Verarbeiten personenbezogener Daten

Unter Verarbeiten im engeren Sinne versteht man gem. § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten.

Speichern

Speichern bezeichnet das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG). Die Begriffe Speichern und Datenträger sind dabei sehr weit gefasst. Im Vordergrund steht das Fixieren der Daten durch menschliche Tätigkeit (z. B. schreiben oder zeichnen) mittels apparativer Aufzeichnungsmethoden wie Festplatten.^[1] Es wird auch gespeichert, wenn bereits fixierte Daten entgegengenommen werden.^[2] Dies ist denkbar, wenn Daten von Studierenden durch Dritte (beispielsweise einer anderen Hochschule) z. B. auf einem USB-Stick gespeichert wurden und dieser USB-Stick später einem Angestellten der Universität übergeben wird. Hier liegt in der Entgegennahme der auf dem USB-Stick gespeicherten Daten eine Speicherung durch die Universität i. S. d. § 3 Abs. 4 S. 2 Nr. 1 BDSG vor.

Bei der Abnahme einer elektronischen Prüfung zum Beispiel eröffnet sich den Lehrenden durch ein Programm auf ihrem Rechner die Möglichkeit, sich Daten darüber anzusehen, welcher Studierende wie viele Fragen richtig beantwortet hat. Diese Dateien speichert er/sie auf einem USB-Stick. Der Lehrende bzw. die Lehrende ist nicht für die Auswertung der Prüfung zuständig, sondern ein anderer Kollege oder eine andere Kollegin. Er/Sie hat damit zwar nicht die Absicht, sich die Daten noch einmal anzusehen, er/sie speichert sie aber sicherheitshalber, falls die Festplatte des Computers einmal defekt sein sollte. Damit nimmt er/sie es willentlich in Kauf (bedingter Vorsatz), dass die Daten später, zum Beispiel durch Übermittlung an seinen/ihren Kollegen, benutzt werden. Da eine Übermittlung eine weitere Verarbeitung darstellt, liegt in diesem Fall eine Speicherung vor. Das Speichern muss immer mit dem Ziel der Verwendung der Daten erfolgen, wobei in fast jedem Fall vom Vorliegen dieser Absicht auszugehen ist.^[3]

Verändern

Nach § 3 Abs. 4 S. 2 Nr. 2 BDSG bezeichnet Verändern die Umgestaltung gespeicherter personenbezogener Daten. Es wird also eine neue Bedeutung des Datums geschaffen.^[4] Beispielsweise kann das Datum selbst verändert werden. Bedeutsam ist insbesondere die Verknüpfung von Daten bzw. Daten in einen neuen Kontext zu setzen, sodass ihr Bedeutungsgehalt geändert wird. ^[5]

Ein denkbarer Fall ist, dass sich Studierende für die Teilnahme an einem Seminar bei Stud.IP vorläufig eintragen und der/die Lehrende anschließend auswählt, wer teilnehmen darf. Dafür erstellt er/sie zwei Listen, auf der ersten sind die definitiven Teilnehmer vertreten und auf der zweiten, der Warteliste, die Nachrücker. Wird nun der Name eines/einer Studierenden von Liste Zwei auf Liste Eins gesetzt, ändert sich der Kontext, da er/sie nun unter den definitiven Teilnehmern vermerkt ist.

Übermitteln

Unter Übermitteln ist die Bekanntgabe gespeicherter oder durch Datenverarbeitung gewonnener Daten an Dritte zu verstehen.^[6] Bekanntgeben wiederum ist die Vermittlung der Kenntnis über den Inhalt des Datums. Es ist also nicht nötig, dass der physische Besitz am Datenträger oder dem Datum selbst wechselt.^[7]

Das Gesetz unterscheidet zwei Arten der Bekanntgabe:

Bei der Weitergabe an Dritte gelangen die Daten durch eine zweckgerichtete Handlung der verantwortlichen Stelle an Dritte.^[8] Ein denkbarer Fall wäre die Nutzung von Plagiatsprüfungssoftwares. Die am weitesten verbreiteten Softwares dieser Art prüfen nicht Dateien, die lokal auf dem Computer z. B. des/der Promovierenden gespeichert sind, sondern erfordern, dass die zu prüfende Datei an den Anbieter geschickt oder auf einen Server hochgeladen wird. Damit wird also zum Zwecke der Plagiatsprüfung ein Datum an Dritte, nämlich den Anbieter der Software, weitergegeben, d. h. übermittelt und daher im Sinne des Gesetzes verarbeitet.

Die zweite Art der Bekanntgabe ist das Einsehen oder Abrufen zur Einsicht durch den Dritten, der Dritte wird also selbst aktiv, um die Daten zu erlangen.^[9] Dies wäre zum Beispiel der Fall, wenn die Prüfungsergebnisse im Löwenportal ohne Passwortschutz für jeden beliebigen Dritten, also andere Studierende, Eltern oder potenzielle Arbeitgeber abrufbar wären.

Sperren

Unter Sperren gem. § 3 Abs. 4 S. 2 Nr. 4 BDSG versteht man das Kennzeichnen von gespeicherten personenbezogenen Daten, wodurch ihre weitere Verarbeitung oder Nutzung eingeschränkt wird. Dies sind insbesondere Fälle, in denen die Daten eigentlich zu löschen wären, aber gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen oder schutzwürdige Interessen des Betroffenen dagegen sprechen.^[10] Denkbar ist die Speicherung von Prüfungsergebnissen in pseudonymisierter Form und eine davon unabhängige Speicherung des Schlüssels, um kenntlich zu machen, wem die Prüfungsergebnisse zuzuordnen sind. Durch das pseudonymisierte Speichern sind die Daten dahingehend ausreichend gekennzeichnet, dass sie nur zum Zweck der Nachkontrolle von Noten, also beschränkt, genutzt werden dürfen.

Löschen

Löschen ist das Unkenntlichmachen personenbezogener Daten (§ 3 Abs. 4 S. 2 Nr. 5 BDSG), also jede Handlung, die dazu führt, dass Daten nicht mehr zur Kenntnis genommen und Informationen nicht länger aus gespeicherten Daten gewonnen werden können.^[11]

Nachweise

↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 238.
↑ Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 58.
↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 28.
↑ Damman, in: Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 129.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 239.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 241.
↑ Eßer, in: Auernhammer, BDSG, 4. Auflage 2014. § 3 Rn. 56.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 242.
↑ Dammann, in: Simitis (Hrsg.), BDSG, 8. Auflage 2014, § 3 Rn. 150.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 244.
↑ Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 82.

Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität.

[1] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 238.

[2] Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 58.

[3] Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 28.

[4] Damman, in: Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 129.

[5] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 239.

[6] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 241.

[7] Eßer, in: Auernhammer, BDSG, 4. Auflage 2014. § 3 Rn. 56.

[8] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 242.

[9] Dammann, in: Simitis (Hrsg.), BDSG, 8. Auflage 2014, § 3 Rn. 150.

[10] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 244.

[11] Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 82.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]