Erheben personenbezogener Daten

Wiki

Definition

§ 3 Abs. 3 BDSG definiert Erheben als das Beschaffen von Daten über den bzw. die Betroffene(n). Hier sind nur personenbezogene Daten, also keine anonymisierten oder pseudonymisierten Daten gemeint.[1] Die Datenschutzgrundverordnung (DS-GVO) definiert zwar das Erheben von personenbezogenen Daten nicht selbst, doch nimmt sie mehrere Male Bezug zu diesem Terminus, z. B. in Art. 4 Nr. 2 oder Art. 5 Abs. 1 lit. b. Damit kommt dem Erheben auch hier eine wichtige Bedeutung zu. Zur genaueren Bestimmung des Begriffes kann aber auch weiterhin auf das BDSG zurückgegriffen werden.

Die spezielleren Landesdatenschutzgesetze wurden immer vor dem Hintergrund des schon bestehenden Bundesgesetzes, welches als allgemeiner und deswegen nachrangig in seiner Anwendung gilt, erlassen. Um Dopplungen zu vermeiden verzichteten die Landesgesetzgeber darauf, die Begriffe noch einmal auf landesrechtlicher Ebene zu definieren. Mithin ist die Definition aus dem BDSG auch auf landesrechtlicher Ebene zu nutzen.

Erheben umfasst nur das gezielte Beschaffen. Es muss daher ein Tätigwerden einer öffentlichen Stelle oder ihrer Vertreter vorliegen. Damit sind Informationen, an welche die entsprechende Stelle ohne eigenes Zutun gelangt ist oder ihr aufgedrängt wurden, nicht umfasst.[2]

Die Erhebung unterliegt gem. § 4 Abs. 1 LDSG LSA dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung personenbezogener Daten grundsätzlich verboten ist, aber durch Gesetz oder die Einwilligung des Betroffenen erlaubt werden kann.[3]

Ferner besteht der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG. Demnach muss der Betroffene vor der Erhebung über die Identität der verantwortlichen Stelle, die Zweckbestimmung und ggf. über die Kategorien von Empfängern unterrichtet werden, damit er Kenntnis darüber hat, wer was über ihn weiß.[4] Diese Regelung findet sich nun auch in konkreterer Form in Art. 13 DS-GVO wieder. Dort wird detailliert aufgelistet, was dem Betroffenen bei der Erhebung mitzuteilen ist. Dies ist zum großen Teil deckungsgleich mit den Regelungen im BDSG.

Erhebung personenbezogener Daten im Hochschulkontext

Vorstellbar ist in dieser Beziehung die Situation, dass der Lehrende den Studierenden während einer E-Learning Veranstaltung im PC-Pool die Aufgabe erteilt, sich Informationen einzuprägen, die auf dem Computerbildschirm jedes Studierenden für einen bestimmten Zeitraum zu sehen sind. Nach Ablauf dieses Zeitraums öffnet sich automatisch ein neues Fenster, in das die Studierenden alles eintragen sollen, was sie sich einprägen konnten. Jedoch hat Student S einen Screenshot des vorherigen Fensters erstellt und schreibt nun alles in das neue Fenster ab. Seine aufmerksame Kommilitonin K hat dies beobachtet und teilt das sogleich dem/der Lehrenden mit. Der/die Lehrende ist nie tätig geworden, um sich diese Informationen über S zu beschaffen, sondern sie wurden ihm/ihr durch die Mitteilung von K aufgedrängt. Erst wenn der/die Lehrende diese Informationen in irgendeiner Form verarbeitet oder nutzt, werden seine/ihre Handlungen datenschutzrechtlich relevant.[5]

Anders wäre die Situation auch, wenn der/die Lehrende auf seinem/ihrem Computer ein Programm installiert hat, das ihm/ihr mitteilt, wenn ein Screenshot erstellt wurde bzw. an welchem Arbeitsplatz dieser Screenshot erstellt wurde. Mit der Installation des Programms wurde der/die Lehrende aktiv tätig, um sich diese Informationen zu beschaffen, weshalb hier ein Erheben durch den/die Lehrende/n vorliegt.

Informationspflichten bei der Erhebung personenbezogener Daten

Hier ist der Fall denkbar, dass die Doktorarbeit eines Promovierenden mittels einer entsprechenden Software auf Plagiate untersucht werden soll. Hier muss der Promovierende darüber in Kenntnis gesetzt werden, dass die Universität als verantwortliche Stelle seine Daten erhebt. Weiterhin muss ihm der Zweck genannt werden, also die Erkennung von Plagiaten als Teil der Prüfung der wissenschaftlichen Güte seiner Promotion. In den meisten Fällen besitzt eine Hochschule oder Universität kein eigenes Programm, um Arbeiten auf Plagiate zu untersuchen, sondern bedient sich Produkten externer Anbieter. Somit muss dem Promovierenden auch mitgeteilt werden, an welchen Anbieter seine Arbeit übermittelt wurde. Dies muss dem Promovierenden schon vor der Erhebung der Daten mitgeteilt werden. Ihm muss dabei auch offengelegt werden, wer genau seine Daten erhebt. Eine reine Mitteilung zur Kenntnis des Promovierenden, dass seine Daten erhoben worden sind, ist nicht zulässig.

Eine solche Erhebung kann aber nicht durch eine Einwilligung des Promovierenden gerechtfertigt werden, da er sich, wenn er seine Einwilligung nicht geben würde, seiner Möglichkeit berauben würde, den Doktorgrad zu erreichen. Seine Entscheidung wäre mithin nicht freiwillig, was eine wirksame Einwilligung ausschließt. Die Erhebung kann nur auf die Aufgabenerfüllung der Universität gestützt werden. Ob diese jedoch auch die Prüfung mittels einer Plagiatssoftware einschließt ist höchst fraglich, da es auch andere, für die Betroffenen weniger einschneidende Möglichkeiten gibt, eine solche Prüfung durchzuführen.

Nachweise

  1. Kühling/Seidel/Sivridis, Datenschutzrecht, S. 110 Rn. 234.
  2. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 24.
  3. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 3 ff.
  4. Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 235.
  5. Vgl. Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 38.
Alert Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität.