Befugnis zur Verarbeitung personenbezogener Daten

Wer darf überhaupt personenbezogene Daten verarbeiten - und unter welchen Voraussetzungen?

Ist das Sammeln und Verbreiten von Daten durch eine öffentliche Stelle wie der TU Braunschweig nach den unter "Rechtsgrundlagen für eine Verarbeitungstätigkeit" genannten Bedingungen zulässig, muss sie jedoch auch den Datenschutz gewährleisten und dies jederzeit nachweisen können. Das bedeutet:

  • Die Mitarbeiterinnen und Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen über das Datengeheimnis belehrt werden und bedürfen einer datenschutzrechtlichen Schulung im Umgang mit den Datensätzen.
  • Die Weitergabe personenbezogener Daten an Dritte ist grundsätzlich - und ohne Zustimmung des Betroffenen - nicht zulässig. Ist es in Ausnahmefällen gestattet, muss die Übermittlung verschlüsselt sein, und die Daten müssen abgetrennt voneinander übermittelt werden. So soll am Ende zunächst das unrechtmäßige Abgreifen verhindert, zum anderen aber auch unterbunden werden, dass Datensammlungen zu einer Person zu viele Informationen über den Betroffenen preisgeben.
  • Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und hochwirksame Maßnah­men zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall usw.). Unter Umständen müssen die Stellen personenbezogene Daten auch pseudonymisieren oder sogar anonymisieren, also jegliche Beziehbarkeit zu einer bestimmten oder bestimmbaren Person aufheben.
  • Die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder gesperrt und vor einem weiteren Zugriff geschützt werden.
  • Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig, sobald die Daten nicht mehr benötigt werden bzw. die Zweckgebundenheit aufgelöst ist.

Gemäß Art. 5 Abs. 1 EU-DSGVO (Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten) müssen personenbezogene Daten

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in
einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen
nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise
weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1
nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind
alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten,
die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich
gelöscht oder berichtigt werden ("Richtigkeit");

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen
Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet
werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert
werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung
geeigneter technischer und organisatorischer Maßnahmen, die von dieser
Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person
gefordert werden, ausschließlich für im öffentlichen Interesse liegende
Archivzwecke oder für wissenschaftliche und historische Forschungszwecke
oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden
("Speicherbegrenzung");

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete
technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit").

Dabei sind gemäß Art. 5 Abs. 1 EU-DSGVO die jeweils für die Verarbeitung Verantwortlichen - d.h. die Leitung der TU Braunschweig bzw. die durch sie mit den entsprechenden Aufgaben und Pflichten Beauftragten - für die Einhaltung des Absatzes 1 verantwortlich und müssen dessen Einhaltung jederzeit nachweisen können ("Rechenschaftspflicht").


Glossar