Wiki - Benutzerbeiträge [de]

Datei:Rechtsquellenübersicht.pdf

2023-07-15T17:20:14Z

Paul Schiering: Paul Schiering lud Datei:Rechtsquellenübersicht.pdf hoch

Datei:Zeitstrahl Datenschutzrecht.pdf

2023-07-15T17:17:52Z

Paul Schiering: Paul Schiering lud Datei:Zeitstrahl Datenschutzrecht.pdf hoch

Datei:Zeitstrahl Datenschutzrecht.jpg

2023-07-15T17:15:06Z

Paul Schiering: Paul Schiering lud Datei:Zeitstrahl Datenschutzrecht.jpg hoch

Datei:Rechtsquellenübersicht.jpg

2023-07-15T17:12:09Z

Paul Schiering: Paul Schiering lud Datei:Rechtsquellenübersicht.jpg hoch

Datenschutz beim adaptiven Lernen

2018-08-21T14:04:08Z

Paul Schiering: Verlinkungen

==Bedeutung des Datenschutzes im adaptiven Lernen==

Unter adaptivem Lernen ist eine Methode zu verstehen, die einem einzelnen Studierenden auf der Grundlage des bisherigen Lernverlaufes und der entsprechenden Lernerfolge, individuell zugeschnittene Lernangebote und -möglichkeiten anbietet. Dies setzt voraus, um ein individuelles "Profil" zu erstellen, dass Daten über die Person gesammelt werden. Diese Form des Lernens kann besonders effektiv durch Nutzung von Online-Plattformen wie ILIAS realisiert werden, da diese ohnehin Daten der Studierenden verarbeiten.

Zum Beispiel kann dies das Testergebnis einer Person sein, welches dazu dient, festzustellen, auf welchem Niveau sich die künftigen Lernangebote befinden müssen, um sinnvoll zum Lernerfolg führen zu können. Diese personenbezogenen Daten der Studierenden können aber auch subtiler gesammelt werden, also in Situationen, in denen es dem Betroffenen weniger klar ist, dass Daten über ihn gesammelt werden. Denkbar wäre die Erfassung der Zeit, die ein Studierender braucht, um eine Aufgabe zu lösen oder wie lange er verweilt, um einen Text durchzulesen.
Adaptives Lernen ist also maßgeblich von den gesammelten Daten abhängig, sodass es von essentieller Bedeutung ist, datenschutzrechtliche Normen zu befolgen.

==Nutzung schon vorhandener Daten==

===Zweckbindung der Datenverarbeitung===

Die [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE Datenschutzgrundverordnung der EU (DS-GVO)] statuiert klar in [https://dsgvo-gesetz.de/art-5-dsgvo/ Art. 5 Abs. 1 lit. b], dass Daten nur "für festgelegte, eindeutige und legitime Zwecke erhoben werden" dürfen. Damit wurde die Bedeutung des [[Grundsätze des deutschen Datenschutzrechts|Grundsatzes der Zweckbindung]], der ein Eckpfeiler des Datenschutzrechts darstellt und sich auch im deutschen Datenschutzrecht finden lässt (Bundesdatenschutzgesetz sowie Datenschutzgesetze der Länder), nochmals unterstrichen.
Die Zweckbindung erstreckt sich nicht nur auf die Erhebung, sondern gerade auch auf die Weiterverarbeitung bereits vorhandener personenbezogener Daten. Auch andere Personen, als diejenigen, die die Daten erhoben haben, müssen sich an den ursprünglichen Zweck der Datenerhebung halten.<ref>Frenzel, in: Paal/Pauly, DS-GVO, BDSG, 2. Auflage 2018, Art. 5 DS-GVO Rn. 29.</ref> Mithin ist es auch ihnen nicht erlaubt, die Daten für einen anderen Zweck als den ursprünglichen zu nutzen.

Typischerweise liegt über die meisten Studierenden schon eine Reihe von Daten vor, z. B. verschiedene Testergebnisse sowie Daten, die bei der Nutzung von ILIAS und Stud.IP anfallen. Bei Prüfungen werden personenbezogene Daten nur zum Zwecke der Durchführung von Leistungserhebung erhoben. Sie werden aber bisher nicht zur späteren Verwertung im Bereich des adaptiven Lernens gesammelt. Den Studierenden war zum Zeitpunkt der Erhebung nur bekannt, dass ihre personenbezogenen Daten für die Prüfungsdurchführung nicht aber für andere Zwecke erhoben werden. Deswegen wäre ein Rückgriff auf diese Daten zum Zwecke eines adaptiven Lernmodells grundsätzlich nicht zulässig, da er gegen die Zweckbindung bei der Datenerhebung verstoßen würde.

Dies gilt auch für die spätere Auswertung des Nutzungsverhaltens in ILIAS oder Stud.IP. Hier werden Daten erhoben, um die universitäre Verwaltung zu erleichtern oder "klassische" Lehrveranstaltungen durchzuführen. Dies ist der Zweck im Zeitpunkt der Datenerhebung. Auch hier würde es im Grundsatz gegen die Zweckbindung verstoßen, wenn diese personenbezogenen Daten später anderweitig genutzt werden würden.

===Erlaubnis der Weiterverarbeitung zu einem anderen Zweck===

Die DS-GVO gewährt aber die Möglichkeit der Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck als dem ursprünglichen. Dafür ist es nötig, dass der später verfolgte Zweck nicht unvereinbar mit dem ursprünglichen Zweck der Erhebung ist. Es ist also zu prüfen, ob es im Kontext des Ursprungszweckes unangemessen erscheint, die Daten zu diesem neuen Zweck zu nutzen. Die dafür relevanten Gesichtspunkte sind die inhaltliche Verbindung, der Erhebungszusammenhang sowie die Art der Daten.<ref>Reimer, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 5 Rn. 26.</ref> Damit wird die Weiterverarbeitung an den Erhebungskontext und die Erwartung der Betroffenen im Zeitpunkt der Erhebung gekoppelt.<ref>Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, 23. Edition 01.02.2017, Art. 5 DS-GVO Rn. 19.</ref>

Besonderes Augenmerk muss auf das Kriterium der Erwartung der Studierenden gelegt werden. Um die besondere Bedeutung dieses Merkmals herauszustellen, ist es hilfreich, sich den Ursprung und die Grundidee des deutschen Datenschutzrechtes vor Augen zu führen. Dieses wurde durch das Bundesverfassungsgericht in seinem berühmten [https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BVerfG&Datum=15.12.1983&Aktenzeichen=1%20BvR%20209%2F83 Volkszählungsurteil] im Jahr 1983 entwickelt. In Herleitung aus dem allgemeinen Persönlichkeitsrecht gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG sagte das Gericht, dass jeder über die Preisgabe seiner Daten entscheiden können muss, um zu bestimmen, wer was über ihn weiß, damit ein freie Entfaltung der Persönlichkeit möglich ist.<ref>BVerfGE 65, 1 (43), Epping, GrundR, 6. Auflage 2015, Rn. 635.</ref> Da auch die Datenschutzgrundverordnung an der Zweckbindung festhält, hat sich auch nach ihrer Einführung nichts an dieser Grundüberlegung geändert. Im Lichte dessen ist es notwendig zu überlegen, wenn schon vorhandene Daten weiterverarbeitet werden sollen, ob der Studierende der ursprünglichen Zweckangabe die neue Form der Verarbeitung entnehmen konnte.

Die ursprüngliche Erhebung wurde, wie oben gezeigt, im universitären Kontext vorgenommen. Die Studierenden wussten also, dass ihre Daten von der Universität ausgewertet werden. Gerade bei Prüfungen, die oft dazu genutzt werden, später als Grundlage für weitere Verbesserungen der Studierenden zu dienen, kann angenommen werden, dass die Betroffenen erwarten werden, dass ihre Daten verarbeitet werden. Jedoch besteht ein großer Unterschied zwischen der Beurteilung und den Anmerkungen des Korrektors, die den Studierenden helfen soll, sich selbst zu verbessern und der späteren Nutzung als Grundlage für adaptives Lernen. Der Betroffene kann wohl nicht absehen, dass Prüfungsleistungen auch Jahre später nochmals dafür genutzt werden. Darin liegt der maßgebliche Unterschied zu Einstufungstests, die ausdrücklich dazu dienen, zu ermitteln, wie das adaptive Lernen am besten auf den einzelnen Studierenden zugeschnitten werden kann. Es besteht für die Weiterverwendung von Daten aus Prüfungen trotz eines ausreichenden inhaltlichen Zusammenhangs kein ausreichender Erhebungszusammenhang, um eine nachträgliche Zweckänderung zu rechtfertigen.

Auch das Tracking der Aktivitäten auf Stud.IP oder ILIAS weist nicht den nötigen inhaltlichen Zusammenhang auf, sodass auch für die Weiterverwendung der hier anfallenden Daten eine Zweckänderung nicht zulässig ist.

==Zulässigkeit der Nutzung personenbezogener Daten==

===Einwilligung in die Nutzung des adaptiven Lernens===

Mithin kommt nur die Möglichkeit in Betracht explizit Daten zum Zwecke des adaptiven Lernens zu erheben. Dazu ist jedoch die Einwilligung des Betroffenen notwendig.
Eine Einwilligung muss immer freiwillig erfolgen. Sie muss also auf der freien Entscheidung des Betroffenen beruhen. Die Einwilligung verliert ihre legitimierende Wirkung für den Eingriff in das informationelle Selbstbestimmungsrecht, wenn die Einwilligung erzwungen wird, da dann dieses Erfordernis ins Leere laufen würde.<ref>Vgl. BVerfGE 85, 386.</ref>

===Probleme einer wirksamen Einwilligung===

Die Studierenden sind, um später einen eine akademische Laufbahn einschlagen oder einen anderen Beruf ausüben zu können, darauf angewiesen, Leistungsnachweise von der Universität zu erhalten. Diese beruhen auf besuchten Lehrveranstaltungen und den dazugehörigen Prüfungen. Würde der Studierende seine Einwilligung verweigern, würde ihm dies gravierende Nachteile einbringen, weil es ihm nicht mehr möglich ist an Prüfungen teilzunehmen. Daher ist auch eine Einwilligung unwirksam, wenn der Leistungsnachweis obligatorisch ist und nur zu erreichen ist, indem in eine Datennutzung einzuwilligen ist. Damit wird die Datenerhebung unrechtmäßig, also nicht erlaubt sein. Anders liegt die Situation, wenn die Lehrveranstaltung nicht zur Erbringung eines Leistungsnachweises nötig ist, sondern rein fakultativ stattfindet. In dieser Konstellation wird durch die Nichtteilnahme kein unmittelbarer Nachteil begründet. Damit beruht die Entscheidung, ob Daten erhoben werden dürfen, auf freier Willensbetätigung des Betroffenen, sodass eine Einwilligung wirksam wäre.

===Umsetzung der Einwilligung in adaptives Lernen===

Konkret bedeutet dies für adaptives Lernen, dass eine Einwilligung in die Nutzung der Daten zum Zwecke des adaptiven Lernens unwirksam ist, wenn es keine anderweitige Möglichkeit gibt sinnvollerweise an der Lehrveranstaltung teilzunehmen bzw. den Leistungsnachweis abzulegen, als die Nutzung von adaptivem Lernen.

Falls die Wissensvermittlung für eine obligatorische Prüfung ausschließlich mit Hilfe adaptiver Lernangebote erfolgen würde, könnte sich der Betroffene nicht frei entscheiden, in die Nutzung seiner Daten einzuwilligen. Mithin wäre dieses Szenario unzulässig. Anders liegt der Fall, wenn das adaptive Lernangebot nur ergänzend zu anderen Formen der Wissensvermittlung dienen soll und sie die darin enthaltenen Informationen auch auf anderem Wege erhalten können. Dann haben die Studierenden die Möglichkeit auch ohne die Nutzung ihrer Daten die Prüfung abzulegen und sinnvoll an den Lehrveranstaltungen teilzunehmen.
Zur praktischen Umsetzung in ILIAS ist es zu empfehlen, zu Beginn eine Art Testfrage zu stellen. Erst nach Beantwortung dieser Testfrage mit "Ja" wird der Zugriff auf die weiteren Inhalte der Lehrveranstaltung, die dann adaptives Lernen enthalten, ermöglicht. Die Frage muss klar aufzeigen, welche Daten der Studierenden (z.B. ihr Profilname und ihre Testergebnisse) gesammelt werden sowie muss festgelegt werden zu welchem Zweck (z.B. Verbesserung der Lehre durch adaptives Lernen) die Daten erhoben und verarbeitet werden.

===Durchführung einer Lehrveranstaltung mit obligatorischer Nutzung adaptiver Lernangebote===

Die wohl einzige Möglichkeit die Nutzung personenbezogener Daten bei einer Veranstaltung, die obligatorisch mit Hilfe adaptivem Lernens durchgeführt werden soll, ist §§ 9 ff. Datenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA). Diese erlauben den Umgang mit personenbezogenen Daten, soweit dieser zur Aufgabenerfüllung der öffentlichen Stelle erforderlich ist.
Unter Erforderlichkeit ist zu verstehen, dass ermittelt werden muss, ob unter den für die Erreichung eines bestimmten Zweckes gleich gut geeigneten Mitteln, das gewählt wurde, welches das mildeste Mittel ist.<ref>Grzeszick, in: Maunz/Dürig, GG-Kommentar, 79. EL Dezember 2016, Art. 20 Abschn. VII Rn. 113.</ref>

Es geht also darum eine Lehr- und Lernmethode zu finden, die ähnlich effektiv ist, für die aber die Erhebung von weniger Daten notwendig ist. Dabei ist zuerst an die klassische Präsenzlehre zu denken. Zwar wird hier nicht so auf intensiv auf den einzelnen Studierenden eingegangen, jedoch ist es eine bewährte Methode Wissen zu vermitteln, die auch zum Selbststudium anhält.

Es gibt zur Zeit nur eine kleine Anzahl von wissenschaftliche Untersuchungen, die die Effektivität von adaptivem Lernen mit der von klassischen Lernkonzepten vergleichen. Die Studie von Murray & Perrez hat z. B. festgestellt, dass es zwar zu besseren Abschlusstestergebnissen kommt, indem adaptive Lernsysteme genutzt werden. Jedoch war dies nur eine minimale Abweichung nach oben, verglichen mit den Testergebnissen der "klassischen Lerner". Es konnte kein signifikanter Unterschied festgestellt werden.<ref>Murray/Perez, Informing and Performing: A Study Comparing Adaptive Learning to Traditional Learning, Kennesaw State University 2015 (https://pdfs.semanticscholar.org/36a5/9a3f58aec4ec79a47feb54cf661542e5c6b0.pdf?_ga=2.250082821.2014125111.1528723717-725117852.1528723717).</ref> Mithin ist es wichtig sich klar zu machen, wie viele Daten bei welcher Lernform im Vergleich zu anderen erhoben werden. Im Zuge der Wissensvermittlung durch Lehrformen wie die Präsenzlehre werden regelmäßig nur wenige Daten wie die Namen der Teilnehmenden, ihre Matrikelnummer und u. U. ihr Semester erhoben. Beim adaptiven Lernen ist meist schon zu Beginn eine Selbsttest zur Einschätzung nötig, der eindeutige Rückschlüsse auf den individuellen Wissensstand zulässt. Denkbar sind auch Angaben über Interessen und Präferenzen der Studierenden, um die Lernumgebung bestmöglich individuell anzupassen. Ferner werden während des Semesters bei der Bearbeitung der adaptiven Lernelemente dauerhaft neue Daten über die Studierenden erhoben. Damit wird ein viel größere Pool an Informationen über die Personen angelegt, die adaptive Lernangebote nutzen als z. B. bei der Präsenzlehre.

Dies muss nun mit der Verbesserung der Qualität der Lehre, also dem Ziel der Maßnahme, in Vergleich gesetzt werden. Es zeigt sich ein Ungleichgewicht dahingehend, dass lediglich eine minimale Verbesserung der Qualität der Lehre und damit der Effektivität des Lernens auf der einen Seite steht. Auf der anderen Seite werden viel mehr Daten erhoben als bei klassischen Lernformen. Mithin kann eine solch ausgedehnte Datenverarbeitung nicht durch eine so minimale Verbesserung der Qualität und Effektivität gerechtfertigt werden. Die Datenverarbeitung erscheint also nicht als erforderlich. Daher kann die Verarbeitung nicht auf eine gesetzliche Erlaubnis gestützt werden, sodass sie unrechtmäßig ist, soweit keine wirksame Einwilligung vorliegt. Diese wird in den meisten Fällen jedoch fehlen. Dem Merkmal der Erforderlichkeit könnte zukünftig Rechnung getragen werden, was dazu führen könnte, dass man adaptive Lernmodelle auf gesetzliche Erlaubnistatbestände stützen könnte. Dafür muss aber die Analyse der Daten verbessert oder auf einem anderen Wege eine deutlich messbare Steigerung des Lernerfolges beim adaptiven Lernen erreicht werden. Erst diese deutliche Steigerung könnte in Abwägung mit der erhöhten Datenmenge, die gesammelt wird, eine Rechtfertigung für die Erhebung und Verarbeitung der Daten liefern. Dabei darf aber in erste Linie die Menge der gesammelten Daten nicht erhöht werden, um bessere Lernerfolge zu erzielen. Viel mehr kommt es darauf an, die Daten besser zu nutzen und zu analysieren.

===Beispiel der Selbsttests===
Eine differenzierte Betrachtung ist insbesondere bei Selbsttests vorzunehmen, die nicht dazu dienen eine Leistungserhebung durchzuführen, sondern lediglich eine Hilfestellung für die Studierenden darstellen. Grundsätzlich muss, wie oben gezeigt, eine gesetzliche Regelung vorliegen, die die Erhebung bzw. Verarbeitung der Daten erlaubt oder eine freiwillige Einwilligung der Studierenden vorliegen.

Beispielhaft ist die Situation von Probeklausuren. Werden diese sozusagen "analog", also nicht in Einbindung einer Lehrveranstaltung mit adaptivem Lernen angeboten, dann ist maßgeblich auf die Erwartung der Studierenden abzustellen. Wenn die Ergebnisse der Probeklausuren nur der persönlichen Einschätzung durch die Studierenden selbst dienen sollen, wäre es für sie mehr als überraschend, wenn der Lehrende diese Ergebnisse später in sein adaptives Lernkonzept einbinden würde. Dies spricht dafür, dass eine solche Weiterverarbeitung unzulässig ist.

Anders liegt der Fall, wenn schon ohne vorhandenes Konzept für adaptives Lernen, aber in Planung der Durchführung eines solchen Projektes, diese Selbsttests angeboten werden. Wird den Studierenden dieser Zweck vor Abnahme des Testes mitgeteilt, und willigen die Studierenden freiwillig ein, dann können auch Testergebnisse, die außerhalb eines schon vorhanden Projektes zum adaptiven Lernen erhoben wurden, dazu genutzt werden.
Am unproblematischsten sind Selbsttests, die nach Einwilligung in die Nutzung des adaptiven Lernens vorgenommen werden. Diese sollen meist dazu dienen, den individuellen Wissensstad zu Beginn herauszufinden, um dann auf die einzelnen Studierenden abgestimmte Lernmöglichkeiten anzubieten.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Datenschutz beim adaptiven Lernen

2018-08-21T11:11:11Z

Paul Schiering: Erstellung der Seite

==Bedeutung des Datenschutzes im adaptiven Lernen==

Unter adaptivem Lernen ist eine Methode zu verstehen, die einem einzelnen Studierenden auf der Grundlage des bisherigen Lernverlaufes und der entsprechenden Lernerfolge, individuell zugeschnittene Lernangebote und -möglichkeiten anbietet. Dies setzt voraus, um ein individuelles "Profil" zu erstellen, dass Daten über die Person gesammelt werden. Diese Form des Lernens kann besonders effektiv durch Nutzung von Online-Plattformen wie ILIAS realisiert werden, da diese ohnehin Daten der Studierenden verarbeiten.

Zum Beispiel kann dies das Testergebnis einer Person sein, welches dazu dient, festzustellen, auf welchem Niveau sich die künftigen Lernangebote befinden müssen, um sinnvoll zum Lernerfolg führen zu können. Diese personenbezogenen Daten der Studierenden können aber auch subtiler gesammelt werden, also in Situationen, in denen es dem Betroffenen weniger klar ist, dass Daten über ihn gesammelt werden. Denkbar wäre die Erfassung der Zeit, die ein Studierender braucht, um eine Aufgabe zu lösen oder wie lange er verweilt, um einen Text durchzulesen.
Adaptives Lernen ist also maßgeblich von den gesammelten Daten abhängig, sodass es von essentieller Bedeutung ist, datenschutzrechtliche Normen zu befolgen.

==Nutzung schon vorhandener Daten==

===Zweckbindung der Datenverarbeitung===

Die Datenschutzgrundverordnung der EU (DS-GVO) statuiert klar in Art. 5 Abs. 1 lit. b, dass Daten nur "für festgelegte, eindeutige und legitime Zwecke erhoben werden" dürfen. Damit wurde die Bedeutung des Grundsatzes der Zweckbindung, der ein Eckpfeiler des Datenschutzrechts darstellt und sich auch im deutschen Datenschutzrecht finden lässt (Bundesdatenschutzgesetz sowie Datenschutzgesetze der Länder), nochmals unterstrichen.
Die Zweckbindung erstreckt sich nicht nur auf die Erhebung, sondern gerade auch auf die Weiterverarbeitung bereits vorhandener personenbezogener Daten. Auch andere Personen, als diejenigen, die die Daten erhoben haben, müssen sich an den ursprünglichen Zweck der Datenerhebung halten.<ref>Frenzel, in: Paal/Pauly, DS-GVO, BDSG, 2. Auflage 2018, Art. 5 DS-GVO Rn. 29.</ref> Mithin ist es auch ihnen nicht erlaubt, die Daten für einen anderen Zweck als den ursprünglichen zu nutzen.

Typischerweise liegt über die meisten Studierenden schon eine Reihe von Daten vor, z. B. verschiedene Testergebnisse sowie Daten, die bei der Nutzung von ILIAS und Stud.IP anfallen. Bei Prüfungen werden personenbezogene Daten nur zum Zwecke der Durchführung von Leistungserhebung erhoben. Sie werden aber bisher nicht zur späteren Verwertung im Bereich des adaptiven Lernens gesammelt. Den Studierenden war zum Zeitpunkt der Erhebung nur bekannt, dass ihre personenbezogenen Daten für die Prüfungsdurchführung nicht aber für andere Zwecke erhoben werden. Deswegen wäre ein Rückgriff auf diese Daten zum Zwecke eines adaptiven Lernmodells grundsätzlich nicht zulässig, da er gegen die Zweckbindung bei der Datenerhebung verstoßen würde.

Dies gilt auch für die spätere Auswertung des Nutzungsverhaltens in ILIAS oder Stud.IP. Hier werden Daten erhoben, um die universitäre Verwaltung zu erleichtern oder "klassische" Lehrveranstaltungen durchzuführen. Dies ist der Zweck im Zeitpunkt der Datenerhebung. Auch hier würde es im Grundsatz gegen die Zweckbindung verstoßen, wenn diese personenbezogenen Daten später anderweitig genutzt werden würden.

===Erlaubnis der Weiterverarbeitung zu einem anderen Zweck===

Die DS-GVO gewährt aber die Möglichkeit der Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck als dem ursprünglichen. Dafür ist es nötig, dass der später verfolgte Zweck nicht unvereinbar mit dem ursprünglichen Zweck der Erhebung ist. Es ist also zu prüfen, ob es im Kontext des Ursprungszweckes unangemessen erscheint, die Daten zu diesem neuen Zweck zu nutzen. Die dafür relevanten Gesichtspunkte sind die inhaltliche Verbindung, der Erhebungszusammenhang sowie die Art der Daten.<ref>Reimer, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 5 Rn. 26.</ref> Damit wird die Weiterverarbeitung an den Erhebungskontext und die Erwartung der Betroffenen im Zeitpunkt der Erhebung gekoppelt.<ref>Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, 23. Edition 01.02.2017, Art. 5 DS-GVO Rn. 19.</ref>

Besonderes Augenmerk muss auf das Kriterium der Erwartung der Studierenden gelegt werden. Um die besondere Bedeutung dieses Merkmals herauszustellen, ist es hilfreich, sich den Ursprung und die Grundidee des deutschen Datenschutzrechtes vor Augen zu führen. Dieses wurde durch das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil im Jahr 1983 entwickelt. In Herleitung aus dem allgemeinen Persönlichkeitsrecht gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG sagte das Gericht, dass jeder über die Preisgabe seiner Daten entscheiden können muss, um zu bestimmen, wer was über ihn weiß, damit ein freie Entfaltung der Persönlichkeit möglich ist.<ref>BVerfGE 65, 1 (43), Epping, GrundR, 6. Auflage 2015, Rn. 635.</ref> Da auch die Datenschutzgrundverordnung an der Zweckbindung festhält, hat sich auch nach ihrer Einführung nichts an dieser Grundüberlegung geändert. Im Lichte dessen ist es notwendig zu überlegen, wenn schon vorhandene Daten weiterverarbeitet werden sollen, ob der Studierende der ursprünglichen Zweckangabe die neue Form der Verarbeitung entnehmen konnte.

Die ursprüngliche Erhebung wurde, wie oben gezeigt, im universitären Kontext vorgenommen. Die Studierenden wussten also, dass ihre Daten von der Universität ausgewertet werden. Gerade bei Prüfungen, die oft dazu genutzt werden, später als Grundlage für weitere Verbesserungen der Studierenden zu dienen, kann angenommen werden, dass die Betroffenen erwarten werden, dass ihre Daten verarbeitet werden. Jedoch besteht ein großer Unterschied zwischen der Beurteilung und den Anmerkungen des Korrektors, die den Studierenden helfen soll, sich selbst zu verbessern und der späteren Nutzung als Grundlage für adaptives Lernen. Der Betroffene kann wohl nicht absehen, dass Prüfungsleistungen auch Jahre später nochmals dafür genutzt werden. Darin liegt der maßgebliche Unterschied zu Einstufungstests, die ausdrücklich dazu dienen, zu ermitteln, wie das adaptive Lernen am besten auf den einzelnen Studierenden zugeschnitten werden kann. Es besteht für die Weiterverwendung von Daten aus Prüfungen trotz eines ausreichenden inhaltlichen Zusammenhangs kein ausreichender Erhebungszusammenhang, um eine nachträgliche Zweckänderung zu rechtfertigen.

Auch das Tracking der Aktivitäten auf Stud.IP oder ILIAS weist nicht den nötigen inhaltlichen Zusammenhang auf, sodass auch für die Weiterverwendung der hier anfallenden Daten eine Zweckänderung nicht zulässig ist.

==Zulässigkeit der Nutzung personenbezogener Daten==

===Einwilligung in die Nutzung des adaptiven Lernens===

Mithin kommt nur die Möglichkeit in Betracht explizit Daten zum Zwecke des adaptiven Lernens zu erheben. Dazu ist jedoch die Einwilligung des Betroffenen notwendig.
Eine Einwilligung muss immer freiwillig erfolgen. Sie muss also auf der freien Entscheidung des Betroffenen beruhen. Die Einwilligung verliert ihre legitimierende Wirkung für den Eingriff in das informationelle Selbstbestimmungsrecht, wenn die Einwilligung erzwungen wird, da dann dieses Erfordernis ins Leere laufen würde.<ref>Vgl. BVerfGE 85, 386.</ref>

===Probleme einer wirksamen Einwilligung===

Die Studierenden sind, um später einen eine akademische Laufbahn einschlagen oder einen anderen Beruf ausüben zu können, darauf angewiesen, Leistungsnachweise von der Universität zu erhalten. Diese beruhen auf besuchten Lehrveranstaltungen und den dazugehörigen Prüfungen. Würde der Studierende seine Einwilligung verweigern, würde ihm dies gravierende Nachteile einbringen, weil es ihm nicht mehr möglich ist an Prüfungen teilzunehmen. Daher ist auch eine Einwilligung unwirksam, wenn der Leistungsnachweis obligatorisch ist und nur zu erreichen ist, indem in eine Datennutzung einzuwilligen ist. Damit wird die Datenerhebung unrechtmäßig, also nicht erlaubt sein. Anders liegt die Situation, wenn die Lehrveranstaltung nicht zur Erbringung eines Leistungsnachweises nötig ist, sondern rein fakultativ stattfindet. In dieser Konstellation wird durch die Nichtteilnahme kein unmittelbarer Nachteil begründet. Damit beruht die Entscheidung, ob Daten erhoben werden dürfen, auf freier Willensbetätigung des Betroffenen, sodass eine Einwilligung wirksam wäre.

===Umsetzung der Einwilligung in adaptives Lernen===

Konkret bedeutet dies für adaptives Lernen, dass eine Einwilligung in die Nutzung der Daten zum Zwecke des adaptiven Lernens unwirksam ist, wenn es keine anderweitige Möglichkeit gibt sinnvollerweise an der Lehrveranstaltung teilzunehmen bzw. den Leistungsnachweis abzulegen, als die Nutzung von adaptivem Lernen.

Falls die Wissensvermittlung für eine obligatorische Prüfung ausschließlich mit Hilfe adaptiver Lernangebote erfolgen würde, könnte sich der Betroffene nicht frei entscheiden, in die Nutzung seiner Daten einzuwilligen. Mithin wäre dieses Szenario unzulässig. Anders liegt der Fall, wenn das adaptive Lernangebot nur ergänzend zu anderen Formen der Wissensvermittlung dienen soll und sie die darin enthaltenen Informationen auch auf anderem Wege erhalten können. Dann haben die Studierenden die Möglichkeit auch ohne die Nutzung ihrer Daten die Prüfung abzulegen und sinnvoll an den Lehrveranstaltungen teilzunehmen.
Zur praktischen Umsetzung in ILIAS ist es zu empfehlen, zu Beginn eine Art Testfrage zu stellen. Erst nach Beantwortung dieser Testfrage mit "Ja" wird der Zugriff auf die weiteren Inhalte der Lehrveranstaltung, die dann adaptives Lernen enthalten, ermöglicht. Die Frage muss klar aufzeigen, welche Daten der Studierenden (z.B. ihr Profilname und ihre Testergebnisse) gesammelt werden sowie muss festgelegt werden zu welchem Zweck (z.B. Verbesserung der Lehre durch adaptives Lernen) die Daten erhoben und verarbeitet werden.

===Durchführung einer Lehrveranstaltung mit obligatorischer Nutzung adaptiver Lernangebote===

Die wohl einzige Möglichkeit die Nutzung personenbezogener Daten bei einer Veranstaltung, die obligatorisch mit Hilfe adaptivem Lernens durchgeführt werden soll, ist §§ 9 ff. Datenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA). Diese erlauben den Umgang mit personenbezogenen Daten, soweit dieser zur Aufgabenerfüllung der öffentlichen Stelle erforderlich ist.
Unter Erforderlichkeit ist zu verstehen, dass ermittelt werden muss, ob unter den für die Erreichung eines bestimmten Zweckes gleich gut geeigneten Mitteln, das gewählt wurde, welches das mildeste Mittel ist.<ref>Grzeszick, in: Maunz/Dürig, GG-Kommentar, 79. EL Dezember 2016, Art. 20 Abschn. VII Rn. 113.</ref>

Es geht also darum eine Lehr- und Lernmethode zu finden, die ähnlich effektiv ist, für die aber die Erhebung von weniger Daten notwendig ist. Dabei ist zuerst an die klassische Präsenzlehre zu denken. Zwar wird hier nicht so auf intensiv auf den einzelnen Studierenden eingegangen, jedoch ist es eine bewährte Methode Wissen zu vermitteln, die auch zum Selbststudium anhält.

Es gibt zur Zeit nur eine kleine Anzahl von wissenschaftliche Untersuchungen, die die Effektivität von adaptivem Lernen mit der von klassischen Lernkonzepten vergleichen. Die Studie von Murray & Perrez hat z. B. festgestellt, dass es zwar zu besseren Abschlusstestergebnissen kommt, indem adaptive Lernsysteme genutzt werden. Jedoch war dies nur eine minimale Abweichung nach oben, verglichen mit den Testergebnissen der "klassischen Lerner". Es konnte kein signifikanter Unterschied festgestellt werden.<ref>Murray/Perez, Informing and Performing: A Study Comparing Adaptive Learning to Traditional Learning, Kennesaw State University 2015 (https://pdfs.semanticscholar.org/36a5/9a3f58aec4ec79a47feb54cf661542e5c6b0.pdf?_ga=2.250082821.2014125111.1528723717-725117852.1528723717).</ref> Mithin ist es wichtig sich klar zu machen, wie viele Daten bei welcher Lernform im Vergleich zu anderen erhoben werden. Im Zuge der Wissensvermittlung durch Lehrformen wie die Präsenzlehre werden regelmäßig nur wenige Daten wie die Namen der Teilnehmenden, ihre Matrikelnummer und u. U. ihr Semester erhoben. Beim adaptiven Lernen ist meist schon zu Beginn eine Selbsttest zur Einschätzung nötig, der eindeutige Rückschlüsse auf den individuellen Wissensstand zulässt. Denkbar sind auch Angaben über Interessen und Präferenzen der Studierenden, um die Lernumgebung bestmöglich individuell anzupassen. Ferner werden während des Semesters bei der Bearbeitung der adaptiven Lernelemente dauerhaft neue Daten über die Studierenden erhoben. Damit wird ein viel größere Pool an Informationen über die Personen angelegt, die adaptive Lernangebote nutzen als z. B. bei der Präsenzlehre.

Dies muss nun mit der Verbesserung der Qualität der Lehre, also dem Ziel der Maßnahme, in Vergleich gesetzt werden. Es zeigt sich ein Ungleichgewicht dahingehend, dass lediglich eine minimale Verbesserung der Qualität der Lehre und damit der Effektivität des Lernens auf der einen Seite steht. Auf der anderen Seite werden viel mehr Daten erhoben als bei klassischen Lernformen. Mithin kann eine solch ausgedehnte Datenverarbeitung nicht durch eine so minimale Verbesserung der Qualität und Effektivität gerechtfertigt werden. Die Datenverarbeitung erscheint also nicht als erforderlich. Daher kann die Verarbeitung nicht auf eine gesetzliche Erlaubnis gestützt werden, sodass sie unrechtmäßig ist, soweit keine wirksame Einwilligung vorliegt. Diese wird in den meisten Fällen jedoch fehlen. Dem Merkmal der Erforderlichkeit könnte zukünftig Rechnung getragen werden, was dazu führen könnte, dass man adaptive Lernmodelle auf gesetzliche Erlaubnistatbestände stützen könnte. Dafür muss aber die Analyse der Daten verbessert oder auf einem anderen Wege eine deutlich messbare Steigerung des Lernerfolges beim adaptiven Lernen erreicht werden. Erst diese deutliche Steigerung könnte in Abwägung mit der erhöhten Datenmenge, die gesammelt wird, eine Rechtfertigung für die Erhebung und Verarbeitung der Daten liefern. Dabei darf aber in erste Linie die Menge der gesammelten Daten nicht erhöht werden, um bessere Lernerfolge zu erzielen. Viel mehr kommt es darauf an, die Daten besser zu nutzen und zu analysieren.

===Beispiel der Selbsttests===
Eine differenzierte Betrachtung ist insbesondere bei Selbsttests vorzunehmen, die nicht dazu dienen eine Leistungserhebung durchzuführen, sondern lediglich eine Hilfestellung für die Studierenden darstellen. Grundsätzlich muss, wie oben gezeigt, eine gesetzliche Regelung vorliegen, die die Erhebung bzw. Verarbeitung der Daten erlaubt oder eine freiwillige Einwilligung der Studierenden vorliegen.

Beispielhaft ist die Situation von Probeklausuren. Werden diese sozusagen "analog", also nicht in Einbindung einer Lehrveranstaltung mit adaptivem Lernen angeboten, dann ist maßgeblich auf die Erwartung der Studierenden abzustellen. Wenn die Ergebnisse der Probeklausuren nur der persönlichen Einschätzung durch die Studierenden selbst dienen sollen, wäre es für sie mehr als überraschend, wenn der Lehrende diese Ergebnisse später in sein adaptives Lernkonzept einbinden würde. Dies spricht dafür, dass eine solche Weiterverarbeitung unzulässig ist.

Anders liegt der Fall, wenn schon ohne vorhandenes Konzept für adaptives Lernen, aber in Planung der Durchführung eines solchen Projektes, diese Selbsttests angeboten werden. Wird den Studierenden dieser Zweck vor Abnahme des Testes mitgeteilt, und willigen die Studierenden freiwillig ein, dann können auch Testergebnisse, die außerhalb eines schon vorhanden Projektes zum adaptiven Lernen erhoben wurden, dazu genutzt werden.
Am unproblematischsten sind Selbsttests, die nach Einwilligung in die Nutzung des adaptiven Lernens vorgenommen werden. Diese sollen meist dazu dienen, den individuellen Wissensstad zu Beginn herauszufinden, um dann auf die einzelnen Studierenden abgestimmte Lernmöglichkeiten anzubieten.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Folgenabschätzung gemäß Art. 35 DS-GVO

2018-08-21T10:51:14Z

Paul Schiering: Erstellung der Seite

Art. 35 DSG-VO beschäftigt sich mit der Abschätzung von Folgen für die personenbezogenen Daten, die sich bei einer risikobehafteten Verarbeitung mittels neuartiger Technologien ergeben..<ref>Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 1 ff.</ref> Die Datenverarbeitung, die eine Folgenabschätzung erfordert, muss voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Im universitären Bereich kann dies insbesondere bei der Einführung neuer Lehr- und Lernkonzepte, die sich technischer Einrichtungen wie Computern bedienen, relevant sein.

==Erforderlichkeit einer Abschätzung==

Nicht jeder neue Datenverarbeitungsvorgang benötigt eine Folgenabschätzung, sondern es muss sich voraussichtlich ein hohes Risiko für Rechte und Freiheiten der Betroffenen aus dem Vorgang ergeben. Da dies ein relativ weit gefasster und weitgehend unklarer Standard ist, nennt Art. 35 Abs. 3 DSG-VO Regelbeispiele, in denen eine Folgenabschätzung notwendig ist.

Für die Verarbeitung im Bereich der universitären Arbeit ist besonders Art. 35 Abs. 3 Buchstabe a) der Datenschutzgrundverordnung relevant. Dieser bezieht sich auf die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf der automatisierten Verarbeitung personenbezogener Daten beruht. Damit ist aber nicht die Bildung eines Datenprofils der betroffenen Person selbst gemeint, sondern die automatisierte Entscheidung, die aufgrund des gebildeten Profils getroffen wurde. Daraus folgt, dass die Profilbildung, die sich aus der Verarbeitung personenbezogener Daten ergibt, grundsätzlich von der DSG-VO erlaubt wird.<ref>Schmitz/von Dall`Armi, ZD 2017, 57 (60).</ref> Diese Sicht wird durch die systematische Betrachtung in Verbindung mit Art. 22 DS-GVO gestützt. Die Norm soll die „ungeprüfte Unterwerfung des Individuums unter die Maschine“ verhindern.<ref>Von Lewinski, in: BeckOK DatenschutzR, 24. Edition 01.05.2018, Art. 22 DS-GVO Rn. 2.</ref> Jedoch ist die Profilbildung an sich zulässig. Eine Folgenabschätzung wird mithin erst nötig, wenn das Ergebnis der Profilbildung automatisiert zu einer Entscheidung mit rechtlicher Wirkung führt.<ref>Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 29.</ref>

{{
Infobox
| text =

Eine denkbare Situation ist die Profilbildung aufgrund von Zwischentests während des Semesters, die z. B. in ILIAS durchgeführt werden. Die Ergebnisse werden durch die Lernplattform automatisch ausgewertet. Vor der Zulassung zur Semesterabschlussprüfung werden die Ergebnisse der einzelnen Zwischentests zusammengeführt. Dadurch werden Profile der einzelnen Studierenden erstellt. Dies dient dann als Grundlage, die Studierenden automatisiert zur Semesterabschlussklausur zuzulassen, indem z. B. eine bestimmte Gesamtpunktzahl festgelegt wird, die erreicht werden muss.

}}

Die Verarbeitung muss ferner einer der Rechtsgrundlagen gem. Art. 6 Abs. 1 lit. f bis e entsprechen damit eine Folgenabschätzung überhaupt nötig wird. Die Universität handelt in Ausübung hoheitlicher Gewalt, sodass die Verarbeitung auf Art. 6 Abs. 1 lit. e gestützt werden kann.

==Gegenstand und Durchführung der Abschätzung==

Gegenstand der Folgenabschätzung ist die Rechtmäßigkeit der geplanten Datenverarbeitung.<ref>Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 22.</ref> Da dies einer juristischen Einschätzung ähnelt, sieht Art. 35 Abs. 2 immer die Konsultation des/der Datenschutzbeauftragten der verantwortlichen Stelle vor, soweit ein/e solche/r vorhanden ist. Dies ist regelmäßig der/die Datenschutzbeauftragte der Universität bzw. Hochschule. Jedoch ist zu beachten, dass trotz der Konsultation des/der Datenschutzbeauftragten, der „Verantwortlicher“ i. S. d. DSG-VO bleibt und ggf. auch haftbar gemacht werden kann, der die neue Technologie erdacht hat bzw. für einen neuen Zweck nutzt. Den/Die Datenschutzbeauftragte/n trifft lediglich eine Beratungspflicht.<ref>Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 6.</ref>

Art. 35 Abs. 7 DSG-VO beschreibt, wie eine Folgenabschätzung durchzuführen ist.
* Systematische Beschreibung der geplanten Verarbeitung
Demnach braucht es eine thematisch gegliederte Skizzierung des Datenverarbeitungsvorganges. Dazu müssen die verwendeten technischen Hilfsmittel, die Kategorien der verarbeiteten personenbezogenen Daten sowie die Gruppe der Betroffenen Personen aufgeführt werden.<ref>Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 24.</ref>
* Bewertung der Erforderlichkeit und Notwendigkeit der Verarbeitung
Hier kann auf die allgemeinen Ausführungen zur Erforderlichkeit verwiesen werden. Ferner ist der Grundsatz der Datenminimierung zu beachten. Es dürfen also nur so viele Daten gesammelt werden, wie unbedingt für die Nutzung der Technologie nötig sind.
* Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
Letztlich müssen die tatsächlichen und potentiellen Risiken sowie ihre Quellen erfasst und bewertet werden. Diese Risiken können durch die Organisation des Verantwortlichen (z. B. Mitarbeiter) aber auch durch externe Personen (z. B. Hacker) entstehen. Die Bewertung wird vorgenommen, indem man die Stärke der Auswirkungen für die Betroffenen der Wahrscheinlichkeit des Eintretens des Schadens gegenüber stellt.
Ferner sind die „Abhilfemaßnahmen“ aufzuführen, also die Maßnahmen, die das Risiko eines Schadens für die Betroffenen minimieren sollen, z. B. regelmäßige Sicherheitsupdates. <ref>Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 27.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Grundsätze des deutschen Datenschutzrechts

2018-08-14T11:11:36Z

Paul Schiering: Paul Schiering verschob die Seite Vorschau:Grundsätze des deutschen Datenschutzrechts nach Grundsätze des deutschen Datenschutzrechts und überschrieb dabei eine Weiterleitung

Den Grundsätzen des deutschen Datenschutzrechts ist gemein, dass sie das Ziel verfolgen, das Recht auf informationelle Selbstbestimmung zu gewährleisten und zu schützen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 127 Rn. 275.</ref>

== Rechtsgrundlagen ==
Da die Grundsätze deutschlandweit gelten und um Wiederholungen zu vermeiden, sind diese nicht in jedem einzelnen Landesdatenschutzgesetz geregelt, sondern im Bundesdatenschutzgesetz. Sobald datenschutzrechtliche Sachverhalte nicht im Landesrecht geregelt sind, muss auf das Bundesdatenschutzgesetz zurückgegriffen werden. Daher gelten die Grundsätze des Bundesdatenschutzgesetzes (BDSG) in jedem Bundesland, unabhängig davon, ob sie im Landesdatenschutzgesetz zu finden sind.
Die Grundsätze finden sich aber auch im neuen Datenschutzrecht der EU wieder. Dies zeigt, dass die Datenschutzgrundverordnung (DS-GVO) auf denselben Grundüberlegungen wie das deutsche Datenschutzrecht basiert.

== Verbot mit Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ==
Die zentrale Regel im Umgang mit personenbezogenen Daten stellt § 4 Abs. 1 BDSG dar bzw. § 4 Abs. 1 Datenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA), der das allgemeine Verbot der Erhebung, Verarbeitung und Nutzung vorschreibt, welches einem Erlaubnisvorbehalt unterliegt. Dies bedeutet, dass prinzipiell und im Vorhinein jeglicher Umgang mit personenbezogenen Daten untersagt ist, wenn er nicht durch eine der drei Alternativen des § 4 Abs. 2 DSG LSA erlaubt wird. Eine solche zentrale Norm stellt im europäischen Recht Art. 6 DS-GVO dar.
Die erste Alternative ist die Erlaubnis aufgrund der Einwilligung des Betroffenen. Dies ist direkter Ausdruck des Rechts auf informationelle Selbstbestimmung, da dieses den Betroffenen berechtigt, selbst zu entscheiden, was mit seinen personenbezogenen Daten passieren soll.
<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 5.</ref> Die DS-GVO gibt das Recht zur Einwilligung in Art. 6 Abs. 1 lit. a. Wenn der Betroffene also in den Umgang mit seinen Daten einwilligt, steht der Erhebung, Verarbeitung oder Nutzung insofern nichts mehr im Wege.

Die zweite Alternative ist die Erlaubnis aufgrund einer sonstigen Rechtsvorschrift, also einer Norm, die nicht aus dem Landesdatenschutzgesetz selbst stammt. Das können auch Rechtsvorschriften sein, die den Umgang nicht nur erlauben, sondern sogar dazu verpflichten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130 Rn. 280.</ref> ür die Universität ist insbesondere das Hochschulgesetz des Landes Sachsen-Anhalt oder z. B. die Rahmenstudien- und Prüfungsordnung für das Bachelor- und Masterstudium der MLU relevant. So normiert § 119 Hochschulgesetz des Landes Sachsen-Anhalt (HSG LSA), dass Studierende und Prüfungskandidaten verpflichtet sind, bestimmte personenbezogene Daten für Verwaltungszwecke preiszugeben.

Die dritte Alternative stellt die Erlaubnis aufgrund der Zulässigkeitsgründe des BDSG bzw. DSG LSA dar. Dies sind also Normen, die im Bundesdatenschutzgesetz bzw. Landesdatenschutzgesetz selbst den Umgang erlauben. Die für die öffentlich-rechtlich verantwortlichen Stellen, also auch für die Universität relevanten Erlaubnistatbestände, finden sich im zweiten Abschnitt des DSG LSA. Jedoch ist zu beachten, dass diese dritte Alternative lediglich ein Auffangtatbestand ist, also nur im “Notfall”, wenn keine andere gesetzliche Regelung gefunden werden kann, den Umgang mit personenbezogenen Daten rechtfertigen kann. Deshalb muss zuerst geprüft werden, ob es landesrechtliche Erlaubnisse gibt. Wenn dies nicht der Fall ist, ist zu prüfen, ob es in anderen Bundesgesetzen speziellere Erlaubnisse gibt. Erst danach - in einem dritten Schritt - kann man auf die Regelungen im zweiten Abschnitt des BDSG zurückgreifen. Die Universität erhält ihre Aufgabe durch den staatlichen Lehrauftrag und stellt eine Körperschaft des öffentlichen Rechts dar. Mithin nimmt sie Aufgaben der öffentlichen Gewalt wahr. Damit kann das vorher gesagte bezüglich der letzten beiden Alternativen auch auf europäischer Ebene durch Art. 6 Abs. 1 lit. e DS-GVO gestützt werden. Es ergeben sich also keine Änderungen durch das neue europäische Datenschutzrecht.

== Zweckbindungs- und Erforderlichkeitsgrundsatz ==
Der Grundsatz der Zweckbindung ist eines der Leitprinzipien des deutschen Datenschutzrechts.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 132 Rn. 286.</ref> Es besagt, dass personenbezogene Daten nicht ohne Zweckbestimmung – auf Vorrat – erhoben oder gespeichert werden dürfen, sondern noch vor Erhebung muss der Zweck des Datenumgangs festgelegt worden sein.<ref>Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 48 f.</ref> Dies dient dazu, dass der Betroffene den Umgang mit seinen Daten überschauen und kontrollieren kann.
In engem Zusammenhang zum Zweckbindungsgrundsatz steht der Grundsatz der Erforderlichkeit, da nach diesem Grundsatz nur die mildeste, also die das Recht des Betroffenen am wenigsten einschränkende Maßnahme, ergriffen werden darf. <ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 133 Rn. 290.</ref>

== Grundsatz der Transparenz ==
Aus dem Recht auf informationelle Selbstbestimmung lässt sich ableiten, dass nur wer weiß, was bei welcher Gelegenheit durch wen über ihn in Erfahrung gebracht wird, frei über sich selbst entscheiden kann. <ref>BVerfGE 65, 1 (43).</ref> Daher muss der Umgang mit personenbezogenen Daten transparent sein, damit der Betroffene sich jederzeit gegen die weitere Offenlegung seiner Daten entscheiden kann. Daraus ergibt sich auch der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG (Daten müssen direkt beim Betroffenen erhoben werden) sowie die Auskunftsrechte nach § 15 DSG LSA und §§ 19, 34 BDSG. Ferner bestehen auch Informationspflichten gegenüber dem Betroffenen bezüglich des Umgangs mit seinen Daten.

== Grundsatz der Datenvermeidung und Datensparsamkeit ==
§ 3a BDSG bezieht sich also vor allem auf den Ausschluss unnötiger Datenerhebung schon auf technischer Ebene.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 134 Rn. 294 f.</ref> Der Umgang mit personenbezogenen Daten sowie die Systemstrukturen der Software, die mit personenbezogenen Daten umgeht, soll so konzipiert werden, dass die Daten nur im unbedingt erforderlichen Umfang erhoben, verarbeitet oder genutzt werden.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Grundsätze des deutschen Datenschutzrechts

2018-08-14T11:11:15Z

Paul Schiering: Verbesserung des Textes

Einwilligung in den Umgang mit personenbezogenen Daten

2018-08-14T10:59:34Z

Paul Schiering: Erstellen der Seite

Nach dem Grundsatz des Verbotes mit Erlaubnisvorbehalt muss jeder Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand gestützt werden. Einer der zentralen Erlaubnistatbestände ist die Einwilligung des Betroffenen. Die Möglichkeit der Einwilligung ist in § 4 Abs. 1 S. 1 Var. 3 DSG LSA geregelt.

==Relevanz im Hochschulbereich==

Die Universität ist eine Körperschaft des öffentlichen Rechts, sodass für sie die Normen über den Umgang öffentlicher Stellen mit personenbezogenen Daten gelten. Danach dürfen öffentliche Stellen nur Daten erheben, verarbeiten oder nutzen, die sie zu ihrer Aufgabenwahrnehmung benötigen. Wenn der Umgang mit den Daten nicht zur Aufgabenerfüllung erforderlich ist, kann auch keine Einwilligung das Erheben, Verarbeiten oder Nutzen erlauben.<ref>Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.8 Rn. 24.</ref> Abweichend von diesem Grundsatz gibt es gem. § 10 Abs. 2 DSG LSA für das Speichern, Verändern und Nutzen jedoch die Möglichkeit der Erlaubnis durch Einwilligung des Betroffenen.

Das Erheben der Daten kann zuerst auf spezialgesetzliche Tatbestände wie § 119 HSG LSA gestützt werden, der das Erheben von personenbezogenen Daten für Verwaltungszwecke der Universität bzw. Hochschule zulässt.
Wenn solche spezialgesetzlichen Regelungen nicht auf den Fall zutreffend sind, ist auf die allgemeineren Bestimmungen im DSG LSA zurückzugreifen. Hier erlaubt wiederum § 9 Abs. 1 DSG LSA das Erheben von personenbezogenen Daten, wenn deren Kenntnis für die Aufgabenerfüllung der öffentlichen Stelle erforderlich ist.
Ein Rückgriff auf das Instrument der Einwilligung ist nur dann geboten, wenn keine Zulässigkeitsnormen für die öffentliche Stelle vorliegen.
Ein Beispiel aus der universitären Praxis ist die Einschreibung für eine Prüfung im Löwenportal und eine darauffolgende Anwesenheitskontrolle vor Durchführung der eigentlichen Prüfung.
§ 119 HSG LSA regelt explizit, dass die Erhebung personenbezogener Daten für die Teilnahme an Prüfungen erlaubt ist, soweit die Erhebung dafür erforderlich ist. Um an einer Prüfung teilzunehmen, muss sich jede(r) Studierende im Löwenportal eintragen. Diese Eintragung ist notwendig, um zu wissen, wie viele Studierende geprüft werden. Davon ausgehend werden die Räume für die Prüfung gebucht und eine gewisse Anzahl an Kopien der Aufgabenblätter angefertigt. Folglich ist die Eintragung im Löwenportal für die Durchführung und Teilnahme an der Prüfung erforderlich, weshalb die Datenerhebung durch die spezialgesetzliche Grundlage des § 119 HSG LSA gedeckt ist.
Wenn nun vor Ort vor Beginn der Prüfung durch Eintragung in ein Computerprogramm überprüft wird, wer zur Prüfung erschienen ist, werden erneut Daten erhoben, sodass eine neue Rechtsgrundlage dafür benötigt wird.
Zu wissen, wer wirklich anwesend ist, ist keine Voraussetzung dafür, die Prüfung durchführen zu können. Folglich kann diese Erhebung nicht auf die speziellere Norm des § 119 HSG LSA gestützt werden, da der Fall nicht in ihren Anwendungsbereich fällt.

Hingegen sagt der allgemeinere § 9 Abs. 1 DSG LSA aus, dass eine Datenerhebung erlaubt ist, wenn sie für die Aufgabenerfüllung der öffentlichen Stelle nötig ist.
Die Aufgabe des Prüfers liegt darin, die Prüfung ordnungsgemäß durchzuführen. Dafür ist es notwendig herauszufinden, wer wirklich anwesend ist, um ggf. falsch oder nicht gekennzeichnete Arbeiten dem bzw. der richtigen Studierenden zuzuordnen. Dies muss jedoch nicht unbedingt elektronisch erfolgen. Die Datei auf dem Computer kann viel leichter vervielfältigt bzw. mit anderen Daten abgeglichen werden, als eine Liste, die auf Papier angelegt wurde. Damit greift die analoge Fixierung der Namen viel weniger in die Rechte der Studierenden ein als die Datenerhebung per Computer, wonach diese nicht erforderlich ist. Folglich kann sie auch nicht auf § 9 Abs. 1 DSG LSA gestützt werden.
Damit kommt man zum Anwendungsbereich der Einwilligung, die diese Art der Datenerhebung ggf. noch legitimieren könnte. Eine Einwilligung muss jedoch - wie sogleich gezeigt wird - immer freiwillig erfolgen. Wenn die Prüfung aber Voraussetzung für das Vorankommen im Studium ist, können die Studierenden nicht frei über ihre Teilnahme entscheiden, sodass ihre Einwilligung in diesem Fall unwirksam wäre. Das führt dazu, dass diese Datenerhebung unrechtmäßig, also nicht erlaubt ist.

==Voraussetzungen einer wirksamen Einwilligung==
Zentrale Norm für die Einwilligung ist § 4a BDSG auf Bundesebene sowie § 4 DSG LSA auf Landesebene. Hier werden die Erfordernisse an eine wirksame Einwilligung in den Umgang mit personenbezogenen Daten aufgeführt.

===Freiwilligkeit===

Die Einwilligung muss freiwillig sein, also auf der freien Entscheidung des Betroffenen beruhen. Diese Erwägung kommt aus dem privatrechtlichen Bereich, wo es oft so ist, dass sich aufgrund unterschiedlicher wirtschaftlicher Stärke ein starker und ein schwacher Part gegenüberstehen. Daraus ergibt sich, dass eine Person rein faktisch keine Wahl hat und einwilligen muss, womit die Einwilligung ihre legitimierende Wirkung für den Eingriff in das informationelle Selbstbestimmungsrecht verliert.<ref>Vgl. BVerfGE 85, 386</ref>

Diese Situation findet sich auch im universitären Bereich. Die Studierenden sind, um später eine akademische Laufbahn oder einen anderen Beruf einschlagen zu können, darauf angewiesen, Leistungsnachweise von der Universität zu erhalten. Diese beruhen auf besuchten Lehrveranstaltungen und dem Absolvieren der dazugehörigen Prüfungen. Wird nun die Übermittlung von Daten an einen Dritten (z. B. Facebook) notwendig, um an einer Lehrveranstaltung teilzunehmen, kann der Studierende zwar noch immer seine Einwilligung verweigern, dies würde ihm aber gravierende Nachteile einbringen. Daher ist die Einwilligung unwirksam und auch die Datenerhebung unrechtmäßig, also nicht erlaubt. Dies ermöglicht den betroffenen Studierenden, vom Durchführenden der Lehrveranstaltung zu verlangen, die Informationen an einer anderen Stelle anzubieten z. B. Stud.IP oder ILIAS.
Das gilt ebenso für den Fall, dass lediglich ein Teilnahmeschein erworben werden soll. Ist die Teilnahme nur möglich, indem Daten durch andere als universitätsnahe Dienste wie ILIAS oder Stud.IP erhoben werden, dann ist auch hier eine wirksame Einwilligung nicht möglich .Anders liegt die Situation, wenn die Lehrveranstaltung zur Erbringung eines Leistungsnachweises nicht nötig ist, sondern rein fakultativ stattfindet, wird durch die Nichtteilnahme kein unmittelbarer Nachteil begründet. Damit beruht die Entscheidung, ob Daten erhoben werden dürfen, auf freier Willensbetätigung des Betroffenen, sodass eine Einwilligung wirksam wäre.

===Informierte Einwilligung===

Eine Einwilligung muss in Kenntnis der Sachlage erfolgen. Der Betroffene muss also alle entscheidungsrelevanten Informationen haben, sodass er die Folgen seiner Entscheidung abschätzen kann,<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, Rn. 319.</ref> und auf den Zweck des Umgangs mit seinen Daten hingewiesen werden.<ref>Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, § 4a Rn. 72.</ref> Daraus ergeben sich umfassende Informationspflichten vor Einholung der Einwilligung.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, Rn. 319.</ref> So muss der Betroffene auf die Folgen einer Verweigerung der Einwilligung hingewiesen werden, außer wenn diese offensichtlich sind.<ref>Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 320.</ref>

Im oben genannten Facebook-Beispiel wäre eine solche Unterrichtung notwendig, wenn die Nutzung der Facebook-Dienste zwar obligatorisch ist, jedoch nur einen kleinen Teil der Lehrveranstaltung darstellt und dem Betroffenen keine für die Teilnahme relevanten Informationen entgehen. Wenn dort hingegen alle Lehrmaterialien zu finden wären, sodass eine sinnvolle Teilnahme an der Veranstaltung ohne Nutzung des Online-Dienstes rein faktisch nicht möglich wäre, dann wären die Folgen der Verweigerung der Einwilligung offensichtlich. In diesem Fall wäre eine Teilnahme nicht möglich.

===Bestimmtheit===

Die Einwilligungserklärung muss hinreichend konkret sein, also den Inhalt der Einwilligung klar zu verstehen geben. Dafür ist es nicht nur notwendig, die Daten bzw. die Art der Daten anzugeben, die erhoben, verarbeitet oder genutzt werden sollen, sondern auch die einzelnen konkreten Phasen der Verwendung im Zuge eines vorher genannten Zwecks.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, Rn. 320.</ref> Beispielsweise könnte ein Dozent bzw. eine Dozentin die Daten der Studierenden später an seine/ihre Mitarbeiter weitergeben. Dies stellt neben dem Erheben der Daten einen weiteren Umgang mit diesen Daten dar. Auch in diesen muss eingewilligt werden, sodass in der Einwilligungserklärung eine Weitergabe der Daten innerhalb des Lehrstuhls erwähnt werden muss.

===Schriftform===

Eine Einwilligung kann nur schriftlich eingeholt werden. Gemäß § 126 Abs. 1 BGB ist dafür eine namentliche Unterschrift nötig. Daher ist eine E-Mail, auch falls eine Antwort mit eingescannter Unterschrift übersandt wird, nicht ausreichend. Gleichzeitig ist eine elektronische Erklärung i. S. d. § 136a BGB zulässig. Diese Bedarf gemäß § 2 Nr. 3 SigG jedoch einer qualifizierten elektronischen Signatur.<ref>Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage 2015, § 4a BDSG Rn. 10.</ref>

§ 4 Abs. 2 S. 2 DSG LSA lässt weitere Ausnahmen für die Schriftform zu, erlaubt z. B. auch die Einwilligung in mündlicher Form, wenn “besondere Umstände eine andere Form” angemessen erscheinen lassen. Ein solcher Umstand kann das Eigeninteresse des Betroffenen sein, wenn sein Anliegen besonders eilbedürftig ist, er also selbst auf die schnelle Bearbeitung drängt.<ref>Simitis, in: Simitis (Hrsg.), Kommentar zum BDSG, 8. Aufl. 2014, § 4a Rn. 45.</ref> In diesem Fall liegt es im Interesse des Betroffenen selbst, nicht den umständlichen Weg der schriftlichen Erklärung nutzen zu müssen. Ein Beispiel hierfür wäre, wenn Studierende sich zu spät für eine Veranstaltung anmelden, um noch rechtzeitig eine schriftliche Einwilligung zu erteilen. Dann liegt es in ihrem eigenen Interesse, eine mündliche Freiwilligkeitserklärung abgeben zu können, um noch an der Veranstaltung teilzunehmen.

Ein weiterer besonderer Umstand ergibt sich aus § 4a Abs. 2 BDSG, der die Wissenschaft dahingehend privilegiert, dass eine schriftliche Erklärung nicht nötig ist, wenn durch sie “der Forschungszweck erheblich beeinträchtigt werden würde”.<ref>Gola/Klug/Körffer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, Rn. 33.</ref> An so etwas wäre zu denken, wenn Studierende befragt werden sollen und es maßgeblich auf die Spontanität ihrer Antworten ankommt. Das Ergebnis der Befragung würde verfälscht werden, wenn alle Studierenden lange im Vorhinein eine schriftliche Einwilligung abgeben müssten. Da diese dem Forschungszweck im Weg stünde, wäre hier eine mündliche Erklärung ausreichend.

===Art der Einwilligung===

Eine sehr wichtige Veränderung, die sich aus dem neuen europäischen Datenschutzrecht ergibt, ist die Notwendigkeit, dass der Einwilligende aktiv tätig werden muss, um eine wirksame Einwilligung abzugeben. Art. 4 Nr. 11 DS-GVO setzt eine “unmissverständlich abgegebene” Willenserklärung voraus. “Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person” stellen laut EG 32 keine Einwilligung mehr dar.<ref>Stemmer, in: BeckOK DatenschutzR, 23. Edition (01.08.2017), Art. 7 Rn. 83 DS-GVO.</ref> Dies widerspricht grundlegend der bisherigen Rechtsprechung des BGH, der einen Opt-Out, also einen unterbliebenen Widerspruch, als Einwilligung ansah.<ref>Vgl. BGH, NJW 2010, 864 ff.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Verarbeiten personenbezogener Daten

2018-08-14T10:38:19Z

Paul Schiering: Erstellen der Seite

Unter Verarbeiten im engeren Sinne versteht man gem. § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten.

==Speichern==

Speichern bezeichnet das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG).
Die Begriffe Speichern und Datenträger sind dabei sehr weit gefasst. Im Vordergrund steht das Fixieren der Daten durch menschliche Tätigkeit (z. B. schreiben oder zeichnen) mittels apparativer Aufzeichnungsmethoden wie Festplatten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 238.</ref> Es wird auch gespeichert, wenn bereits fixierte Daten entgegengenommen werden.<ref>Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 58.</ref> Dies ist denkbar, wenn Daten von Studierenden durch Dritte (beispielsweise einer anderen Hochschule) z. B. auf einem USB-Stick gespeichert wurden und dieser USB-Stick später einem Angestellten der Universität übergeben wird. Hier liegt in der Entgegennahme der auf dem USB-Stick gespeicherten Daten eine Speicherung durch die Universität i. S. d. § 3 Abs. 4 S. 2 Nr. 1 BDSG vor.

Bei der Abnahme einer elektronischen Prüfung zum Beispiel eröffnet sich den Lehrenden durch ein Programm auf ihrem Rechner die Möglichkeit, sich Daten darüber anzusehen, welcher Studierende wie viele Fragen richtig beantwortet hat. Diese Dateien speichert er/sie auf einem USB-Stick. Der Lehrende bzw. die Lehrende ist nicht für die Auswertung der Prüfung zuständig, sondern ein anderer Kollege oder eine andere Kollegin. Er/Sie hat damit zwar nicht die Absicht, sich die Daten noch einmal anzusehen, er/sie speichert sie aber sicherheitshalber, falls die Festplatte des Computers einmal defekt sein sollte. Damit nimmt er/sie es willentlich in Kauf (bedingter Vorsatz), dass die Daten später, zum Beispiel durch Übermittlung an seinen/ihren Kollegen, benutzt werden. Da eine Übermittlung eine weitere Verarbeitung darstellt, liegt in diesem Fall eine Speicherung vor. Das Speichern muss immer mit dem Ziel der Verwendung der Daten erfolgen, wobei in fast jedem Fall vom Vorliegen dieser Absicht auszugehen ist.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 28.</ref>

==Verändern==

Nach § 3 Abs. 4 S. 2 Nr. 2 BDSG bezeichnet Verändern die Umgestaltung gespeicherter personenbezogener Daten. Es wird also eine neue Bedeutung des Datums geschaffen.<ref>Damman, in: Simitis, BDSG, 8. Aufl. 2014, § 3 Rn. 129.</ref> Beispielsweise kann das Datum selbst verändert werden. Bedeutsam ist insbesondere die Verknüpfung von Daten bzw. Daten in einen neuen Kontext zu setzen, sodass ihr Bedeutungsgehalt geändert wird. <ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 239.</ref>

Ein denkbarer Fall ist, dass sich Studierende für die Teilnahme an einem Seminar bei Stud.IP vorläufig eintragen und der/die Lehrende anschließend auswählt, wer teilnehmen darf. Dafür erstellt er/sie zwei Listen, auf der ersten sind die definitiven Teilnehmer vertreten und auf der zweiten, der Warteliste, die Nachrücker. Wird nun der Name eines/einer Studierenden von Liste Zwei auf Liste Eins gesetzt, ändert sich der Kontext, da er/sie nun unter den definitiven Teilnehmern vermerkt ist.

==Übermitteln==

Unter Übermitteln ist die Bekanntgabe gespeicherter oder durch Datenverarbeitung gewonnener Daten an Dritte zu verstehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 241.</ref> Bekanntgeben wiederum ist die Vermittlung der Kenntnis über den Inhalt des Datums. Es ist also nicht nötig, dass der physische Besitz am Datenträger oder dem Datum selbst wechselt.<ref>Eßer, in: Auernhammer, BDSG, 4. Auflage 2014. § 3 Rn. 56.</ref>

Das Gesetz unterscheidet zwei Arten der Bekanntgabe.
Bei der Weitergabe an Dritte gelangen die Daten durch eine zweckgerichtete Handlung der verantwortlichen Stelle an Dritte.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 242.</ref> Ein denkbarer Fall wäre die Nutzung von Plagiatsprüfungssoftwares. Die am stärksten verbreiteten Softwares dieser Art prüfen nicht Dateien, die lokal auf dem Computer z. B. des/der Promovierenden gespeichert sind, sondern erfordern, dass die zu prüfende Datei an den Anbieter geschickt wird oder auf einen Server hochgeladen wird. Damit wird also zum Zwecke der Plagiatsprüfung ein Datum an Dritte, nämlich den Anbieter der Software, weitergegeben, d. h. übermittelt und daher im Sinne des Gesetzes verarbeitet.Die zweite Art der Bekanntgabe ist das Einsehen oder Abrufen zur Einsicht durch den Dritten, der Dritte wird also selbst aktiv, um die Daten zu erlangen.<ref>Dammann, in: Simitis (Hrsg.), BDSG, 8. Auflage 2014, § 3 Rn. 150.</ref> Dies wäre zum Beispiel der Fall, wenn die Prüfungsergebnisse im Löwenportal ohne Passwortschutz für jeden beliebigen Dritten, also andere Studierende, Eltern oder potenzielle Arbeitgeber abrufbar wären.

==Sperren==

Als Sperren ist gem. § 3 Abs. 4 S. 2 Nr. 4 BDSG das Kennzeichnen von gespeicherten personenbezogenen Daten, wodurch ihre weitere Verarbeitung oder Nutzung eingeschränkt wird, zu verstehen.
Dies sind insbesondere Fälle, in denen die Daten eigentlich zu löschen wären, aber gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen oder schutzwürdige Interessen des Betroffenen dagegen sprechen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 244.</ref> Denkbar ist die Speicherung von Prüfungsergebnissen in pseudonymisierter Form und eine davon unabhängige Speicherung des Schlüssels, um kenntlich zu machen, wem die Prüfungsergebnisse zuzuordnen sind. Durch das pseudonymisierte Speichern sind die Daten dahingehend ausreichend gekennzeichnet, dass sie nur zum Zweck der Nachkontrolle von Noten, also beschränkt, genutzt werden dürfen.

==Löschen==

Löschen ist das Unkenntlichmachen personenbezogener Daten (§ 3 Abs. 4 S. 2 Nr. 5 BDSG), also jede Handlung, die dazu führt, dass Daten nicht mehr zur Kenntnis genommen und Informationen nicht länger aus gespeicherten Daten gewonnen werden können.<ref>Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 82.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Nutzen personenbezogener Daten

2018-08-14T10:23:37Z

Paul Schiering: Erstellen der Seite

==Definition==

Unter Nutzen ist gem. § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten zu verstehen, soweit es sich nicht um eine Verarbeitung handelt. Der Begriff soll also einen Auffangtatbestand (Norm, die die Fälle abdeckt, welche nicht durch eine Norm geregelt sind) darstellen, für all diejenigen Handlungen, die nicht unter den Verarbeitungs- oder Erhebungsbegriff fallen.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 42.</ref>

Da es beim Nutzen von Daten auch nicht auf den Zweck der Verwendung ankommt, ist auch das Speichern ohne Verwendungsabsicht darunter zu verstehen.<ref>Dammann, in: Simitis (Hrsg.), BDSG, 8. Auflage 2014, § 3 Rn. 189.</ref> Hiermit wird das Ziel verfolgt, jeglichen Umgang mit Daten dem Verbot mit Erlaubnisvorbehalt zu unterstellen.

==Automatisierte Verarbeitung==

Bezüglich des Begriffes der Verarbeitung ist zwischen der automatisierten Verarbeitung gem. § 3 Abs. 2 BDSG und der Verarbeitung i. S. d. § 3 Abs. 4 BDSG (Speichern, Verändern, Übermitteln, Sperren und Löschen) zu unterscheiden.
Eine genaue Unterscheidung ist für Lehrende nicht nötig, da die wichtigste Rechtsfolge des Vorliegens einer automatisierten Verarbeitung gem. § 1 Abs. Nr. 2 die Ausweitung der Anwendbarkeit des BDSG auf den nicht-öffentlichen Bereich ist. Lehrende sind für die Universität bzw. Hochschule tätig, welche eine Körperschaft des öffentlichen Rechts ist, sodass Lehrende sich bei ihrer (Lehr-)Tätigkeit immer im Bereich des öffentlichen Rechts bewegen.

Unter automatisierter Verarbeitung ist sowohl die Erhebung als auch Verarbeitung und Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen zu verstehen. Der Begriff des Verarbeitens ist hier also viel weiter zu verstehen als in § 3 Abs. 4 BDSG.<ref>Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 33.</ref> Eine Datenverarbeitungsanlage ist jede Anlage oder Apparatur, z. B ein Computer, die personenbezogene Daten ihrem Informationsgehalt entsprechend differenziert behandeln kann. Nicht gemeint sind Anlagen, die Daten lediglich transportieren oder kopieren, den Informationsgehalt also nicht ändern.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 249.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Erheben personenbezogener Daten

2018-08-14T10:16:47Z

Paul Schiering: Erstellen der Seite

==Definition==

§ 3 Abs. 3 BDSG definiert Erheben als das Beschaffen von Daten über den bzw. die Betroffene(n). Hier sind nur personenbezogene Daten, also keine anonymisierten oder pseudonymisierten Daten gemeint.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 110 Rn. 234.</ref> Die Datenschutzgrundverordnung (DS-GVO) definiert zwar das Erheben von personenbezogenen Daten nicht selbst, doch nimmt sie mehrere Male Bezug zu diesem Terminus z. B. in Art. 4 Nr. 2 oder Art. 5 Abs. 1 lit. b. Damit kommt dem Erheben auch hier eine wichtige Bedeutung zu. Zur genaueren Bestimmung des Begriffes kann aber auch weiterhin auf das BDSG zurückgegriffen werden.

Die spezielleren Landesdatenschutzgesetze wurden immer vor dem Hintergrund des schon bestehenden Bundesgesetzes, welches als allgemeiner und deswegen nachrangig in seiner Anwendung gilt, erlassen. Um Dopplungen zu vermeiden verzichteten die Landesgesetzgeber darauf, die Begriffe noch einmal auf landesrechtlicher Ebene zu definieren. Mithin ist die Definition aus dem BDSG auch auf landesrechtlicher Ebene zu nutzen.
Erheben umfasst nur das gezielte Beschaffen, es muss daher ein Tätigwerden einer öffentlichen Stelle oder ihrer Vertreter vorliegen. Damit sind Informationen, an welche die entsprechende Stelle ohne eigenes Zutun gelangt ist oder ihr aufgedrängt wurden, nicht umfasst.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 24.</ref>

==Erhebung personenbezogener Daten im Hochschulkontext==

Vorstellbar ist in dieser Beziehung die Situation, dass der Lehrende den Studierenden während einer E-Learning Veranstaltung im PC-Pool die Aufgabe erteilt, sich Informationen einzuprägen, die auf dem Computerbildschirm jedes Studierenden für einen bestimmten Zeitraum zu sehen sind. Nach Ablauf dieses Zeitraums öffnet sich automatisch ein neues Fenster, in das die Studierenden alles eintragen sollen, was sie sich einprägen konnten. Jedoch hat Student S einen Screenshot des vorherigen Fensters erstellt und schreibt nun alles in das neue Fenster ab. Seine aufmerksame Kommilitonin K hat dies beobachtet und teilt das sogleich dem/der Lehrenden mit. Der/die Lehrende ist nie tätig geworden, um sich diese Informationen über S zu beschaffen, sondern sie wurden ihm/ihr durch die Mitteilung von K aufgedrängt.

Erst wenn der/die Lehrende diese Informationen in irgendeiner Form verarbeitet oder nutzt, werden seine/ihre Handlungen datenschutzrechtlich relevant.<ref>Vgl. Schild, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 4.2 Rn. 38.</ref> Anders wäre die Situation auch, wenn der/die Lehrende auf seinem/ihrem Computer ein Programm installiert hat, das ihm/ihr mitteilt, wenn ein Screenshot erstellt wurde bzw. an welchem Arbeitsplatz dieser Screenshot erstellt wurde. Mit der Installation des Programms wurde der/die Lehrende aktiv tätig, um sich diese Informationen zu beschaffen, weshalb hier ein Erheben durch den/die Lehrende/n vorliegt.Die Erhebung unterliegt gem. § 4 Abs. 1 LDSG LSA dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung personenbezogener Daten grundsätzlich erst einmal immer verboten ist, aber durch Gesetz oder die Einwilligung des Betroffenen erlaubt werden kann.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 3 ff.</ref>

Ferner besteht der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG. Demnach muss der Betroffene vor der Erhebung über die Identität der verantwortlichen Stelle, die Zweckbestimmung und ggf. über die Kategorien von Empfängern unterrichtet werden, damit er Kenntnis darüber hat, wer was über ihn weiß.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 110 Rn. 235.</ref> Diese Regelung findet sich nun auch in konkreterer Form in Art. 13 DS-GVO wieder. Dort wird detailliert aufgelistet, was dem Betroffenen bei der Erhebung mitzuteilen ist. Dies ist zum großen Teil deckungsgleich mit den Regelungen im BDSG.

==Informationspflichten bei der Erhebung personenbezogener Daten==

Hier ist der Fall denkbar, dass die Doktorarbeit eines Promovierenden soll mittels einer entsprechenden Software auf Plagiate untersucht werden. Hier muss der Promovierende darüber in Kenntnis gesetzt werden, dass die Universität als verantwortliche Stelle seine Daten erhebt. Weiterhin muss ihm der Zweck genannt werden, also die Erkennung von Plagiaten als Teil der Prüfung der wissenschaftlichen Güte seiner Promotion. In den meisten Fällen besitzt eine Hochschule oder Universität kein eigenes Programm, um Arbeiten auf Plagiate zu untersuchen, sondern bedient sich Produkten externer Anbieter. Somit muss dem Promovierenden auch mitgeteilt werden, an welchen Anbieter seine Arbeit übermittelt wurde. Dies muss dem Promovierenden schon vor der Erhebung der Daten mitgeteilt werden. Ihm muss dabei auch offengelegt werden, wer genau seine Daten erhebt. Eine reine Mitteilung zur Kenntnis des Promovierenden, dass seine Daten erhoben worden sind, ist nicht zulässig.

Eine solche Erhebung kann aber nicht durch eine Einwilligung des Promovierenden gerechtfertigt werden, da er sich, wenn er seine Einwilligung nicht geben würde, seiner Möglichkeit berauben würde, den Doktorgrad zu erreichen. Seine Entscheidung wäre mithin nicht freiwillig, was eine wirksame Einwilligung ausschließt.
Die Erhebung kann nur auf die Aufgabenerfüllung der Universität gestützt werden. Ob diese jedoch auch die Prüfung mittels einer Plagiatssoftware einschließt ist höchst fraglich, da es auch andere Möglichkeiten gibt, eine solche Prüfung durchzuführen.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Umgang mit personenbezogenen Daten

2018-08-14T10:08:02Z

Paul Schiering: Erstellung der Seite

== Begrifflichkeiten==

Sowohl das Bundesdatenschutzgesetz als auch das Landesdatenschutzgesetz des Landes Sachsen-Anhalt unterscheiden hinsichtlich des Umgangs mit personenbezogenen Daten zwischen Erheben, Verarbeiten und Nutzen. Im Gegensatz dazu spricht die europäische Datenschutzgrundverordnung (DS-GVO), die ebenfalls unmittelbar anwendbar ist, nur ganz allgemein von Verarbeitung (Art. 4 Nr. 2 DS-GVO). Darunter fallen alle im deutschen Recht getrennt definierten Nutzungshandlungen, es werden aber auch beispielhaft weitere Begriffe genannt, die bisher wohl im Begriff “Nutzen” enthalten waren (siehe Kasten).
Gemeinsam ist den Definitionen, dass sie versuchen, sämtliche Nutzungshandlungen den Regeln des Datenschutzrechts zu unterwerfen, um einen möglichst sicheren Umgang mit personenbezogenen Daten zu gewährleisten.

== Verarbeitung==

Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Reihe von Vorgängen, die im Zusammenhang mit personenbezogenen Daten stehen. Dazu gehören das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.<ref>Schild, in: BeckOK Datenschutzrecht 24. Edition (01.02.18), Art. 4 Rn. 29.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Rechtsgrundlagen des Datenschutzrechts

2017-12-16T15:21:28Z

Paul Schiering: Korrekturen

Für Hochschulen und Universitäten als Körperschaften des öffentlichen Rechts, die also Teil der Landesverwaltung sind, gelten für den Datenschutz grundsätzlich das [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=DSG+ST&psml=bssahprod.psml&max=true&aiz=true Landesdatenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA)] und [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST+§+119&psml=bssahprod.psml&max=true § 119 des Hochschulgesetzes des Landes Sachsen-Anhalt (HSG LSA)].

== Bestimmung der Rechtsgrundlage ==
Wenn unklar ist, welche Rechtsgrundlage einschlägig ist, sind drei Faustformeln zu beachten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 93 f.</ref>
=== Spezialgesetze gehen allgemeineren Bundes- und Landesgesetzen, also meist dem Bundesdatenschutzgesetz (BDSG) oder dem DSG LSA vor. ===
Dies unterstreicht [https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 3 BDSG] selbst. Um zu ermitteln, ob ein Spezialgesetz relevant ist, muss darauf geachtet werden, in welchem Sachbereich die Datenerhebung stattfindet.
Beispielsweise ist bei Datenerhebungen an Universitäten oder Hochschulen das speziell für diesen Bereich erlassene [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST&psml=bssahprod.psml&max=true&aiz=true HSG LSA] einschlägig. Ferner kann bei der Datenerhebung während der Nutzung bestimmter Medien z. B. des Internets oder der Kommunikation per E-Mail ein Spezialgesetz wie das Telekommunikationsgesetz oder das Telemediengesetz relevant sein.
=== Landesdatenschutzgesetze gehen den Regelungen des Bundesdatenschutzgesetzes vor. ===
[https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 2 Nr. 2 BDSG] legt fest, dass öffentliche Stellen der Länder, also auch die Universität, auf die Regelungen des jeweiligen Landesdatenschutzgesetzes zurückgreifen müssen, wenn eine landesrechtliche Datenschutzregelung vorhanden ist. Da es das DSG LSA gibt, ist folglich primär auf diese Regelungen zu achten, bevor das BDSG bemüht wird.
=== Ein Rückgriff auf das BDSG ist nur angezeigt, wenn wirklich keine andere Spezialvorschrift oder landesrechtliche Regelung zu finden ist. ===
Letztlich muss darauf geachtet werden, dass die spezialgesetzliche oder landesrechtliche Vorschrift das datenschutzrechtliche Verhalten auch komplett abdeckt. Sollte ein Aspekt des Sachverhaltes nicht durch speziellere Gesetze abgedeckt sein, dann muss auf das BDSG zurückgegriffen werden. Jedoch gibt es eine große Vielzahl von landesrechtlichen und spezialrechtlichen Normen, sodass das BDSG nur selten zur Anwendung kommt.
Besonders im universitären Bereich ist die Anwendbarkeit des BDSG daher sehr unwahrscheinlich.
== Übersicht ==
[[Datei:Rechtsquellenübersicht.jpg|rahmenlos|links]]<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 95 Rn. 201.</ref>{{Absatz}}

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Personenbezogene Daten

2017-12-16T13:52:02Z

Paul Schiering: Korrekturen

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das [https://www.gesetze-im-internet.de/bdsg_1990/ Bundesdatenschutzgesetz (BDSG)] in seinem [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1] den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst, sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG, GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht, ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Sie umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Personenbezogene Daten umfassen aber keine Daten, die sich zwar auf einzelne Personen beziehen, aber eine Identifizierung der Person nicht zulassen. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1 BDSG] auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der bzw. die Lehrende ohne weiteres einen Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem bzw. der individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist hier, dass in der Praxis sowohl durch die Datenschutzbehörden, die Europäischen Kommission als auch den Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage, welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter oder eine Mitarbeiterin den Sitzplan erstellt hat, jedoch die Uni mit all seinen bzw. ihren Unterlagen danach verlassen hat, der Leiter oder die Leiterin des zuständigen Lehrstuhls oder ein anderer Kollege bzw. Kollegin sich nicht darauf berufen kann, dass er oder sie des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
=== Exkurs: Relativer Bestimmbarkeitsbegriff ===
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt, welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.</ref>

Für den Beispielfall bedeutet dies, dass wenn man dem Sitzplan nicht mehr habhaft werden kann, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter oder Mitarbeiterin möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.

== Besondere Arten personenbezogener Daten ==
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergeben sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 9] diese besonderen persönlichen Daten in das [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] und alle Landesdatenschutzgesetze (z. B. [http://www.landesrecht.sachsen-anhalt.de/jportal/portal/t/ngl/page/bssahprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-DSGST2015pP2#focuspoint § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt]) aufgenommen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.</ref>

Dazu zählen:
* Rassische oder ethnische Herkunft
* Politische Meinungen
* Religiöse oder philosophische Überzeugungen
* Gewerkschaftszugehörigkeit
* Gesundheit
* Sexualleben

Um dem Diskriminierungsverbot gerecht zu werden, bedarf es zur Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. [https://www.gesetze-im-internet.de/bdsg_1990/__4a.html § 4a Abs. 3 BDSG] den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.<ref>Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Informationelle Selbstbestimmung

2017-12-16T13:16:47Z

Paul Schiering: Korrekturen

== Hintergrund ==

Das Bundesverfassungsgericht entwickelte 1983 in seinem [http://www.servat.unibe.ch/dfr/bv065001.html#Rn197 Volkszählungsurteil] aus dem allgemeinen Persönlichkeitsrecht das Recht auf informationelle Selbstbestimmung.
Demzufolge gewähren [https://www.gesetze-im-internet.de/gg/BJNR000010949.html#BJNR000010949BJNG000100314 Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG] dem Einzelnen bzw. der Einzelnen das Recht, grundsätzlich selbst zu entscheiden, wann und in welchem Umfang persönliche Tatsachen offenbart, also erhoben, gespeichert, verwendet oder weitergegeben werden.<ref>Altevers, Grundrechte - AS Skript, 16. Auflage 2016, S. 33 Rn. 120.</ref>

Dieser Entscheidung liegt der Gedanke zugrunde, dass eine Person in seiner freien Lebensgestaltung gehemmt wird, wenn diese nicht weiß, was andere über sie wissen. Daher wird dieses Recht auch dem allgemeinen Persönlichkeitsrecht zugeordnet, welches grundsätzlich die freie Entfaltung der Persönlichkeit schützt.

== Schutzbereich ==

Geschützt werden nur persönliche bzw. personenbezogene Daten. Daten, die anonymisiert sind und z. B. in einer Statistik genutzt werden, sind nicht geschützt.
Das Bundesverfassungsgericht stellt klar, dass es aufgrund der vielfachen Möglichkeiten der Datenverarbeitung und Datenverknüpfung kein an sich “belangloses” Datum im Zusammenhang mit einer Person mehr gibt.
Daraus folgt, dass bei jeder Datenerhebung, die nicht völlig anonymisiert ist, das Recht auf informationelle Selbstbestimmung zu beachten ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 73 f.</ref> Daraus ergibt sich, dass eine Evaluation, die völlig anonym, also ohne Namen, Matrikelnummer oder anderweitige Datensammlung vorgenommen wird, um sie z.B. später statistisch auszuwerten, nicht das Recht auf informationelle Selbstbestimmung berührt. Dies folgt daraus, dass die Daten, die bei der Evaluation gesammelt werden z.B. wie die Studierenden die Qualität des Vortrages des Dozenten einschätzen, keiner Person mehr zugeordnet werden können, also nicht personenbezogen sind.

Lehrende sind zwar Privatpersonen, wenn sie jedoch in ihrer Tätigkeit als Angestellte, Beamte oder Professoren bzw. Professorinnen der Universität oder Hochschule tätig werden und Wissen vermitteln, agieren sie für diese.
Eine Universität oder Hochschule ist Körperschaft des öffentlichen Rechts und damit Teil des Staates. Lehrende in ihrer Position als Mitarbeiter und Mitarbeiterinnen einer öffentlichen Stelle sind damit an das Grundrecht der informationellen Selbstbestimmung direkt gebunden.

== Einschränkungen ==

Das Grundrecht auf informationelle Selbstbestimmung gilt nicht absolut, sondern kann [[Gesetzesvorbehalt|eingeschränkt]] werden. Solche Einschränkungen werden durch Gesetze vorgenommen. Oftmals erscheint das Gesetz als Konkretisierung des Grundrechts.<ref>Hufen, Grundrechte, 5. Auflage 2016, § 12 Rn. 11 f.</ref>
Für Hochschulen sind die jeweiligen Landesdatenschutzgesetze und Hochschulgesetze relevant.
In diesem Zusammenhang verlangt das BVerfG, dass ein Gesetz, welches das Recht auf informationelle Selbstbestimmung einschränkt, dieses Recht auch nennt.<ref>BVerfG, NVwZ 2007, 688 (690)</ref>
Beispielhaft dafür ist § 1 Abs. 1 Datenschutzgesetz des Landes Sachsen – Anhalt (DSG LSA), welcher sich ausdrücklich auf das Persönlichkeitsrecht bezieht. § 4 Abs. 1 DSG LSA wiederholt noch einmal die Einschränkbarkeit des Grundrechts durch Gesetz, jedoch unterstreicht der Absatz auch, dass es immer einer gesetzlichen Grundlage bedarf, um personenbezogene Daten zu erheben.
Ferner gibt das DSG LSA mehreren anderen Rechten und Pflichten Ausdruck, die sich aus dem Grundrecht ergeben. Als Beispiel ist § 15 Abs. 1 DSG LSA zu nennen, der die Auskunftspflicht gegenüber dem Betroffenen regelt.
Ein weiteres Beispiel ist § 10 Abs. 1 DSG LSA, der wie vom BVerfG bei der Interpretation des Rechts auf informationelle Selbstbestimmung gefordert, eine klare Zweckbindung bei der Speicherung von Daten vorschreibt und damit die Vorratsdatenspeicherung verbietet.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Geschichte des Datenschutzrechts

2017-12-16T13:10:45Z

Paul Schiering: Korrekturen

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|750 x 550px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, und es zeichnete sich ab, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des Bundesdatenschutzgesetzes (BDSG) erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach dem Fall der Mauer ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese sollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde auf das Prinzip der Erforderlichkeit genauer eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Gebot der Datensparsamkeit und Datenvermeidung

2017-12-16T13:07:13Z

Paul Schiering: Korrekturen

Im Datenschutzrecht ergibt sich aus dem Grundsatz der Erforderlichkeit das Gebot der Datenvermeidung und Datensparsamkeit, welches sich in § 3a Bundesdatenschutzgesetz (BDSG) wiederfindet.<ref>Brink, in: BeckOK DatenschutzR, 21. Edition 2016, Abschnitt: Informationelle Selbstbestimmung, Rn. 111</ref>
Dies bedeutet, dass prinzipiell so wenig personenbezogene Daten zu erheben, verarbeiten und zu nutzen sind, wie nur möglich. Daraus ergibt sich, dass Datenverarbeitungsprozesse so einzustellen zu sind, dass sie mit möglichst wenigen Daten auskommen. Es sind insbesondere Datenverarbeitungsprozesse mit anonymisierten und pseudonymisierten Daten vorzuziehen.<ref>Wolff, in: BeckOK DatenschutzR, 21. Edition 2016, Abschnitt: BDSG Prinzipien, Rn. 42</ref>

== Universitäre Anwendung ==

Eine beispielhafte Situation ist die ausreichende Kennzeichnung von Prüfungsleistungen, um sie eindeutig einem Studierenden bzw. einer Studierenden zuordnen zu können.
Prinzipiell würde die Matrikelnummer zur eindeutigen Zuordnung ausreichen, da jede Matrikelnummer nur einmal vergeben wird und fest mit dem Studierenden oder der Studierenden verbunden ist. Folglich wäre, am Grundsatz der Datensparsamkeit ausgerichtet, nur die Erhebung der Matrikelnummer zur Identifikation ausreichend. Damit würde das Ziel erreicht werden und durch die wenigen Informationen, die gesammelt werden, würde am wenigsten in die informationelle Selbstbestimmung der Studierenden eingegriffen.
Jedoch treten durch Verwechslungen und Zahlendreher bei der Angabe der Matrikelnummer häufig Fehler auf, wodurch eine eindeutige Zuordnung nicht mehr möglich ist. Deswegen wird das Ziel der Identifikation in der Praxis selten erreicht.
Daher ist es nötig, als weiteres Datum den Namen zu erfassen, um das Ziel zu erreichen. Erst so ist eine eindeutige Identifikation möglich.
Man könnte als drittes Datum eines jeden Studierenden auch noch die Angabe des Geburtsortes verlangen, dies würde dem Ziel der eindeutigen Zuordnung ebenso dienlich sein.
Jedoch kann man das Ziel, wie oben gezeigt, auch nur mit zwei Daten erreichen. Weniger Daten bedeuten einen milderen Eingriff in die informationelle Selbstbestimmung der Studierenden.
Folglich wäre das Erheben des Geburtsortes ein schwerer Eingriff. Deshalb wäre diese Handlung mehr erforderlich und daher nicht erlaubt.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Erforderlichkeit

2017-12-16T12:53:55Z

Paul Schiering: Korrekturen

Bei jeder Handlung die möglicherweise in die Rechte der Studierenden eingreift, ist zu bedenken, ob diese Handlung erforderlich war. Bei der Ermittlung der Erforderlichkeit einer Handlung ist die Frage zu stellen, ob unter den für die Erreichung eines bestimmten Zweckes gleich gut geeigneten Mitteln, das gewählt wurde, welches das mildeste Mittel ist. Ziel ist es also, bei gleicher Effektivität der Maßnahme so wenig wie möglich in die Freiheit des Betroffenen einzugreifen.<ref>Grzeszick, in: Maunz/Dürig, GG-Kommentar, 79. EL Dezember 2016, Art. 20 Abschn. VII Rn. 113.</ref>

== Hintergrund ==
Um festzustellen, ob ein Eingriff in eine grundrechtlich geschützte Position z. B. das Recht auf [[Informationelle_Selbstbestimmung|informationelle Selbstbestimmung]] gerechtfertigt ist, ist es nötig zu überprüfen, ob der Eingriff erforderlich war. <ref>Epping, Grundrechte, 6. Auflage 2015, S. 19 Rn. 42</ref>
In der Tätigkeit als Lehrende der Universität und damit als Teil der staatlichen Verwaltung sind Mitarbeiter und Mitarbeiterinnen der Universität angehalten, den Gedanken der Erforderlichkeit immer zu beachten.

== Erforderlichkeit im Datenschutzrecht ==
Die Bedeutsamkeit des Gedankens der Erforderlichkeit wird auch durch die §§ 9 Abs. 1 DSG LSA und 119 Hochschulgesetz des Landes Sachsen – Anhalt (HSG LSA) unterstrichen, die beide auf die Erforderlichkeit der Datenerhebung verweisen.
Das BVerfG hat in diesem Zusammenhang einen Pool an Überlegungen entwickelt, die bei der Bestimmung der Erforderlichkeit und Intensität der Datenerhebung zu beachten sind.
So ist zu fragen, ob es einen bestimmten Anlass oder Verdacht gibt, gerade diese Daten zu erheben. Ein Verdacht könnte dazu führen, dass mehr Daten bzw. qualitativ bessere Daten erhoben werden können, als bei Betroffenen, die keinen Anlass oder Verdacht liefern.
Ein denkbares Szenario wäre, dass ein Studierender oder eine Studierende aufgrund auffälligen Verhaltens während der Prüfung Anlass zum Betrugsverdacht liefert. Dies kann es erforderlich machen, aufgrund des Verdachts, mehr Daten über den Studierenden oder die Studierende zu erheben, beispielsweise, ob er bzw. sie schon vorher durch Betrugsversuche aufgefallen ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015 S. 77 Rn. 161.</ref>

Sensibler ist mit den Daten umzugehen, wenn sie heimlich erhoben werden oder den Betroffenen besonders in seiner Persönlichkeitsentfaltung einschränken.
Beispielhaft für die Entfaltung einschränkende Daten sind besonders persönliche Informationen über Studierende, die eher im persönlichen Vertrauensverhältnis angesiedelt sind, denn im kollegialen Verhältnis.
Ein denkbarer Fall wäre eine Abschlussarbeit, die an den persönlichen Alltag des Studierenden oder der Studierenden anknüpft. So könnte es zum Beispiel in der Arbeit um die Untersuchung der Beweggründe für Diskriminierung und homophobes Verhalten gegenüber dem Studierenden oder der Studierenden gehen, die er bzw. sie im Alltag erlebt. Die Information der sexuellen Ausrichtung wird meist nur im engsten Freundeskreis und der Familie preisgegeben. Daher unterliegen diese Informationen, wenn sie auch dem Lehrenden direkt oder indirekt mitgeteilt werden, einer besonderen Sensibilität.<ref>BVerfG, MMR 2006, 531 ff.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]] [[Kategorie:Urheberrecht]]
{{Disclaimer}}

Anonymisieren und Pseudonymisieren

2017-12-16T12:39:54Z

Paul Schiering: Korrekturen

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

== Anonymisieren ==
[https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6 BDSG] definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben
* Var. 1: nicht mehr
* Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.</ref>

Die zweite Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.</ref>
Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre als die Wiederherstellung der Daten.<ref>Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.</ref>

== Pseudonymisieren ==
Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6a BDSG] definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.</ref>

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung von Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind.
Was die datenschutzrechtliche Seite angeht, ist dies aber eine eher problematische Lösung. Nach dem [[Personenbezogene_Daten|relativen Bestimmbarkeitsbegriff]] sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben, anonym, also z. B. dem Prüfer, aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis des Studierenden eingeholt werden, der die Arbeit verfasst hat.
Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studierenden der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben sein, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde.
Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studierenden zur Veröffentlichung einholt und die Arbeit anonymisiert veröffentlicht.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer der jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Erhebung von Daten

2017-12-09T14:18:01Z

Paul Schiering: Paul Schiering verschob die Seite Erhebung von Daten nach Vorschau:Erhebung von Daten

#WEITERLEITUNG [[Vorschau:Erhebung von Daten]]

Personenbezogene Daten

2017-12-09T13:41:39Z

Paul Schiering: Paul Schiering verschob die Seite Vorschau:Personenbezogene Daten nach Personenbezogene Daten und überschrieb dabei eine Weiterleitung

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das [https://www.gesetze-im-internet.de/bdsg_1990/ Bundesdatenschutzgesetz (BDSG)] in seinem [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1] den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst, sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht, ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1 BDSG] auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
=== Exkurs: Relativer Bestimmbarkeitsbegriff ===
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.</ref>

Für den Beispielsfall bedeutet dies, dass im Falle man kann dem Sitzplan nicht mehr habhaft werden, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.

== Besondere Arten personenbezogener Daten ==
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergibt sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 9] diese besonderen persönlichen Daten in das [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] und alle Landesdatenschutzgesetze (z. B. [http://www.landesrecht.sachsen-anhalt.de/jportal/portal/t/ngl/page/bssahprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-DSGST2015pP2#focuspoint § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt]) aufgenommen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.</ref>

Dazu zählen:
* Rassische oder ethnische Herkunft
* Politische Meinungen
* Religiöse oder philosophische Überzeugung
* Gewerkschaftszugehörigkeit
* Gesundheit
* Sexualleben

Um dem Diskriminierungsverbot gerecht zu werden, bedarf es für die Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. [https://www.gesetze-im-internet.de/bdsg_1990/__4a.html § 4a Abs. 3 BDSG] den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.<ref>Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Personenbezogene Daten

2017-12-09T13:41:20Z

Paul Schiering: Korrekturen

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das [https://www.gesetze-im-internet.de/bdsg_1990/ Bundesdatenschutzgesetz (BDSG)] in seinem [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1] den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst, sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht, ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1 BDSG] auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
=== Exkurs: Relativer Bestimmbarkeitsbegriff ===
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.</ref>

Für den Beispielsfall bedeutet dies, dass im Falle man kann dem Sitzplan nicht mehr habhaft werden, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.

== Besondere Arten personenbezogener Daten ==
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergibt sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 9] diese besonderen persönlichen Daten in das [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] und alle Landesdatenschutzgesetze (z. B. [http://www.landesrecht.sachsen-anhalt.de/jportal/portal/t/ngl/page/bssahprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-DSGST2015pP2#focuspoint § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt]) aufgenommen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.</ref>

Dazu zählen:
* Rassische oder ethnische Herkunft
* Politische Meinungen
* Religiöse oder philosophische Überzeugung
* Gewerkschaftszugehörigkeit
* Gesundheit
* Sexualleben

Um dem Diskriminierungsverbot gerecht zu werden, bedarf es für die Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. [https://www.gesetze-im-internet.de/bdsg_1990/__4a.html § 4a Abs. 3 BDSG] den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.<ref>Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Rechtsgrundlagen des Datenschutzrechts

2017-12-09T13:40:32Z

Paul Schiering: Paul Schiering verschob die Seite Vorschau:Rechtsgrundlagen des Datenschutzrechts nach Rechtsgrundlagen des Datenschutzrechts und überschrieb dabei eine Weiterleitung

An Hochschulen und Universitäten als Körperschaften des öffentlichen Rechts, die also Teil der Landesverwaltung sind, sind grundsätzlich für den Datenschutz das [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=DSG+ST&psml=bssahprod.psml&max=true&aiz=true Landesdatenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA)] und [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST+§+119&psml=bssahprod.psml&max=true § 119 des Hochschulgesetzes des Landes Sachsen-Anhalt (HSG LSA)] relevant.

== Bestimmung der Rechtsgrundlage ==
Wenn unklar ist, welche Rechtsgrundlage einschlägig ist, sind drei Faustformeln zu beachten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 93 f.</ref>
=== Spezialgesetze gehen allgemeineren Bundes- und Landesgesetzes, also meist dem Bundesdatenschutzgesetz (BDSG) oder dem DSG LSA vor. ===
Dies unterstreicht [https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 3 BDSG] selbst. Um zu ermitteln, ob ein Spezialgesetz relevant ist, muss darauf geachtet werden, in welchem Sachbereich die Datenerhebung stattfindet.
Beispielsweise bei Datenerhebungen an Universitäten oder Hochschulen ist das speziell für diesen Bereich erlassene [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST&psml=bssahprod.psml&max=true&aiz=true HSG LSA] einschlägig. Ferner kann bei der Datenerhebung bei der Nutzung bestimmter Medien z. B. des Internets oder der Kommunikation per E-Mail ein Spezialgesetz wie das Telekommunikationsgesetz oder das Telemediengesetz relevant sein.
=== Landesdatenschutzgesetze gehen den Regelungen des Bundesdatenschutzgesetzes vor. ===
[https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 2 Nr. 2 BDSG] legt fest, dass öffentliche Stellen der Länder, also auch die Universität, auf die Regelungen des jeweiligen Landesdatenschutzgesetzes zurückgreifen muss, wenn eine landesrechtliche Datenschutzregelung vorhanden ist. Da es das DSG LSA gibt, ist primär auf diese Regelungen zu achten, bevor das BDSG bemüht wird.
=== Ein Rückgriff auf das BDSG ist nur angezeigt, wenn wirklich keine andere Spezialvorschrift oder landesrechtliche Regelung zu finden ist. ===
Letztlich muss darauf geachtet werden, dass die spezialgesetzliche oder landesrechtliche Vorschrift das datenschutzrechtliche Verhalten auch komplett abdeckt. Sollte ein Aspekt des Sachverhaltes nicht durch speziellere Gesetzes abgedeckt sein, dann muss auf das BDSG zurückgegriffen werden. Jedoch gibt es eine große Vielzahl von landesrechtlichen und spezialrechtlichen Normen, sodass das BDSG nur selten zur Anwendung kommt.
Besonders im universitären Bereich ist die Anwendbarkeit des BDSG sehr unwahrscheinlich.
== Übersicht ==
[[Datei:Rechtsquellenübersicht.jpg|rahmenlos|links]]<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 95 Rn. 201.</ref>{{Absatz}}

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Rechtsgrundlagen des Datenschutzrechts

2017-12-09T13:40:24Z

Paul Schiering: Korrekturen

Informationelle Selbstbestimmung

2017-12-09T13:35:27Z

Paul Schiering: Korrekturen

== Hintergrund ==

Das Bundesverfassungsgericht entwickelte 1983 in seinem [http://www.servat.unibe.ch/dfr/bv065001.html#Rn197 Volkszählungsurteil] aus dem allgemeinen Persönlichkeitsrecht, das Recht auf informationelle Selbstbestimmung.
Demzufolge gewähren [https://www.gesetze-im-internet.de/gg/BJNR000010949.html#BJNR000010949BJNG000100314 Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG] dem Einzelnen das Recht grundsätzlich selbst zu entscheiden, wann und in welchem Umfang persönliche Tatsachen offenbart also erhoben, gespeichert, verwendet oder weitergegeben werden.<ref>Altevers, Grundrechte - AS Skript, 16. Auflage 2016, S. 33 Rn. 120.</ref>

Dieser Entscheidung liegt der Gedanke zugrunde, dass eine Person in seiner freien Lebensgestaltung gehemmt wird, wenn diese nicht weiß, was andere über sie wissen. Daher wird dieses Recht auch dem allgemeinen Persönlichkeitsrecht zugeordnet, welches grundsätzlich die freie Entfaltung der Persönlichkeit schützt.

== Schutzbereich ==

Geschützt werden aber nur persönliche bzw. personenbezogene Daten. Daten die anonymisiert sind und z.B. in einer Statistik genutzt werden, werden nicht geschützt.
Das Bundesverfassungsgericht stellt klar, dass es aufgrund der vielfachen Möglichkeiten der Datenverarbeitung und Verknüpfung kein an sich “belangloses” Datum im Zusammenhang mit einer Person mehr gibt.
Daraus folgt, dass bei jeder Datenerhebung, die nicht völlig anonymisiert ist, das Recht auf informationelle Selbstbestimmung zu beachten ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 73 f.</ref> Daraus ergibt sich, dass eine Evaluation, die völlig anonym, also ohne Namen, Matrikelnummer oder anderweitige Datensammlung vorgenommen wird, um sie z.B. später statistisch auszuwerten, nicht das Recht auf informationelle Selbstbestimmung berührt. Dies folgt daraus, dass die Daten, die bei der Evaluation gesammelt werden z.B. wie die Studierenden die Qualität des Vortrages des Dozenten einschätzen, keiner Person mehr zugeordnet werden können, also nicht personenbezogen sind.

Lehrende sind zwar Privatpersonen, wenn sie jedoch in ihrer Tätigkeit als Angestellte, Beamte oder Professoren der Universität oder Hochschule tätig werden und Wissen vermitteln, agieren sie für diese.
Eine Universität oder Hochschule ist Körperschaft des öffentlichen Rechts und damit Teil des Staates. Da Grundrechte immer nur den Staat binden, sind Lehrende in ihrer Position als Mitarbeiter an das Grundrecht der informationellen Selbstbestimmung direkt gebunden.

== Einschränkungen ==

Jedoch gilt das Grundrecht auf informationelle Selbstbestimmung nicht absolut, sondern kann [[Gesetzesvorbehalt|eingeschränkt]] werden. Solche Einschränkungen werden durch Gesetze vorgenommen. Oftmals erscheint das Gesetz als Konkretisierung des Grundrechts.<ref>Hufen, Grundrechte, 5. Auflage 2016, § 12 Rn. 11 f.</ref>
Für Hochschulen sind die jeweiligen Landesdatenschutzgesetze und Hochschulgesetze relevant.
In diesem Zusammenhang verlangt das BVerfG, dass ein Gesetz, welches das Recht auf informationelle Selbstbestimmung einschränkt, dieses Recht auch nennt.<ref>BVerfG, NVwZ 2007, 688 (690)</ref>
Beispielhaft dafür ist § 1 Abs. 1 Datenschutzgesetz des Landes Sachsen – Anhalt (DSG LSA), welcher sich ausdrücklich auf das Persönlichkeitsrecht bezieht. § 4 Abs. 1 DSG LSA wiederholt noch einmal die Einschränkbarkeit des Grundrechts durch Gesetz, jedoch unterstreicht der Absatz auch, dass es immer einer gesetzliche Grundlage bedarf, um personenbezogene Daten zu erheben.
Ferner gibt das DSG LSA mehreren anderen Rechten und Pflichten Ausdruck, die sich aus dem Grundrecht ergeben. Als Beispiel ist § 15 Abs. 1 DSG LSA zu nennen, der die Auskunftspflicht gegenüber dem Betroffenen regelt.
Ein weiteres Beispiel ist § 10 Abs. 1 DSG LSA, der wie vom BVerfG bei der Interpretation des Rechts auf informationelle Selbstbestimmung gefordert, eine klare Zweckbindung bei der Speicherung von Daten vorschreibt und damit die Vorratsdatenspeicherung verbietet.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Geschichte des Datenschutzrechts

2017-12-09T13:13:20Z

Paul Schiering: Paul Schiering verschob die Seite Vorschau:Geschichte des Datenschutzrechts nach Geschichte des Datenschutzrechts und überschrieb dabei eine Weiterleitung

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|750 x 550px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, wodurch sich abzeichnete, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des BDSG erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach dem Fall der Mauer ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese wollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde genauer auf das Prinzip der Erforderlichkeit eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Geschichte des Datenschutzrechts

2017-12-09T13:13:11Z

Paul Schiering: Korreturen

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|750 x 550px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, wodurch sich abzeichnete, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des BDSG erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach dem Fall der Mauer ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese wollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde genauer auf das Prinzip der Erforderlichkeit eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Gebot der Datensparsamkeit und Datenvermeidung

2017-12-09T13:10:36Z

Paul Schiering: Korrekturen

Im Datenschutzrecht ergibt sich aus dem Grundsatz der Erforderlichkeit das Gebot der Datenvermeidung und Datensparsamkeit, welches sich in § 3a Bundesdatenschutzgesetz (BDSG) wiederfindet.<ref>Brink, in: BeckOK DatenschutzR, 21. Edition 2016, Abschnitt: Informationelle Selbstbestimmung, Rn. 111</ref>
Dies bedeutet, dass prinzipiell so wenig personenbezogene Daten zu erheben, verarbeiten und nutzen sind, wie nur möglich. Daraus ergibt sich, dass Datenverarbeitungsprozesse so einzustellen zu sind, dass sie mit möglichst wenigen Daten auskommen. Es sind insbesondere Datenverarbeitungsprozesse mit anonymisierten und pseudonymisierten Daten vorzuziehen.<ref>Wolff, in: BeckOK DatenschutzR, 21. Edition 2016, Abschnitt: BDSG Prinzipien, Rn. 42</ref>

== Universitäre Anwendung ==

Eine beispielhafte Situation ist die ausreichende Kennzeichnung von Prüfungsleistungen, um sie eindeutig einem Studierenden zuordnen zu können.
Prinzipiell würde die Matrikelnummer zur eindeutigen Zuordnung ausreichen, da jede Matrikelnummer nur einmal vergeben wird und fest mit dem Studierenden verbunden ist. Folglich wäre am Grundsatz der Datensparsamkeit ausgerichtet nur die Erhebung der Matrikelnummer zur Identifikation ausreichend. Damit würde das Ziel erreicht werden und durch die wenigen Informationen, die gesammelt werden, würde am wenigsten in die informationelle Selbstbestimmung der Studierenden eingegriffen.
Jedoch treten durch Verwechslungen und Zahlendreher bei der Angabe der Matrikelnummer häufig Fehler auf, wodurch eine eindeutige Zuordnung nicht mehr möglich ist. Deswegen wird das Ziel der Identifikation in der Praxis selten erreicht.
Daher ist es nötig, noch weitere Daten wie den Namen des Studierenden zu sammeln, um das Ziel zu erreichen. Erst so ist eine eindeutige Identifikation möglich.
Man könnte als drittes Datum eines jeden Studenten auch noch die Angabe des Geburtsortes verlangen, dies würde dem Ziel der eindeutigen Zuordnung ebenso dienlich sein.
Jedoch kann man das Ziel, wie oben gezeigt, auch nur mit zwei Datener erreichen. Weniger Daten bedeuten einen milderen Eingriff in die informationelle Selbstbestimmung der Studierenden.
Folglich wäre das Erheben des Geburtsortes eine schwerer Eingriff. Deshalb wäre diese Handlung mehr erforderlich und daher nicht erlaubt.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Erforderlichkeit

2017-12-09T13:07:17Z

Paul Schiering: Korrekturen

Bei jeder Handlung die möglicherweise in die Rechte der Studierenden eingreift, ist zu bedenken, ob diese Handlung erforderlich war. Bei der Ermittlung der Erforderlichkeit einer Handlung, ist die Frage zu stellen, ob unter den für die Erreichung eines bestimmten Zweckes gleich gut geeigneten Mitteln, das gewählt wurde, welches das mildeste Mittel ist. Ziel ist es also, bei gleicher Effektivität der Maßnahme so wenig wie möglich in die Freiheit des Betroffenen einzugreifen.<ref>Grzeszick, in: Maunz/Dürig, GG-Kommentar, 79. EL Dezember 2016, Art. 20 Abschn. VII Rn. 113.</ref>

== Hintergrund ==
Um festzustellen, ob ein Eingriff in eine grundrechtlich geschützte Position z. B. das Recht darüber zu entscheiden, was mit den von der Universität erhobenen personenbezogenen Daten passiert, gerechtfertigt ist, ist es nötig zu überprüfen, ob der Eingriff erforderlich war. <ref>Epping, Grundrechte, 6. Auflage 2015, S. 19 Rn. 42</ref>
In der Tätigkeit als Lehrende der Universität und damit als Teil der staatlichen Verwaltung sind Mitarbeiter der Universität angehalten, den Gedanken der Erforderlichkeit immer zu beachten.

== Erforderlichkeit im Datenschutzrecht ==
Die Bedeutsamkeit des Gedankens der Erforderlichkeit wird auch durch die §§ 9 Abs. 1 DSG LSA und 119 Hochschulgesetz des Landes Sachsen – Anhalt (HSG LSA) unterstrichen, die beide auf die Erforderlichkeit der Datenerhebung verweisen.
Das BVerfG hat in diesem Zusammenhang einen Pool an Überlegungen entwickelt, die bei der Bestimmung der Erforderlichkeit und Intensität der Datenerhebung zu beachten sind.
So ist zu fragen, ob es einen bestimmten Anlass oder Verdacht gibt, gerade diese Daten zu erheben. Ein Verdacht könnte dazu führen, dass mehr Daten bzw. qualitativ bessere Daten, erhoben werden können, als bei Betroffenen, die keine Anlass oder Verdacht liefern.
Ein denkbares Szenario wäre, dass ein Studierender aufgrund auffälligen Verhaltens während der Prüfung und schon vorheriger Täuschungsversuche Anlass zum Betrugsverdacht liefert. Dies kann es erforderlich machen, aufgrund des Verdachts, mehr Daten über den Studierenden zu erheben beispielsweise, ob er schon vorher durch Betrugsversuche aufgefallen ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015 S. 77 Rn. 161.</ref>

Sensibler ist mit den Daten umzugehen, wenn sie heimlich erhoben werden oder den Betroffenen besonders in seiner Persönlichkeitsentfaltung einschränken.
Beispielhaft für die Entfaltung einschränkende Daten, sind besonders persönliche Informationen über Studierende, die eher im persönlichen Vertrauensverhältnis angesiedelt sind, denn im kollegialen Verhältnis.
Ein denkbarer Fall wäre eine Abschlussarbeit, die an den persönlichen Alltag des Studierenden anknüpft. So könnte es zum Beispiel in der Arbeit um die Untersuchung der Beweggründe für Diskriminierung und homophobes Verhalten gegenüber dem Studierenden gehen, die er im Alltag erlebt. Die Information der sexuellen Ausrichtung wird meist nur im engsten Freundeskreis und der Familie preisgegeben. Daher unterliegen diese Informationen, wenn sie auch dem Lehrenden direkt oder indirekt mitgeteilt werden einer besonderen Sensibilität.<ref>BVerfG, MMR 2006, 531 ff.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]] [[Kategorie:Urheberrecht]]
{{Disclaimer}}

Anonymisieren und Pseudonymisieren

2017-12-09T12:20:19Z

Paul Schiering: Korrekturen

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

== Anonymisieren ==
[https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6 BDSG] definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben
* Var. 1: nicht mehr
* Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.</ref>

Die zweiter Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.</ref>
Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre, als die Wiederherstellung der Daten.<ref>Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.</ref>

== Pseudonymisieren ==
Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6a BDSG] definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.</ref>

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung der Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind.
Was die datenschutzrechtliche Seite angeht, ist dies aber eine eher problematische Lösung. Nach dem relativen Bestimmbarkeitsbegriff sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben, anonym, also z. B. dem Prüfer aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt also der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis der Studierenden eingeholt werden, der die Arbeit verfasst hat.
Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studenten der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben sein, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde.
Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studenten zur Veröffentlichung einhohlt, bestenfalls in anonymisierter Form der Arbeit.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer des jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Grundsätze des deutschen Datenschutzrechts

2017-12-09T12:14:04Z

Paul Schiering: Paul Schiering verschob die Seite Grundsätze des deutschen Datenschutzrechts nach Vorschau:Grundsätze des deutschen Datenschutzrechts

Den Grundsätzen des deutschen Datenschutzrechts ist gemein, dass sie das Ziel verfolgen, das Recht auf informationelle Selbstbestimmung zu gewährleisten und zu schützen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 127 Rn. 275.</ref>

== Rechtsgrundlagen ==
Da die Grundsätze deutschlandweit gelten sollen, und um Wiederholungen zu vermeiden, sind diese Regeln nicht in jedem einzelnen Landesdatenschutzgesetz geregelt, sondern im Bundesdatenschutzgesetz. Sobald datenschutzrechtliche Sachverhalte nicht im Landesrecht geregelt sind, muss auf das Bundesdatenschutzgesetz zurückgegriffen werden. Daher gelten die Grundsätze des BDSG in jedem Bundesland, unabhängig davon ob sie im Landesdatenschutzgesetz zu finden sind.

== Verbot mit Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ==
Die zentrale Regel im Umgang mit personenbezogenen Daten stellt § 4 Abs. 1 BDSG dar bzw. § 4 Abs. 1 DSG LSA, der das allgemeine Verbot der Erhebung, Verarbeitung und Nutzung vorschreibt, welches einem Erlaubnisvorbehalt unterliegt. Dies bedeutet, dass prinzipiell und im Vorhinein jeglicher Umgang mit personenbezogenen Daten untersagt ist, wenn er nicht durch eine der drei Alternativen des § 4 Abs. 2 DSG LSA erlaubt wird.
Die erste Alternative stellt die Erlaubnis aufgrund der Einwilligung des Betroffenen dar. Dies ist direkter Ausdruck des Rechts auf informationelle Selbstbestimmung, da dieses dem Betroffenen das Recht gibt, selbst zu entscheiden, was mit seinen personenbezogenen Daten passieren soll.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 5.</ref> Wenn der Betroffene also in den Umgang mit seinen Daten einwilligt steht der Erhebung, Verarbeitung oder Nutzung insofern nichts mehr im Wege.

Die zweite Alternative ist die Erlaubnis aufgrund einer sonstigen Rechtsvorschrift, also einer Norm, die nicht aus dem Landesdatenschutzgesetz selbst stammt. Das können auch Rechtsvorschriften sein, die den Umgang nicht nur erlauben, sondern dazu gar verpflichten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130 Rn. 280.</ref> Für die Universität ist insbesondere das Hochschulgesetz des Landes Sachsen-Anhalt oder z.B. die Rahmenstudien- und Prüfungsordnung für das Bachelor- und Masterstudium der MLU relevant. So normiert § 119 HSG LSA, dass Studierende und Prüfungskandidaten verpflichtet sind für Verwaltungszwecke bestimmte personenbezogene Daten preiszugeben.

Die dritte Alternative stellt die Erlaubnis aufgrund der Zulässigkeitsgründe des BDSG bzw. DSG LSA dar. Dies sind also Normen die im Bundesdatenschutzgesetz bzw. Landesdatenschutzgesetz selbst den Umgang erlauben. Die für die öffentlich-rechtlich verantwortlichen Stellen, also auch für die Universität relevanten Erlaubnistatbestände, finden sich im zweiten Abschnitt des DSG LSA. Jedoch ist zu beachten, dass diese dritte Alternative lediglich ein Auffangtatbestand ist. Deshalb muss zuerst geprüft werden, ob es landesrechtliche Erlaubnisse gibt. Wenn dies nicht der Fall ist, ist zu prüfen, ob es in anderen Bundesgesetzen speziellere Erlaubnisse gibt. Erst danach - in einem dritten Schritt - kann man auf die Regelungen im zweiten Abschnitt des BDSG zurückgreifen.

== Zweckbindungs- und Erforderlichkeitsgrundsatz ==
Der Grundsatz der Zweckbindung ist eines der Leitprinzipien des deutschen Datenschutzrechts.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 132 Rn. 286.</ref> Es besagt, dass personenbezogene Daten nicht ohne Zweckbestimmung – auf Vorrat – erhoben oder gespeichert werden dürfen, sondern noch vor Erhebung muss der Zweck des Datenumgangs festgelegt worden sein.<ref>Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 48 f.</ref> Dies dient dazu, dass der Betroffene den Umgang mit seinen Daten überschauen und kontrollieren kann.
In engem Zusammenhang zum Zweckbindungsgrundsatz steht der Grundsatz der Erforderlichkeit, da nach diesem Grundsatz nur die mildeste, also die das Recht des Betroffenen am wenigsten einschränkende Maßnahme, ergriffen werden darf. <ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 133 Rn. 290.</ref>

== Grundsatz der Transparenz ==
Aus dem Recht auf informationelle Selbstbestimmung lässt sich ableiten, dass nur wer weiß, was bei welcher Gelegenheit durch wen über ihn in Erfahrung gebracht wird, frei über sich selbst entscheiden kann. <ref>BVerfGE 65, 1 (43).</ref> Daher muss der Umgang mit personenbezogenen Daten transparent sein, damit der Betroffene sich jederzeit gegen die weitere Offenlegung seiner Daten entscheiden kann. Daraus ergibt sich auch der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG (Daten müssen direkt beim Betroffenen erhoben werden) sowie die Auskunftsrechte nach § 15 DSG LSA und §§ 19, 34 BDSG. Ferner bestehen auch Informationspflichten gegenüber dem Betroffenen bezüglich des Umgangs mit seinen Daten.

== Grundsatz der Datenvermeidung und Datensparsamkeit ==
Der Umgang mit personenbezogenen Daten sowie die Systemstrukturen der Software, die mit personenbezogenen Daten umgeht, soll so konzipiert werden, dass die Daten nur im unbedingt erforderlichen Umfang erhoben, verarbeitet oder genutzt werden. § 3a BDSG bezieht sich also vor allem auf den Ausschluss unnötigen Datenerhebung schon auf technischer Ebene.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 134 Rn. 294 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Grundsätze des deutschen Datenschutzrechts

2017-12-09T12:13:44Z

Paul Schiering: Erstellung der Seite

Den Grundsätzen des deutschen Datenschutzrechts ist gemein, dass sie das Ziel verfolgen, das Recht auf informationelle Selbstbestimmung zu gewährleisten und zu schützen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 127 Rn. 275.</ref>

== Rechtsgrundlagen ==
Da die Grundsätze deutschlandweit gelten sollen, und um Wiederholungen zu vermeiden, sind diese Regeln nicht in jedem einzelnen Landesdatenschutzgesetz geregelt, sondern im Bundesdatenschutzgesetz. Sobald datenschutzrechtliche Sachverhalte nicht im Landesrecht geregelt sind, muss auf das Bundesdatenschutzgesetz zurückgegriffen werden. Daher gelten die Grundsätze des BDSG in jedem Bundesland, unabhängig davon ob sie im Landesdatenschutzgesetz zu finden sind.

== Verbot mit Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ==
Die zentrale Regel im Umgang mit personenbezogenen Daten stellt § 4 Abs. 1 BDSG dar bzw. § 4 Abs. 1 DSG LSA, der das allgemeine Verbot der Erhebung, Verarbeitung und Nutzung vorschreibt, welches einem Erlaubnisvorbehalt unterliegt. Dies bedeutet, dass prinzipiell und im Vorhinein jeglicher Umgang mit personenbezogenen Daten untersagt ist, wenn er nicht durch eine der drei Alternativen des § 4 Abs. 2 DSG LSA erlaubt wird.
Die erste Alternative stellt die Erlaubnis aufgrund der Einwilligung des Betroffenen dar. Dies ist direkter Ausdruck des Rechts auf informationelle Selbstbestimmung, da dieses dem Betroffenen das Recht gibt, selbst zu entscheiden, was mit seinen personenbezogenen Daten passieren soll.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 4 Rn. 5.</ref> Wenn der Betroffene also in den Umgang mit seinen Daten einwilligt steht der Erhebung, Verarbeitung oder Nutzung insofern nichts mehr im Wege.

Die zweite Alternative ist die Erlaubnis aufgrund einer sonstigen Rechtsvorschrift, also einer Norm, die nicht aus dem Landesdatenschutzgesetz selbst stammt. Das können auch Rechtsvorschriften sein, die den Umgang nicht nur erlauben, sondern dazu gar verpflichten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130 Rn. 280.</ref> Für die Universität ist insbesondere das Hochschulgesetz des Landes Sachsen-Anhalt oder z.B. die Rahmenstudien- und Prüfungsordnung für das Bachelor- und Masterstudium der MLU relevant. So normiert § 119 HSG LSA, dass Studierende und Prüfungskandidaten verpflichtet sind für Verwaltungszwecke bestimmte personenbezogene Daten preiszugeben.

Die dritte Alternative stellt die Erlaubnis aufgrund der Zulässigkeitsgründe des BDSG bzw. DSG LSA dar. Dies sind also Normen die im Bundesdatenschutzgesetz bzw. Landesdatenschutzgesetz selbst den Umgang erlauben. Die für die öffentlich-rechtlich verantwortlichen Stellen, also auch für die Universität relevanten Erlaubnistatbestände, finden sich im zweiten Abschnitt des DSG LSA. Jedoch ist zu beachten, dass diese dritte Alternative lediglich ein Auffangtatbestand ist. Deshalb muss zuerst geprüft werden, ob es landesrechtliche Erlaubnisse gibt. Wenn dies nicht der Fall ist, ist zu prüfen, ob es in anderen Bundesgesetzen speziellere Erlaubnisse gibt. Erst danach - in einem dritten Schritt - kann man auf die Regelungen im zweiten Abschnitt des BDSG zurückgreifen.

== Zweckbindungs- und Erforderlichkeitsgrundsatz ==
Der Grundsatz der Zweckbindung ist eines der Leitprinzipien des deutschen Datenschutzrechts.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 132 Rn. 286.</ref> Es besagt, dass personenbezogene Daten nicht ohne Zweckbestimmung – auf Vorrat – erhoben oder gespeichert werden dürfen, sondern noch vor Erhebung muss der Zweck des Datenumgangs festgelegt worden sein.<ref>Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S. 48 f.</ref> Dies dient dazu, dass der Betroffene den Umgang mit seinen Daten überschauen und kontrollieren kann.
In engem Zusammenhang zum Zweckbindungsgrundsatz steht der Grundsatz der Erforderlichkeit, da nach diesem Grundsatz nur die mildeste, also die das Recht des Betroffenen am wenigsten einschränkende Maßnahme, ergriffen werden darf. <ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 133 Rn. 290.</ref>

== Grundsatz der Transparenz ==
Aus dem Recht auf informationelle Selbstbestimmung lässt sich ableiten, dass nur wer weiß, was bei welcher Gelegenheit durch wen über ihn in Erfahrung gebracht wird, frei über sich selbst entscheiden kann. <ref>BVerfGE 65, 1 (43).</ref> Daher muss der Umgang mit personenbezogenen Daten transparent sein, damit der Betroffene sich jederzeit gegen die weitere Offenlegung seiner Daten entscheiden kann. Daraus ergibt sich auch der Grundsatz der Direkterhebung gem. § 4 Abs. 2 S. 1 BDSG (Daten müssen direkt beim Betroffenen erhoben werden) sowie die Auskunftsrechte nach § 15 DSG LSA und §§ 19, 34 BDSG. Ferner bestehen auch Informationspflichten gegenüber dem Betroffenen bezüglich des Umgangs mit seinen Daten.

== Grundsatz der Datenvermeidung und Datensparsamkeit ==
Der Umgang mit personenbezogenen Daten sowie die Systemstrukturen der Software, die mit personenbezogenen Daten umgeht, soll so konzipiert werden, dass die Daten nur im unbedingt erforderlichen Umfang erhoben, verarbeitet oder genutzt werden. § 3a BDSG bezieht sich also vor allem auf den Ausschluss unnötigen Datenerhebung schon auf technischer Ebene.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 134 Rn. 294 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Anonymisieren und Pseudonymisieren

2017-10-11T10:30:08Z

Paul Schiering:

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

== Anonymisieren ==
[https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6 BDSG] definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben
* Var. 1: nicht mehr
* Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.</ref>

Die zweiter Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.</ref>
Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre, als die Wiederherstellung der Daten.<ref>Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.</ref>

== Pseudonymisieren ==
Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6a BDSG] definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.</ref>

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung der Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind.
Was die datenschutzrechtliche Seite angeht, ist dies aber keine so perfekte Lösung. Nach dem relativen Bestimmbarkeitsbegriff sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben anonym, also z. B. dem Prüfer aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass ein hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt also der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis der Studierenden eingeholt werden, der die Arbeit verfasst hat.
Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studenten der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde.
Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studenten zur Veröffentlichung einhohlt, bestenfalls in anonymisierter Form der Arbeit.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer des jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Anonymisieren und Pseudonymisieren

2017-10-11T10:29:40Z

Paul Schiering: Die Seite wurde neu angelegt: „Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen…“

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

== Anonymisieren ==
[https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6 BDSG] definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben
* Var. 1: nicht mehr
* Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.</ref>

Die zweiter Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.</ref>
Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre, als die Wiederherstellung der Daten.<ref>Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.</ref>

== Pseudonymisieren ==
Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 6a BDSG] definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.</ref>

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung der Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind.
Was die datenschutzrechtliche Seite angeht, ist dies aber keine so perfekte Lösung. Nach dem relativen Bestimmbarkeitsbegriff sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben anonym, also z. B. dem Prüfer aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass ein hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt also der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis der Studierenden eingeholt werden, der die Arbeit verfasst hat.
Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studenten der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde.
Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studenten zur Veröffentlichung einhohlt, bestenfalls in anonymisierter Form der Arbeit.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer des jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

Personenbezogene Daten

2017-10-11T09:27:08Z

Paul Schiering:

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das [https://www.gesetze-im-internet.de/bdsg_1990/ Bundesdatenschutzgesetz (BDSG)] in seinem [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1] den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 1 BDSG] auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
=== Exkurs: Relativer Bestimmbarkeitsbegriff ===
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.</ref>

Für den Beispielsfall bedeutet dies, dass im Falle man kann dem Sitzplan nicht mehr habhaft werden, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.

== Besondere Arten personenbezogener Daten ==
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergibt sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch [https://www.gesetze-im-internet.de/bdsg_1990/__3.html § 3 Abs. 9] diese besonderen persönlichen Daten in das [https://www.gesetze-im-internet.de/bdsg_1990/ BDSG] und alle Landesdatenschutzgesetze (z. B. [http://www.landesrecht.sachsen-anhalt.de/jportal/portal/t/ngl/page/bssahprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-DSGST2015pP2#focuspoint § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt]) aufgenommen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.</ref>

Dazu zählen:
* Rassische oder ethnische Herkunft
* Politische Meinungen
* Religiöse oder philosophische Überzeugung
* Gewerkschaftszugehörigkeit
* Gesundheit
* Sexualleben

Um dem Diskriminierungsverbot gerecht zu werden, bedarf es für die Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. [https://www.gesetze-im-internet.de/bdsg_1990/__4a.html § 4a Abs. 3 BDSG] den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.<ref>Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Personenbezogene Daten

2017-10-11T09:08:25Z

Paul Schiering: Paul Schiering verschob die Seite Personenbezogene Daten nach Vorschau:Personenbezogene Daten

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das Bundesdatenschutzgesetz (BDSG) in seinem § 3 Abs. 1 den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom BDSG geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des § 3 Abs. 1 BDSG auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.

Personenbezogene Daten

2017-10-11T09:07:51Z

Paul Schiering: Die Seite wurde neu angelegt: „„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementspreche…“

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das Bundesdatenschutzgesetz (BDSG) in seinem § 3 Abs. 1 den Begriff selbst als:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

== Natürliche Person ==
Wichtig ist zunächst sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.</ref>
So ist die Anschrift einer individuellen Person ein Datum, das vom BDSG geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

== Geschützte Daten ==
Was den Bereich der geschützten Daten angeht ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.</ref>

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.<ref>Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.</ref>

== Bestimmte Person ==
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des § 3 Abs. 1 BDSG auszugehen.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.</ref>

== Bestimmbare Person ==
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
=== Bestimmbarkeit der Person ===
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.</ref>
Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
=== Absoluter Bestimmbarkeitsbegriff ===
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.</ref>
Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.

Rechtsgrundlagen des Datenschutzrechts

2017-10-11T07:13:25Z

Paul Schiering:

An Hochschulen und Universitäten als Körperschaften des öffentlichen Rechts, die also Teil der Landesverwaltung sind, sind grundsätzlich für den Datenschutz das [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=DSG+ST&psml=bssahprod.psml&max=true&aiz=true Landesdatenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA)] und [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST+§+119&psml=bssahprod.psml&max=true § 119 des Hochschulgesetzes des Landes Sachsen-Anhalt (HSG LSA)] relevant.

== Bestimmung der Rechtsgrundlage ==
Wenn unklar ist, welche Rechtsgrundlage einschlägig ist, sind drei Faustformeln zu beachten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 93 f.</ref>
=== Spezialgesetze gehen allgemeineren Bundes- und Landesgesetzes, also meist dem Bundesdatenschutzgesetz (BDSG) oder dem DSG LSA vor. ===
Dies unterstreicht [https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 3 BDSG] selbst. Um zu ermitteln, ob ein Spezialgesetz relevant ist, muss darauf geachtet werden, in welchem Sachbereich die Datenerhebung stattfindet.
Beispielsweise bei Datenerhebungen an Universitäten oder Hochschulen ist das speziell für diesen Bereich erlassen [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST&psml=bssahprod.psml&max=true&aiz=true HSG LSA] einschlägig. Ferner kann bei der Datenerhebung bei der Nutzung bestimmter Medien z. B. des Internets oder der Kommunikation per E-Mail ein Spezialgesetz wie das Telekommunikationsgesetz oder das Telemediengesetz relevant sein.
=== Landesdatenschutzgesetze gehen den Regelungen des Bundesdatenschutzgesetzes vor. ===
[https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 2 Nr. 2 BDSG] legt fest, dass öffentliche Stellen der Länder, also auch die Universität, auf die Regelungen des jeweiligen Landesdatenschutzgesetzes zurückgreifen muss, wenn eine landesrechtliche Datenschutzregelung vorhanden ist. Da es das DSG LSA gibt, ist primär auf diese Regelungen zu achten, bevor das BDSG bemüht wird.
=== Ein Rückgriff auf das BDSG ist nur angezeigt, wenn wirklich keine andere Spezialvorschrift oder landesrechtliche Regelung zu finden ist. ===
Letztlich muss darauf geachtet werden, dass die spezialgesetzliche oder landesrechtliche Vorschrift das datenschutzrechtliche Verhalten auch komplett abdeckt. Sollte ein Aspekt des Sachverhaltes nicht durch speziellere Gesetzes abgedeckt sein, dann muss auf das BDSG zurückgegriffen werden. Jedoch gibt es eine große Vielzahl von landesrechtlichen und spezialrechtlichen Normen, sodass das BDSG nur selten zur Anwendung kommt.
Besonders im universitären Bereich ist die Anwendbarkeit des BDSG sehr unwahrscheinlich.
== Übersicht ==
[[Datei:Rechtsquellenübersicht.jpg|rahmenlos|links]]<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 95 Rn. 201.</ref>{{Absatz}}

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Datei:Rechtsquellenübersicht.jpg

2017-10-11T07:09:18Z

Paul Schiering:

Geschichte des Datenschutzrechts

2017-10-10T13:12:35Z

Paul Schiering: Paul Schiering verschob die Seite Geschichte des Datenschutzrechts nach Vorschau:Geschichte des Datenschutzrechts

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|750 x 550px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, wodurch sich abzeichnete, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des BDSG erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach der Wende ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese wollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde genauer auf das Prinzip der Erforderlichkeit eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Geschichte des Datenschutzrechts

2017-10-10T13:11:51Z

Paul Schiering:

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|750 x 550px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, wodurch sich abzeichnete, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des BDSG erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach der Wende ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese wollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde genauer auf das Prinzip der Erforderlichkeit eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Geschichte des Datenschutzrechts

2017-10-10T13:10:33Z

Paul Schiering: Die Seite wurde neu angelegt: „== Zeitstrahl == links {{Absatz}} == Das erste Datenschutzgesetz der Welt == Vorreiter des Da…“

== Zeitstrahl ==
[[Datei:Zeitstrahl Datenschutzrecht.jpg|600 x 400px|rahmenlos|links]]
{{Absatz}}

== Das erste Datenschutzgesetz der Welt ==
Vorreiter des Datenschutzrechtes war das Land Hessen, welches 1970 mit seinem Landesdatenschutzgesetz das erste Datenschutzgesetz weltweit erließ. Dies war eine Reaktion auf die rapide Entwicklung der EDV in den 60er Jahren, wodurch sich abzeichnete, dass durch die weitere Verarbeitung fast jedes Datum eine gewisse Relevanz und Aussagekraft hat.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 29.</ref>

== Entstehung des Bundesdatenschutzgesetzes und das Volkszählungsurteil ==
Der nächste wesentliche Impuls ging vom Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 aus. Dieses etablierte das Grundrecht auf informationelle Selbstbestimmung, welches nach und nach als zentraler Bestandteil in die jeweiligen Landesdatenschutzgesetze aufgenommen wurde.
Dies machte eine Änderung auch des Bundesdatenschutzgesetzes nötig. So wurde 1990 die zweite Version des BDSG erlassen, die besonders Änderungen im öffentlichen Bereich enthielt, namentlich den Schutz des individuellen Bürgers gegen Informationsansprüche der Verwaltung als Ausdruck des Grundrechts auf informationelle Selbstbestimmung.
Jedoch verlor im folgenden Zeitraum das BDSG immer mehr an Bedeutung, da es hinter bereichsspezifischen Gesetzen zurückzutreten hat. Von diesen bereichsspezifischen Gesetzen traten immer mehr in Kraft. Prominentester Vertreter ist das Telekommunikationsgesetz (TKG) aus dem Jahre 1997 sowie das Telemediengesetz von 2007.<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 32 ff.</ref>

== Datenschutzrecht nach der Wende ==
Seit dem 12. März 1992 hat auch das Land Sachsen-Anhalt sein eigenes Datenschutzgesetz, welches im Einklang mit den vorherigen Entwicklungen im Bereich des Datenschutzes in der BRD erlassen wurde. Gegen Ende des Jahres 1991 und zu Beginn des Jahres 1992 erließen auch die anderen Bundesländer auf dem Gebiet der ehemaligen DDR ihre jeweiligen Datenschutzgesetze. Somit haben mit spätestens Mecklenburg-Vorpommern seit dem 24. Juli 1992 alle Bundesländer ein solches Gesetz erlassen.

== Dritte Fassung des Bundesdatenschutzgesetzes ==
Im Zuge der Umsetzung der Datenschutzrichtlinie 95/46/EG wurde die dritte Fassung des BDSG im Mai 2001 verabschiedet. Diese wollte auf die fortschreitende Verbreitung des Internets und die damit verbundenen erheblichen Risiken für die Sicherheit personenbezogener Daten reagieren.
Ferner wurde genauer auf das Prinzip der Erforderlichkeit eingegangen, indem abgestufte Schutzkonzepte je nach Sensibilität der Daten entwickelt wurden. In diesem Zusammenhang steht auch der explizite Schutz besonders sensibler Daten nach § 3 Abs. 9 BDSG 2001<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 38</ref>

== Novellierungen des Bundesdatenschutzgesetzes ==
Die letzte Entwicklung des BDSG erfolgte durch die drei neuen Novellierungen im Jahre 2009. Die Novellen Eins und Drei fügen §§ 28a und 28b in das BDSG ein. Ersterer beschäftigt sich mit der Übermittlung von Daten aus Auskunfteien wie der SCHUFA. § 28b BDSG beschäftigt sich mit dem Datenschutz beim Kredit-Scoring.
BDSG-Novelle II war hauptsächlich durch eine Reihe von Datenschutzskandalen motiviert und enthält eine Vielzahl unterschiedlicher neuer Regelungen. Dazu zählt der Bereich der Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG), Adresshandel- und Werbung (§ 28 Abs. 3, 3a, 3b) sowie eine verbesserte behördliche Datenschutzkontrolle (§ 38 Abs. 5).<ref>Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 39 f.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Datei:Zeitstrahl Datenschutzrecht.jpg

2017-10-10T13:06:22Z

Paul Schiering:

Datei:Zeitstrahl Datenschutzrecht.pdf

2017-10-10T13:01:58Z

Paul Schiering:

Rechtsgrundlagen des Datenschutzrechts

2017-10-10T12:51:17Z

Paul Schiering: Paul Schiering verschob die Seite Rechtsgrundlagen des Datenschutzrechts nach Vorschau:Rechtsgrundlagen des Datenschutzrechts und überschrieb dabei eine Weiterleitung

An Hochschulen und Universitäten als Körperschaften des öffentlichen Rechts, die also Teil der Landesverwaltung sind, sind grundsätzlich für den Datenschutz das [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=DSG+ST&psml=bssahprod.psml&max=true&aiz=true Landesdatenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA)] und [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST+§+119&psml=bssahprod.psml&max=true § 119 des Hochschulgesetzes des Landes Sachsen-Anhalt (HSG LSA)] relevant.

== Bestimmung der Rechtsgrundlage ==
Wenn unklar ist, welche Rechtsgrundlage einschlägig ist, sind drei Faustformeln zu beachten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 93 f.</ref>
=== Spezialgesetze gehen allgemeineren Bundes- und Landesgesetzes, also meist dem Bundesdatenschutzgesetz (BDSG) oder dem DSG LSA vor. ===
Dies unterstreicht [https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 3 BDSG] selbst. Um zu ermitteln, ob ein Spezialgesetz relevant ist, muss darauf geachtet werden, in welchem Sachbereich die Datenerhebung stattfindet.
Beispielsweise bei Datenerhebungen an Universitäten oder Hochschulen ist das speziell für diesen Bereich erlassen [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST&psml=bssahprod.psml&max=true&aiz=true HSG LSA] einschlägig. Ferner kann bei der Datenerhebung bei der Nutzung bestimmter Medien z. B. des Internets oder der Kommunikation per E-Mail ein Spezialgesetz wie das Telekommunikationsgesetz oder das Telemediengesetz relevant sein.
=== Landesdatenschutzgesetze gehen den Regelungen des Bundesdatenschutzgesetzes vor. ===
[https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 2 Nr. 2 BDSG] legt fest, dass öffentliche Stellen der Länder, also auch die Universität, auf die Regelungen des jeweiligen Landesdatenschutzgesetzes zurückgreifen muss, wenn eine landesrechtliche Datenschutzregelung vorhanden ist. Da es das DSG LSA gibt, ist primär auf diese Regelungen zu achten, bevor das BDSG bemüht wird.
=== Ein Rückgriff auf das BDSG ist nur angezeigt, wenn wirklich keine andere Spezialvorschrift oder landesrechtliche Regelung zu finden ist. ===
Letztlich muss darauf geachtet werden, dass die spezialgesetzliche oder landesrechtliche Vorschrift das datenschutzrechtliche Verhalten auch komplett abdeckt. Sollte ein Aspekt des Sachverhaltes nicht durch speziellere Gesetzes abgedeckt sein, dann muss auf das BDSG zurückgegriffen werden. Jedoch gibt es eine große Vielzahl von landesrechtlichen und spezialrechtlichen Normen, sodass das BDSG nur selten zur Anwendung kommt.
Besonders im universitären Bereich ist die Anwendbarkeit des BDSG sehr unwahrscheinlich.
== Übersicht ==
[[Datei:Rechtsquellenübersicht.pdf|rahmenlos|links]]<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 95 Rn. 201.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}

Rechtsgrundlagen des Datenschutzrechts

2017-10-10T12:08:06Z

Paul Schiering: Paul Schiering verschob die Seite Vorschau:Rechtsgrundlagen des Datenschutzrechts nach Rechtsgrundlagen des Datenschutzrechts und überschrieb dabei eine Weiterleitung

An Hochschulen und Universitäten als Körperschaften des öffentlichen Rechts, die also Teil der Landesverwaltung sind, sind grundsätzlich für den Datenschutz das [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=DSG+ST&psml=bssahprod.psml&max=true&aiz=true Landesdatenschutzgesetz des Landes Sachsen-Anhalt (DSG LSA)] und [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST+§+119&psml=bssahprod.psml&max=true § 119 des Hochschulgesetzes des Landes Sachsen-Anhalt (HSG LSA)] relevant.

== Bestimmung der Rechtsgrundlage ==
Wenn unklar ist, welche Rechtsgrundlage einschlägig ist, sind drei Faustformeln zu beachten.<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 93 f.</ref>
=== Spezialgesetze gehen allgemeineren Bundes- und Landesgesetzes, also meist dem Bundesdatenschutzgesetz (BDSG) oder dem DSG LSA vor. ===
Dies unterstreicht [https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 3 BDSG] selbst. Um zu ermitteln, ob ein Spezialgesetz relevant ist, muss darauf geachtet werden, in welchem Sachbereich die Datenerhebung stattfindet.
Beispielsweise bei Datenerhebungen an Universitäten oder Hochschulen ist das speziell für diesen Bereich erlassen [http://www.landesrecht.sachsen-anhalt.de/jportal/?quelle=jlink&query=HSchulG+ST&psml=bssahprod.psml&max=true&aiz=true HSG LSA] einschlägig. Ferner kann bei der Datenerhebung bei der Nutzung bestimmter Medien z. B. des Internets oder der Kommunikation per E-Mail ein Spezialgesetz wie das Telekommunikationsgesetz oder das Telemediengesetz relevant sein.
=== Landesdatenschutzgesetze gehen den Regelungen des Bundesdatenschutzgesetzes vor. ===
[https://www.gesetze-im-internet.de/bdsg_1990/__1.html § 1 Abs. 2 Nr. 2 BDSG] legt fest, dass öffentliche Stellen der Länder, also auch die Universität, auf die Regelungen des jeweiligen Landesdatenschutzgesetzes zurückgreifen muss, wenn eine landesrechtliche Datenschutzregelung vorhanden ist. Da es das DSG LSA gibt, ist primär auf diese Regelungen zu achten, bevor das BDSG bemüht wird.
=== Ein Rückgriff auf das BDSG ist nur angezeigt, wenn wirklich keine andere Spezialvorschrift oder landesrechtliche Regelung zu finden ist. ===
Letztlich muss darauf geachtet werden, dass die spezialgesetzliche oder landesrechtliche Vorschrift das datenschutzrechtliche Verhalten auch komplett abdeckt. Sollte ein Aspekt des Sachverhaltes nicht durch speziellere Gesetzes abgedeckt sein, dann muss auf das BDSG zurückgegriffen werden. Jedoch gibt es eine große Vielzahl von landesrechtlichen und spezialrechtlichen Normen, sodass das BDSG nur selten zur Anwendung kommt.
Besonders im universitären Bereich ist die Anwendbarkeit des BDSG sehr unwahrscheinlich.
== Übersicht ==
[[Datei:Rechtsquellenübersicht.pdf|rahmenlos|links]]<ref>Kühling/Seidel/Sivridis, Datenschutzrecht, S. 95 Rn. 201.</ref>

== Nachweise ==
<references />

[[Kategorie:Datenschutzrecht]]
{{Disclaimer}}