Datenschutzrechtliche Rahmenbedingungen für Online-Dienste in Lehre & Forschung

Wir erläutern, welche Dinge bei der datenschutzkonformen Nutzung von Online-Diensten an der TU Berlin bedacht werden sollten. Der Fokus liegt in diesem Beitrag auf deren Nutzung im Rahmen von Lehre & Forschung.

Es geht beim Datenschutz ausschließlich um die Verarbeitung personenbezogener Daten, wie z.B. Accounts, Namen und E-Mail-Adressen. Jedoch zählen auch Geräte-, Werbe- oder andere IDs dazu, z.B. MAC- und IP-Adressen. Daher verarbeitet jede Webseite und jeder Online-Dienst personenbezogene Daten.

Rechtsgrundlagen

Zentral ist die Datenschutz-Grundverordnung (DSGVO), die ergänzt wird durch das Bundesdatenschutzgesetz (BDSG) oder die jeweilign Landesdatenschutzgesetze; in Berlin ist es das Berliner Datenschutzgesetz.

Rechtmäßig ist die Verarbeitung von personenbezogenen Daten durch Software oder Online-Diensten nur dann, sofern eine der insgesamt sechs Rechtsgrundlagen nach Artikel 6 Abs. 1 Satz 1 Buchstaben a-f DSGVO zugrunde gelegt werden können.

Davon hängt ab, welche Anforderungen an die Software gestellt werden müssen.

Hierbei muss in der Regel nach Nutzergruppen differenziert werden.

Für die Nutzung von Software im Rahmen universitärer Lehre & Forschung heißt das:

  • Für verpflichtende Lehrinhalte kommt bei allen konsekutiven Studiengängen beispielsweise nur Buchstabe e in Verbindung mit der jeweils einschlägigen Rechtsgrundlage in Frage, da die Lehre und Grundlagenforschung eine hoheitliche Aufgabe der Universität darstellt.
  • Für zusätzliche Inhalte, kann ggf. eine informierte Einwilligung nach Buchstabe a erfolgen oder auf ein berechtigtes Interesse nach Buchstabe f abgestellt werden.
  • Für Beschäftigte, Honorarkräfte und andere vertraglich Beauftragte kann wiederum Buchstabe b herangezogen werden, sofern die Nutzung im Rahmen des Arbeitsverhältnisses bzw. Vertrages stattfindet.
  • Für Hochschulmitglieder, die nach dem BerlHG verpflichtend unentgeltlich Lehr- oder Forschungstätigkeiten (wie PD*in, apl. Prof*in) erbringen kommt Buchstabe e in Betracht.
  • Für Teilnehmer*innen von Bezahlstudiengängen und Weiterbildungen, die einen Vertrag mit der TU Berlin abgeschlossen haben, ist Buchstabe  b anwendbar.
  • Für sonstige Personen, beispielsweise Gäste, die den Dienst freiwillig nutzen möchten, kann eine informierte Einwilligung nach Buchstabe a oder ein berechtigtes Interesse nach Buchstabe f zugrunde gelegt werden.

Ein „berechtigtes Interesse nach Buchstabe f sowie eine “informierte Einwilligung nach Buchstabe a kann nicht Grundlage sein, wenn hoheitliche Aufgaben verfolgt werden. In diesem Fall gilt ausschließlich Buchstabe e.

Gut zu wissen:

Eine Einwilligungslösung nach Artikel 6 Abs. 1 lit. a DSGVO ist nicht generell zulässig.

Für eine Einwilligung besteht im Rahmen der Wahrnehmung hoheitlicher Aufgaben kein Raum. Insofern müssen immer auch die einschlägigen Rechtsgrundlagen angegeben werden, auf denen die Verarbeitung der personenbezogenen Daten beruht, für die TU Berlin kommen beispielsweise in Frage:

  • das Berliner Hochschulgesetz (BerlHG), insbesondere die §§ 6, 6a  iVm § 4 (Aufgaben der HS)
  • die Berliner Studierendendatenverordnung (StudDatVO) sowie
  • Satzungen und Prüfungsordnungen der TU Berlin wie die Ordnung zur Regelung des allgemeinen Studien- und Prüfungsverfahrens der TU Berlin (AllgStuPO).

Bei der Umsetzung ist immer zu beachten, dass der Umfang der verarbeiteten Daten notwendig, geeignet und angemessen ist, d.h. das nur diejenigen Daten verarbeitet und ggf. an Dritte weitergegeben werden, die zur Erbringung des Dienstes maximal erforderlich sind. Auch die Speicher- und Löschfristen sind nach den gesetzlichen Vorgaben auszurichten.

Zweckbindung und Datenweitergabe

Die Zwecke der Datenverarbeitung müssen detailliert benannt und mit der jeweiligen Rechtsgrundlage begründet werden. Die Rechtmäßigkeit nach Artikel 6 Abs. 1 Satz 1 Buchstaben a-f DSGVO ist dabei korrekt anzugeben.

Eine Weitergabe personenbezogener Daten an Dritte muss benannt und begründet werden, und ist ohne entsprechende Rechtsgrundlage unzulässig. Insbesondere kann wie oben beschrieben nicht grundsätzlich auf eine Einwilligungslösung nach Buchstabe a abgestellt werden, beispielsweise für verpflichtende Lehrinhalte.

Datenschutzfolgeabschätzung

Die Verarbeitung personenbezogener Daten besonderer Kategorien setzt zwingend die Durchführung einer Datenschutzfolgeabschätzung voraus. Dabei führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Personenbezogene Daten besonderer Kategorien sind nach Art. 9 DSGVO:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische sowie biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Technische und organisatorische Maßnahmen (TOMs)

Die Verantwortlichen setzen geeignete technische und organisatorische Maßnahmen um, die sowohl den ordnungsgemäßen Betrieb sicherstellen als auch den Zugang und Zugriff auf (physische) Systeme und Datenbestand auf den erforderlichen qualifizierten Personenkreis beschränken, insbesondere für die Administration der Software. Der Zugriff darf ausschließlich durch berechtigte Personen erfolgen.

Wichtig ist auch die Aufschlüsselung, welcher Nutzerkreis einer Software auf welche personenbezogenen Daten Zugriff hat. Bei der Umsetzung der Rechte und Rollen ist darauf zu achten, dass nur berechtigte Personen Zugriff auf einzelne Datensätze haben dürfen.

Auftragsdatenverarbeitung durch externe Dienstleister

Sofern externe Dienstleister mit der Umsetzung des Betriebs oder der Betreuung einer Software beauftragt werden, ist ein Vertrag zur Auftragsdatenverarbeitung (AVV) einschließlich o.g. TOMs abzuschließen. Hierbei ist auf die Gewährleistung des Datenschutzes besonderes Augenmerk zu setzen. Das Team Datenschutz hat einen Muster-AVV erarbeitet, der gern dafür genutzt werden kann.

Bei Online-Tools mit Einbindung US-amerikanischer Dienste ist es zwingend notwendig, zusätzliche Maßnahmen „supplementary measures“ zu vereinbaren, die einen Schutz der personenbezogenen Daten sicherstellen. Dieses hat ergänzend zum Auftragsverarbeitungsvertrag und den Standardvertragsklauseln entsprechend der Empfehlungen des Europäischen Datenschutzausschusses und der deutschen Aufsichtsbehörden zu erfolgen.

Datenschutzerklärung

Für jeden an der TU oder im Auftrag der TU betriebenen Online-Dienst ist eine detaillierte Datenschutzerklärung durch die Verantwortlichen zu erarbeiten und zu verlinken, diese muss aktuell sowie vollständig sein. Zudem sollte sie für die Nutzenden leicht verständlich sein. Das Team Datenschutz unterstützt die Verantwortlichen bei der Ausarbeitung.

Datenschutzrechtliche Prüfung und Beteiligung der Personalräte

Das Team Datenschutz prüft IT-Verfahren im Rahmen ihrer Beratungs- und Überwachungsaufgaben nach Art 39 DSGVO.

An der TU wird diese Prüfung i.d.R. als Vorstufe des ebenfalls entsprechend den Regelungen des Personalvertretungsgesetzes gesetzlich vorgeschriebenen Mitbestimmungsantrages an die zuständigen  Personalräte (Personalrat der TU und  Personalrat der studentischen Beschäftigten (PRSB))  durchgeführt.

Update am 20. Mai

Einige Formulierungen wurden klarer gefasst. Zusätzliche Abschnitte zur Datenschutzfolgenabschätzung und Auftragsdatenverarbeitung sowie zu TOMs wurden ergänzt.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert