Zu Hauptinhalt springen
Startseite UR

Datenschutzgrundsätze

Auf dieser Seite möchten wir Ihnen erläutern, welchen Zweck der Datenschutz verfolgt, welche gesetzlichen Regelungen es dafür gibt und wie sich diese Regelungen konkret auswirken.

Die folgenden Informationen im Fließtext können Sie hier auch im PDF-Format abrufen: 


1. Was ist Zweck des Datenschutzes?

Zweck des Bayerischen Datenschutzgesetzes (BayDSG) ist es, die Einzelnen davor zu schützen, dass sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht (Recht auf informationelle Selbstbestimmung) beeinträchtigt werden (Art. 1 BayDSG). Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Art 5 BayDSG, Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.


2. Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffener). Damit sind auch Daten gemeint, durch die indirekt auf eine Person geschlossen werden kann. Beispiele für personenbezogene Daten sind:

  • Name, Geburtsdatum, Alter, Familienstand
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Personalausweisnummer, Sozialversicherungsnummer
  • Notenaushänge, Matrikelnummern, Teilnehmerlisten, Geburtstagslisten
  • Prüfungen und Prüfungsergebnisse
  • Bildungsstand, Kenntnisse, Fähigkeiten, Erfahrungen
  • Werturteile, Bewertungen und Meinungsäußerungen

Besonders geschützt sind sensible personenbezogene Daten. Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Daten über Gesundheit oder Sexualleben.


3. Wann ist die Erhebung personenbezogener Daten erlaubt?

a) Datenschutzrechtlich gilt das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten ist, es sei denn es liegt eine Erlaubnis vor durch

  • eine gesetzliche Rechtsgrundlage (insbes. BayDSG oder vorrangige Spezialgesetze wie Bayerisches Hochschulgesetz, Telemediengesetz oder Telekommunikationsgesetz) oder
  • eine rechtswirksame Einwilligung des Betroffenen.

b) Die allgemeine Rechtsgrundlage der Art 15, 16 BayDSG kommt zur Anwendung, sofern kein vorrangiges Spezialgesetz einschlägig ist. Sie setzt voraus, dass die Erhebung der Daten erforderlich ist für den bestimmten Zweck der Erfüllung einer konkreten gesetzlichen Aufgabe der Universität.

Bei Erteilung einer Einwilligung ist der Betroffene hinreichend zu informieren über den Zweck der Erhebung, Verarbeitung und Nutzung seiner Daten, die Empfänger vorgesehener Datenübermittlungen, die Freiwilligkeit der Einwilligung bzw. die Rechtsfolgen einer Verweigerung der Einwilligung (sog. informierte Einwilligung). Voraussetzung für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Die Einwilligung ist grundsätzlich schriftlich zu erteilen. Im Falle einer ausnahmsweise nach Telemediengesetz zulässigen elektronischen Einwilligung sind umfangreiche weitere Voraussetzungen zu beachten. Die Beachtung der vorstehenden Anforderungen ist erforderlich, damit die Einwilligung rechtswirksam ist.


4. Welche Grundsätze sind bei Erhebung/Verarbeitung zu beachten?

a) Das Gebot der Datensparsamkeit verlangt, dass nur so wenige Daten wie für den bestimmten Zweck zwingend benötigt erhoben werden und dass die Daten gelöscht werden, sobald sie für den konkreten Zweck nicht mehr benötigt werden.

b) Das Prinzip der Direkterhebung bedeutet, dass die Daten grundsätzlich beim Betroffenen direkt zu erheben sind. Ausnahmen sind gesetzlich geregelt.

c) Das Gebot der Zweckbindung bedeutet, dass die erhobenen Daten nur für den in der gesetzlichen Rechtsgrundlage oder in der Einwilligung vorgesehenen Zweck verwendet werden dürfen. Eine Nutzung der Daten für weitere Zwecke ist grundsätzlich unzulässig. Ausnahmen sind gesetzlich geregelt.

d) Bei der Verarbeitung von personenbezogenen Daten in einem automatisierten Verfahren (d. h. mittels elektronischer Datenverarbeitung) sind angemessene technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen. Diese dienen der Erreichung folgender Schutzziele:

  • Vertraulichkeit, d.h. nur Befugte dürfen Kenntnis nehmen.
  • Integrität, d.h. die Daten müssen unversehrt, vollständig und aktuell bleiben.
  • Verfügbarkeit, d.h. Daten müssen zeitgerecht zur Verfügung stehen.
  • Authentizität, d.h. es sind geeignete Maßnahmen zu treffen, damit die Datenherkunft ermittelt werden kann, insbesondere bei Datenweiterleitung.

e) Rechtzeitig vor dem erstmaligen Einsatz eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten ist eine datenschutzrechtliche Freigabe bei der Datenschutzbeauftragten der Universität zu beantragen. Die Einholung der datenschutzrechtlichen Freigabe sowie die Einhaltung des Datenschutzes obliegen dem Leiter der Organisationseinheit, welche die automatisierte Datenverarbeitung veranlasst (z. B. Leiter zentrale Einrichtung, Lehrstuhlinhaber, Abteilungsleiter der Universitätsverwaltung etc.). Sollten sich an einem bereits freigegebenen Verfahren wesentliche Änderungen ergeben, so ist eine erneute datenschutzrechtliche Freigabe erforderlich. Sämtliche freigegebenen automatisierten Verfahren der Universität Regensburg werden in einem Verfahrensverzeichnis geführt, das bei der Datenschutzbeauftragten eingesehen werden kann. Das Formular „Freigabeantrag/ Verfahrensbeschreibung“ zur Beantragung einer datenschutzrechtlichen Freigabe“ ist auf der Homepage der Universität auf den Seiten der Datenschutzbeauftragten abrufbar.


5. Welche gesetzlichen Rechte haben die Betroffenen?

  • Auskunft über gespeicherte personenbezogene Daten gemäß Art. 10 BayDSG
  • Berichtigung, Sperrung und Löschung gemäß Art. 11, 12 BayDSG
  • Einsichtnahme in das Verfahrensverzeichnis gemäß Art. 27 Abs. 3 BayDSG
  • Anrufung der Landesbeauftragten für den Datenschutz gemäß Art. 9 BayDSG
  • Schadensersatzanspruch gemäß Art. 14 BayDSG

6. Welche Folgen können Verstöße gegen den Datenschutz haben?

Jede Organisationseinheit der Universität hat bei der Wahrnehmung ihrer Aufgaben jeweils die gesetzlichen Regelungen des Datenschutzes zu beachten. Verstöße gegen die gesetzlichen Regelungen des Datenschutzes können zu Beanstandungen durch den Bayerischen Landesdatenschutzbeauftragten, Geldbußen sowie Schadensersatzansprüchen führen.


7. Was muss ich bei der Veröffentlichung von Daten beachten?

Die Veröffentlichung von personenbezogenen Daten ist nur aufgrund einer gesetzlichen Rechtsgrundlage, welche die Veröffentlichung erlaubt, oder auf Grundlage einer freiwilligen, informierten Einwilligung des Betroffenen zulässig. Die Einwilligung ist grundsätzlich schriftlich zu erteilen. Insbesondere Fotos dürfen
nicht ohne rechtswirksame Einwilligung des Betroffenen angefertigt bzw. veröffentlicht werden.


8. Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten sind zu löschen, sobald sie für den in der gesetzlichen Rechtsgrundlage oder in der Einwilligung vorgesehenen Zweck nicht mehr erforderlich sind. Die Löschfrist richtet sich somit nach der Zweckbestimmung. Beim Einsatz von automatisierten Verfahren zur Verarbeitung personenbezogener Daten
sind entsprechende Löschfristen im Formular „Freigabeantrag/ Verfahrensbeschreibung“ (siehe dazu 4.e) zu benennen.

  1. Universität

Behördlicher Datenschutzbeauftragter

 

Daten-2
Kontakt

Jan von Hassel
Universität Regensburg
93040 Regensburg
Telefon 0941 943-5373
E-Mail