Datenschutz-Grundlagen

Grundsätzlich gilt: Immer wenn personenbezogene Daten verarbeitet werden sollen, müssen die Regelungen des Datenschutzes beachtet werden.
Einschlägige Regelungen im Datenschutzrecht sind im Wesentlichen:

• die Europäische Datenschutz-Grundverordnung DSGVO, die seit dem 25. Mai 2018 europaweit anwendbar ist

• das Bundesdatenschutzgesetz (BDSG) sowie im Freistaat Bayern das Bayerische Datenschutzgesetz (BayDSG)

• weitere sog. bereichsspezifische Gesetze (z.B. die Sozialgesetzbücher)

Die DSGVO beschreibt personenbezogene Daten in Art. 4 Nr. 1 DSGVO als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, wenn die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung, oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das sind also unter anderem:

• Name, Geburtsdatum und -ort, Geschlecht, Alter

• Kontaktdaten wie Anschrift, E-Mail Adresse, Telefonnummer

• Eindeutig zugeordnete Identifikationskennzeichen wie Personalausweis-, Sozialversicherungs-, oder Matrikelnummer

• Ebenso wie beispielsweise Kfz-Kennzeichen, IP-Adressen, Fingerabdrücke, Augenfarbe, Prüfungsergebnisse, Kontodaten, usw.

Der Begriff Verarbeitung beschreibt gem. Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Ein wichtiges Grundprinzip des Datenschutzes ist das sog. Verbot mir Erlaubnisvorbehalt². Das bedeutet: Die Verarbeitung von personenbezogenen Daten ist grundsätzlich erstmal verboten und wird nur dann rechtmäßig, wenn³

• sie durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet wird (Die Verarbeitung kann beispielsweise zulässig sein, wenn die sie notwendig ist, um lebenswichtige Interessen der betroffenen Person zu schützen, 
Art. 6 Abs. 1 S. 1 lit. d DSGVO, oder um eine Aufgabe wahrnehmen zu können, die im öffentlichen Interesse liegt, Art. 6 Abs. 1 S. 1 lit. e DSGVO) oder

• eine Einwilligung durch die betroffene Person vorliegt

Die Einwilligung stellt für Praxisprojekte und Umfragen im Rahmen des Studiums, bei denen personenbezogene Daten verarbeitet werden sollen, den in der Regel relevanteren Fall der Legitimation dar. Weitere Informationen zur datenschutzrechtlichen Einwilligung finden Sie hier.

Unabhängig von der Frage, auf welcher Grundlage (ob durch Einwilligung oder andere Legitimationsform) personenbezogene Daten verarbeitet werden, müssen die in 
Art. 13 DSGVO festgelegten Informationspflichten erfüllt werden. Der betroffenen Person müssen demnach – auch wenn es sich um Foto- oder Videoaufnahmen handelt – mindestens folgende Informationen zur Verfügung gestellt werden:

• Welche personenbezogenen Daten sollen verarbeitet werden?

• Zu welchem Zweck sollen diese Daten verarbeitet werden?

• Wer ist der Verantwortliche / Ansprechpartner / zuständige Datenschutzbeauftragte?

• Werden die erhobenen Daten weitergegeben? Wenn ja: An wen? (Falls eine Übermittlung der Daten an ein Drittland oder eine internationale Organisation weitergegeben vorgesehen ist, ist dies ebenfalls ausdrücklich anzugeben)

• Wie lange sollen die Daten gespeichert werden?

• Hinweis auf die Betroffenenrechte: Auskunft, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerde bei der zuständigen Aufsichtsbehörde (in Bayern: Bayerisches Landesamt für Datenschutzaufsicht)

• Hinweis auf das Recht die Einwilligung jederzeit zu widerrufen

Wenn geplant ist, die personenbezogenen Daten zu veröffentlichen, ist es im Zuge einer transparenten Kommunikation außerdem angebracht, einen Hinweis zur Tragweite der Veröffentlichung zu geben. Sollen die Fotos oder Videos beispielsweise im Internet öffentlich zugänglich gemacht werden, kann dies durch einen Hinweis auf die zeitlich und örtlich unbeschränkte Abrufbarkeit der Daten geschehen.

All diese Informationen und Hinweise müssen den betroffenen Personen gem. Art. 12 Abs. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Das kann entweder schriftlich oder in anderer Form (z.B. elektronisch) geschehen.