FAQ Datenschutz

Was bedeutet DS-GVO und inwiefern ist sie für die Lehre wichtig?

DS-GVO ist die Abkürzung für die Datenschutz-Grundverordnung, welche im Mai 2018 eingeführt wurde. Sie gilt bei jeglicher Datenverarbeitung in der EU bzw. wenn Daten von EU-Bürgern ins Ausland übermittelt werden z.B. bei der Verwendung von ausländischen Servern / Software. Vereinfacht dargestellt, betrifft das jede Verarbeitung personenbezogener Daten zu nicht persönlichen oder familiären Zwecken.

Auch Hochschulen und Universitäten unterliegen als Wissenschafts- und Verwaltungseinrichtungen der
DS-GVO. Insbesondere bei der Nutzung digitaler Lehrmethoden können eine Vielzahl von Daten, sowohl von Studierenden als auch von Lehrenden erhoben werden. Viele dieser Daten können direkt/unmittelbar oder durch Kombination miteinander bestimmten Personen zugeordnet werden.

Diese personenbezogenen Daten sind durch die DS-GVO besonders geschützt. In der Lehre ist daher unbedingt dafür Sorge zu tragen, dass diese sensiblen Daten vor unbefugten Zugriffen geschützt sind.

Was sind personenbezogene Daten?

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen."

Wann ist eine Person „identifizierbar“ bzw. „bestimmbar“?

Hinsichtlich dieser Frage sollen alle Möglichkeiten berücksichtigt werden, die genutzt werden können, um die natürliche Person mit nicht unverhältnismäßigem Aufwand zu identifizieren. Ob der Identifizierungsaufwand unverhältnismäßig ist, ist anhand objektiver Faktoren wie Kosten, Zeitaufwand oder verfügbarer Technologie zu beurteilen. Als verhältnismäßige Möglichkeiten gelten, z.B. das Ziehen von Umkehrschlüssen, die Kombination von Informationen oder die Nutzung einer Suchmaschine.

Somit stellt beispielweise die E-Mail-Adresse eines Studierenden an der JGU eine personenbezogene Information dar, da sich diese aus dem Anfangsbuchstaben des Vornamens und einem Teil des Nachnamens zusammensetzt und sich so durch Rückschlüsse und geringen Aufwand die zugehörige Person identifizieren lässt. Klarnamen, Matrikelnummern und unter gewissen Umständen auch IP-Adressen reichen ebenso aus, um die dazugehörige Person durch einfache Recherche identifizieren zu können.

Anders verhält sich das bei nicht personengebundenen Funktions-E-Mail-Adressen von Studienbüros und anderen Einrichtungen. Hier reicht die E-Mail-Adresse nicht aus, um die entsprechende Person eindeutig zu bestimmen. Die bloße Nennung eines Vornamens oder des Anfangsbuchstabens in Bezug auf eine hinreichend große Gruppe stellt ebenso grundsätzlich keinen konkreten Bezug zu einer natürlichen Person her. Allerdings kann in einer Kleingruppe oder bei seltenen Namen mit ungewöhnlichen Anfangsbuchstaben bereits eine Nennung des Anfangsbuchstabens zur klaren Identifizierung der Person führen.

Wie prüfe ich die DS-GVO-Konformität neuer Tools?

Ich möchte ein neues Tool in der Lehre ausprobieren. Wie finde ich heraus, ob es DS-GVO-konform ist?

Die Überprüfung digitaler Tools auf DS-GVO-Konformität ist ein sehr aufwändiger und aufgrund der stetigen Veränderung von Software fortlaufender Prozess.

Daher sollten nur ausdrücklich freigegebene Tools verwendet werden. Diese sind von der zuständigen Stelle für Datenschutz geprüft und rechtlich abgesichert. Falls zusätzliche Tools verwendet werden sollen, steht das Kompetenzteam Digitale Lehre gerne als Ansprechpartner bereit.

Aufbewahrung von Lehrmaterial und Leistungsdaten 

Wie sichere ich den privaten PC, wo darf ich welche Art von Dateien ablegen?

Grundsätzlich gilt es immer zu klären, welche Art von Daten wo abgelegt werden soll. Beinhalten Dokumente personenbezogene Daten, ist sicherzustellen, dass diese entsprechend geschützt sind. Unabhängig vom Speicherort empfiehlt es sich, besonders sensible Dokumente oder Ordner mit einem Passwort zu verschlüsseln.

Cloud-Dienste:

Insbesondere bei Cloud-Diensten, wie beispielsweise Dropbox, One-Drive oder Google-Drive gibt es datenschutzrechtliche Bedenken. Da diese ggf. in Drittländern gehostet werden bzw. ausländischer Gesetzgebung unterfallen, wenn sie von Nicht-EU Unternehmen betrieben werden und so eine DS-GVO Konformität nicht immer gewährleistet ist.

Dokumente, die personenbezogene Daten beinhalten, sollten daher unbedingt nur auf geprüften Laufwerken/Clouddiensten abgelegt werden. Die JGU bietet für diese Zwecke Seafile an, welches auf JGU Servern gehostet wird und ausschließlich über die Browserversion genutzt werden soll. Bezüglich der Speicherung von Daten und Dokumenten, die ohnehin zur Veröffentlichung vorgesehen sind (z.B Pressebilder oder Lehrmaterialien), bestehen keine datenschutzrechtlichen Bedenken.

Bei Lehrmaterialen ist darauf zu achten, dass es sich nicht um Aufnahmen von Lehrveranstaltungen handelt, bei denen Studierende zu erkennen sind.

Bei Fragen können Sie sich jederzeit an das Kompetenzteam Digital Lehre wenden.

Ist bei Aufzeichnungen eine Einverständnis der Teilnehmenden nötig?

Muss ich das Einverständnis der Teilnehmenden einholen, wenn ich mein Online-Seminar aufzeichnen will?

Ja, es muss unbedingt das Einverständnis der Teilnehmenden eingeholt werden, bevor Online-Konferenzen mit Bild und/oder Ton aufgenommen werden. Hier greift das allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Abs.1 GG. Es ist daher nicht erlaubt, das nichtöffentlich gesprochene Wort anderer unbefugt aufzunehmen. Eine Ausnahme gilt dann, wenn die Aufzeichnung sich ausschließlich auf Ton und Bild des aufzeichnenden Lehrenden bezieht, wenn also Teilnehmende zu keinem Zeitpunkt mit Bild, Ton oder Namen aufgezeichnet werden.

Aufzeichnungen von Videokonferenzen, Webinaren u.ä.: Es ist nicht erlaubt, das nichtöffentlich gesprochene Wort anderer unbefugt aufzunehmen oder zu veröffentlichen (§ 201 Abs. 1 Nr. 1 StGB). Durch das "Allgemeine Persönlichkeitsrecht" besitzt eine Person das Recht am eigenen, gesprochenen Wort und am eigenen Bild. Die Aufzeichnung ohne die Zustimmung der Beteiligten ist deshalb rechtswidrig. Es kann empfehlenswert sein, die Teilnehme zu Beginn einer Online-Veranstaltung darauf aufmerksam zu machen.

Quelle: Leuphana Universität Lüneburg

Wann darf ich personenbezogene Daten verarbeiten?

Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten unzulässig, sofern keine Erlaubnis vorliegt. Diese Erlaubnis kann aus einer anwendbaren Rechtsvorschrift (Gesetz, Satzung, Hochschulordnung, Prüfungsordnung etc. oder einer Einwilligungserklärung) stammen.

Ob das jeweilige Vorhaben durch Rechtsvorschriften abgedeckt ist, muss im Einzelfall geprüft werden, ansonsten bedarf es einer Einwilligungserklärung.

Einwilligungen sind ein gesetzlich anerkanntes Mittel, um rechtssicher personenbezogene Daten von Mitgliedern der Universität oder Externen mangels gesetzlicher Ermächtigungsgrundlage zu erheben oder zu verarbeiten. Eine Einwilligung kann zum Beispiel zu folgenden Zwecken verwendet werden:

• Foto- oder Videoaufnahmen von Personen
• Versand von Massen-E-Mails und Newslettern
• Veranstaltungsanmeldungen
• Befragungen

Allerdings kann diese Einwilligung auch jederzeit widerrufen werden, sodass ab dem Widerrufszeitpunkt eine Verarbeitung der personenbezogenen Daten grundsätzlich nicht mehr zulässig ist.

Was muss ich beim Einholen der Einwilligungserklärung beachten?

Es muss sichergestellt werden, dass die Einwilligung durch eine eindeutige Handlung abgegeben wurde. Eine Einwilligung kann entweder in elektronischer oder Papierform  erfolgen.

Bedingungen für die Einwilligung: Freiwilligkeit und Transparenz (vgl. Art 7 Abs. 2, 4 DS-GVO)

Einwilligungen sind nur freiwillig und ohne Zwang wirksam. Dies bedeutet vor allem, dass niemand durch die Verweigerung einer Einwilligung einen Nachteil erfahren darf. Die Einwilligung muss kenntlich und zugänglich sein, sie darf nicht in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen.

Zweckbestimmung (vgl. Art. 6 Abs. 1 lit. a) DS-GVO)

Formulieren Sie ihre Einwilligung so, dass eindeutig klar ist, für welchen Zweck Sie die personenbezogenen Daten erheben und verarbeiten. Werden diese für mehrere Zwecke verwendet, so müssen diese immer alle angegeben werden. Es muss diesen einzeln zugestimmt werden können.

Seitens der Universität steht ein Musterformular zur Abgabe der Einwilligungserklärung bereit.

Formulierung (vgl. Art. 7 Abs. 2 DS-GVO)

Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form verfasst sein. Nutzen Sie möglichst keine Fachsprache oder Fremdwörter. Die Einwilligung sollte von jeder betroffenen Person verstanden werden.

Muss ich die Einwilligung nachweisen können? (vgl. Art. 7 Abs.1 DS-GVO)

Der Verantwortliche muss für die Verarbeitung personenbezogener Daten eine Einwilligung des Betroffenen nachweisen können. Dazu müssen in der Regel folgende Daten dokumentiert werden:

• Zweck der Verarbeitung
• Datum der abgegebenen Einwilligung
• Name (ggf. auch Name des Erziehungsberechtigten)

Kann eine Einwilligungserklärung widerrufen werden? (vgl. Art. 7 Abs. 3 DS-GVO)

Die Einwilligung kann jederzeit widerrufen werden. Betroffene müssen darüber immer schriftlich vor der Abgabe einer Einwilligung informiert werden. Die Information, an wen der Widerruf zu richten ist, kann entweder Bestandteil der Einwilligung selbst sein oder in die Datenschutzerklärung mit aufgenommen werden. Diese Information muss aber für die Betroffenen leicht und ohne Umwege anderer Medien zugänglich sein.

Seitens der Universität steht ein Musterformular zur Abgabe der Einwilligungserklärung bereit.

Kann ich die Studierenden zwingen ihre Kamera bei Wortbeitrag anzuschalten?

Grundsätzlich kann es keinen Zwang zum Einschalten der Kamera geben, außer es handelt sich um eine Pflichtveranstaltung und die Datenverarbeitung ist erforderlich. Dies liegt z.B. bei einer mündlichen Prüfung vor.

Darf ich jede mögliche Videokonferenz-Software nutzen?

...auch Tools wie Zoom, Webex, Jitsi etc.?

Im Lehrbetrieb der JGU dürfen nur Online-Dienste verwendet werden, die durch das ZDV geprüft und freigegeben wurden. Eine Verwendung nicht freigegebener Tools birgt die Gefahr einer Datenschutzverletzung. Bei Zoom gibt es aufgrund datenschutzrechtlicher Bedenken aktuell keine Freigabe für den Lehrbetrieb. Verwenden Sie daher bitte nur die freigegebenen Tools (Whitelist).

Gibt es Transparenz beim Datenschutz bei Skype for Business?

Skype for Business wird an der JGU auf den eigenen Servern des ZDV betrieben, sodass keine Datenübermittlung in Drittstaaten stattfindet und der Einsatz datenschutzkonform ist.
Weitere Informationen finden sich in der Datenschutzerklärung von Skype for Business.  

Dürfen mündliche Prüfungen über Skype for Business oder Teams stattfinden?

Skype for Business:

Skype for Business ist für den Lehrbetrieb an der JGU aufgrund der verwendeten eigenen JGU Server uneingeschränkt freigegeben, daher dürfen auch mündliche Prüfungen über Skype for Business abgehalten werden.

Microsoft Teams:

Microsoft Teams verwendet, anders als Skype for Business keine JGU Server, sondern die Microsoft Teams Cloudserver. Dadurch bestehen aktuell noch Bedenken hinsichtlich der Datenschutzkonformität und es existiert noch keine uneingeschränkte Freigabe für die Verwendung im Lehrbetrieb für MS Teams.

Besonders in sensiblen Situationen, wie beispielsweise einer mündlichen Prüfung, empfehlen wir die Verwendung von uneingeschränkt freigegebenen Tools, wie z.B. BigBlueButton oder Skype for Business, wenn dies kapazitär möglich ist.

Ist es zulässig Studierende bei Fernprüfungen technisch zu überwachen (Online Proctoring)?

Das Thema Online-Proctoring ist juristisch noch umstritten, sodass davon abgeraten wird die entsprechende Technik zur Prüfungsüberwachung einzusetzen und alternative Prüfungsformate wie beispielsweise Open-Book Klausuren oder Hausarbeiten zu wählen sind. Das Ministerium für Wissenschaft, Weiterbildung und Kultur plant mit einer Landesverordnung für elektronische Prüfungen eine Rechtsgrundlage zu schaffen. Dort wird das weitere Vorgehen bzw. die zugelassenen Mittel näher geregelt werden.

---

[ Weiterführende Links