Stelle davon abgeraten, solche Verträge abzuschließen.

Freiwilligkeit besteht dann, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 zur DSGVO).

Sie soll regelmäßig dann nicht bestehen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere dann, wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es in Anbetracht alle Umstände im speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Das bedeutet, dass im Regelfall, sofern die Verantwortliche hoheitlich tätig wird, die stillschweigende Einwilligung der betroffenen Person nicht als gültige Rechtsgrundlage herangezogen werden kann, sodass eine andere Rechtsgrundlage (wie Art. 6 Abs. 1 lit. c DSGVO oder Art. 6 Abs. 1 lit. e DSGVO) gefunden werden muss.

  • Aus diesem Grund von diesseits empfohlen, in etwaige Teilnehmerinformationen, als auch in die Einwilligungserklärung (oder Datenschutzerklärung) ausdrücklich und deutlich sichtbar niederzuschreiben, dass die erklärte Einwilligung freiwillig erfolgt.

Erklärung oder sonstige eindeutig bestätigende Handlung

Die Einwilligung muss grundsätzlich in irgendeiner Form äußerlich erkennbar sein. Das ist selbstverständlich dann der Fall, wenn die betroffene Person die Einwilligung schriftlich oder mündlich erklärt. Es besteht kein Formerfordernis für Einwilligungserklärungen, zur Sicherheit sollte jedoch nach Möglichkeit eine Unterschrift der betroffenen Person eingeholt werden.

Ebenfalls genügt es den Anforderungen an eine "sonstige eindeutig bestätigende Handlung", wenn beim Besuch einer Website ein Kästen angeklickt wird (sog. Opt.Out-Verfahren, bei denen das Kästen schon beim Aufruf der Seite vorangekreuzt ist, sind nicht zulässig), solange dadurch verständlich ist, dass die betroffene Person dabei in die Datenverarbeitung einwilligt.

Sofern der elektronische Weg gewählt und im Wege dessen die betroffene Person zu einer Einwilligung aufgefordert wird, sollte beachtet werden, dass diese Aufforderung in möglichst klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes erfolgen soll.


Bestimmtheit

Die Einwilligung muss ausreichend bestimmt sein. Die betroffene Person muss wissen, welche sie betreffende personenbezogene Daten zu welchem Zweck von wem verarbeitet und gegebenenfalls, an wen sie noch weitergegeben werden sollen. Daher sollte auch stets im Rahmen der Einwilligungserklärung (respektive Datenschutzerklärung) angegeben werden, dass, oder dass nicht Daten an Dritte oder Drittländer weitergegeben werden.


Informiertheit

Die betroffene Person muss alle notwendigen Informationen erhalten, um Ihre Entscheidung über das Ob der Einwilligung treffen zu können. Dabei sollte davon auszugehen sein, dass die betroffene Person den Inhalt und die Tragweite der Erklärung anhand der Informationen erfassen kann. Daher sollten die Information möglichst klar, transparent, verständlich und geordnet zur Verfügung stehen. Die Schrift sollte gut lesbar und der Inhalt zusammenhängend und die Textpassagen aufeinander aufbauen gestaltet sein.

Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt

Die DSGVO sieht im Art. 6 Abs. 1 lit. e eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wenn diese erforderlich ist, um eine Aufgabe öffentlichen Interesses wahrzunehmen. Die Rechtsgrundlage wird dabei nach Art. 6 Abs. 3 DSGVO nach dem "Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt", also den Bundes- und Landesgesetzen festgelegt.

Das Niedersächsische Datenschutzgesetz (NDSG) ergänzt Art. 6 Abs. 1 lit. e im § 3 NDSG. Danach ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Erfüllung einer in der Zuständigkeit der Verantwortlichen liegenden Aufgabe erforderlich ist.

Welche Aufgaben des öffentlichen Interesses nun zur Erfüllung in der Zuständigkeit der Mitglieder und Angehörigen der Carl von Ossietzky Universität Oldenburg liegen, steht insbesondere im Niedersächsischen Hochschulgesetz (NHG).

Sofern also eine Verarbeitung auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. e DSGVO gestützt werden soll, sind § 3 NDSG und die jeweilige besondere Vorschrift aus dem NHG oder einem anderen Gesetz ebenfalls in der Datenschutz- oder Einwilligungserklärung anzuführen. Nur so wird die betroffene Person ausreichend und bestimmt genug informiert.

So sieht § 13 NDSG, welches über Art. 6 Abs. 1 lit. e / Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 3 NDSG anwendbar ist, die Datenverarbeitung für ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben vor. Sofern besondere Kategorien personenbezogener Daten erhoben werden, muss der Weg über Art. 9 DSGVO gehen. Die Normenkette wäre dann also entweder:

  • Art. 6 Abs. 1 lit. e DSGVO i.V.m. §§ 3 S. 1 Nr. 1, 13 NDSG oder
  • Art. 9 Abs. 2 lit. j DSGVO i.V.m. §§ 3 S. 1 Nr. 1, 13 NDSG

Eine Rechtgrundlage zur Verarbeitung personenbezogener Daten benötigt man auch, wenn diese pseudonymisiert sind. Lediglich bei anonymisierten Daten  (kann z.B. auch durch ausreichende Aggregation erzielt werden) greifen die strengen Vorschriften der DSGVO nicht mehr.

Internetkoordinator (Stand: 20.06.2024)  | 
Zum Seitananfang scrollen Scroll to the top of the page