Wann bin ich "gemeinsam verantwortlich" und was muss ich dann tun?

Die DSGVO kennt die so genannte "gemeinsame Verantwortlichkeit" für den Fall, dass zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Das ist insbesondere dann der Fall, wenn zwei oder mehrere Personen, Einrichtungen, Behörde oder andere Stellen mit einer oder einem anderen gemeinsamen Daten verarbeiten wollen und hierfür über die Zwecke und Mittel der Verarbeitung entscheiden.

Eine sehr wichtige Rechtsprechung des EuGHs zum Thema der gemeinsamen Verantwortlichkeit versteckt sich in seinem Urteil vom 05.06.2018 hinter dem Aktenzeichen C-210/16. Hier hat der EuGH geurteilt, dass Betreiber von Facebook "Fanpages" und Facebook Ireland gemeinsame Verantwortliche sind. Sollten Sie in der Verantwortung der Universität eine "Fanpage" auf Facebook betreiben (wollen), wenden Sie sich bitte an die Stabsstelle.

Die rechtliche Verantwortung für den Schutz der personenbezogenen Daten von Angehörigen der Jade Hochschule (und ggf. auch Gästen) wird sehr ernst genommen. Daher wird die erste Priorität auf das bewährte und bestmöglich in die digitale Infrastruktur der Jade Hochschuke integrierte Tool des DFN-Vereins (Deutsches ForschungsNetz) sowie als Ergänzung in der jetzigen Situation (Performanceschwierigkeiten beim DFN) auf die von den IT-Diensten der Jade Hochschule zur digitalen Kommunikation (siehe https:/hrz-wiki.de).

Diese haben zum einen den Vorteil, dass sie von der Jade Hochschule selbst „beherrscht“ werden können und der (personenbezogene) Datenverkehr nicht über Systeme/Server Dritter läuft, die sich zwar vertraglich zur Einhaltung der hiesigen Datenschutzstandards (insbesondere derer der Europäischen Datenschutzgrundverordnung; DSGVO) verpflichten können, aber ggf. auch divergierenden Gesetzen der Länder unterliegen, in denen die Firmen ihren Sitz haben (z.B. den USA). Zum anderen, sind sie in die bestehenden universitären SystemeNextCloud und HiSinOne integriert und ermöglichen so eine leichte Bedienbarkeit und insbesondere auch eine technisch unkomplizierte (Nach-)Nutzung von erstellten digitalen Inhalten (z.B. Veranstaltungen, Seminare).

Die Freigabe von Systemen Dritter mit denen personenbezogene Daten, die im Verantwortungsbereich der Universität liegen, verarbeitet werden (können) setzt überdies einen sorgfältigen Prozess der technischen und (datenschutz-)rechtlichen Prüfung, der Abstimmung mit dem Personalrat, der entsprechenden durch die DSGVO vorgeschriebenen Dokumentation und des Abschließens von erforderlichen Verträgen sowie in der Regel einer entsprechenden Lizensierung voraus.

Neben dem Schutz personenbezogener Daten spielen hier aber auch die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) der Informationssicherheit (insbesondere bei vertraulichem Austausch/Gesprächen) eine erhebliche Rolle.

Hierfür (und für die Planung des weiteren Vorgehens) ist jedoch ein konstruktives und konkretes Feedback aller Nutzer/innen hinsichtlich des derzeitigen Angebots unumgänglich.

Dieses richten Sie bitte an die bekannte E-Mailadresse: helpdesk@jade-hs.de

Weitere Ansprechpartner:

Bei Fragen zum Datenschutz und der Informationssicherheit können Sie sich überdies gerne an die Stabsstelle Datenschutzmanagemet (datenschutzmanagement@jade-hs,de) sowie (insbesondere bei vertraulichen Anliegen) an die behördlichen Datenschutzbeauftragten (datenschutz@jade-hs.de) wenden.

Wenden Sie sich an das Datenschutzmanagement bei:

• Organisatorischen Fragen des Datenschutzes
• Fragen zum Verzeichnis von Verarbeitungstätigkeiten
• Auskunftsanfragen nach Art. 15 DSGVO
• Fragen nach Schulungsangeboten
• Meldung von Verstößen

Wenden Sie sich an den Datenschutzbeauftragen bei:

• Allgemeinen Fragen zum Datenschutz
• Vertraulichen Anfragen und/oder Beschwerden bzgl. des Datenschutzes
• Fragen zu Betroffenenrechten

Hinter dem Kürzel DSGVO steht eine unmittelbar anzuwendende europäische Verordnung, die "Datenschutz-Grundverordnung". Diese regelt seit Mai 2018 primär, was bei der Verarbeitung personenbezogener Daten zu beachten ist.

Die DSGVO hat damit in großen Teilen das BDSG (Bundesdatenschutzgesetz) abgelöst, welches aber weiterhin ergänzende Regelungen trifft. Außerdem gibt es noch Landesgesetze, die weitere ergänzende Regelungen für den Datenschutz treffen. So zum Beispiel das NDSG (Niedersächsisches Datenschutzgesetz) und auch einzelne Regelungen des NHG (Niedersächsisches Hochschulgesetz).

Verantwortlich für die Einhaltung ist die Jade Hochschule, vertreten durch den Präsidenten. Also das Präsidium. Allerdings sind auch alle Mitarbeiterinnen und Mitarbeiter sowie alle Studierenden auch an die Regelungen der DSGVO gebunden, sofern sie im Rahmen ihrer Tätigkeit an der Jade Hochschule personenbezogene Daten verarbeiten.

Personenbezogene Daten sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Diese liegen also dann vor, wenn sich aus den Daten oder aus der Datenkombination ein Bezug auf eine bestimmte Person ziehen lässt. Dies kann direkt oder indirekt passieren.

Typische personenbezogene Daten sind: Namen, E-Mail, Matrikelnummer, Anschrift, IP-Adressen, etc.

Weitere Informationen dazu, was personenbezogenen Daten sind und welche verschiedenen Kategorien personenbezogener Daten.

Nach der DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es eine Rechtsgrundlage dafür gibt.

Die Grundsätze der Datenveraerbeitung an der Jade Hochschule sind im §2 der im Dezember 2018 verabschiedeten "Ordnung zum Schutz personenbezogener Daten" gefasst worden.

Die wichtigste Rechtsgrundlage ist dabei die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und die Wahrnehmung öffentlicher Aufgaben (Art. 6 Abs. 1 lit. e DSGVO) durch die Jade Hochschule.

Weiterhin müssen sog. "betroffene Personen", also diejenigen, deren personenbezogene Daten verarbeitet werden, spätestens bei der Erhebung der Daten über die Datenverarbeitung informiert werden.

Außerdem muss ein sog. "Verzeichnis von Verarbeitungstätigkeiten" geführt werden.

Grundsätzlich dürfen personenbezogene Daten nur solange verarbeitet werden, bis der Zweck der Verarbeitung entfallen oder erreicht worden ist. Danach müssen die Daten gelöscht werden.

Im Bereich der Forschung kann nicht immer genau vorher bestimmt werden, für welche Zwecke genau die Daten noch vernünftigerweise gebraucht werden können. Daher ist hier, sofern ein Zweck noch nicht derart konkret genannt werden kann, anzuraten, die Dauer der Speicherung auf maximal 10 Jahre festzulegen. Die Grenze von 10 Jahren stellt eine anerkannte, gute wissenschaftliche Praxis dar.

In Ausnahmefällen und unter entsprechender Begründung kann die Dauer der Speicherung natürlich auch länger festgelegt werden.

Bitte beachten Sie aber, dass immer primär der Wegfall des Zwecks ausschlaggebend für die Löschfrist der personenbezogenen Daten sein soll.

Anonymisierte Daten fallen nicht unter die Regelungen der DSGVO. Sie können grundsätzlichen frei verarbeitet werden, ohne dass eine Person einwilligen oder eine besondere Rechtsgrundlage vorliegen muss.

Anders, als es das Wort vermuten lässt, liegt eine Anonymisierung nicht bereits dann vor, wenn keine Namen mehr genannt werden. Vielmehr soll nach der idellen Vorstellung des Gesetzgeber bei anonymisierten Daten keinerlei Personenbezug der Daten vorhanden sein

Pseudonymisiert sind die Daten dann, wenn sie ohne Hinzuziehung zusätzlicher Informationen einer bestimmten Person nicht mehr zugeordnet werden können. Dies lässt sich insbesondere dadurch erreichen, dass der Name der betroffenen Person durch ein Kennzeichen ersetzt wird.

Aggregierte Daten sind solche, bei denen Daten verschiedener Personen zusammengeführt wurden, und somit eine "Datengruppe" entstanden ist. Auch diese sind nicht mehr auf eine bestimmte Person zurückzuführen, damit aber nicht zwingend anonymisiert.

Durch Einführung der DSGVO wurden die Informations- und Auskunftspflichten für die betroffenen Personen erweitert.

Eine "Checkliste" finden Sie in Art. 13 und Art. 14 DSGVO.

Die betroffenen Personen müssen spätestens bei der Erhebung der Daten umfassend informiert werden. Dafür können die Instrumente der Datenschutzerklärung oder ggf. der Einwilligungserklärung genutzt werden.

Nach Art. 12 DSGVO müssen die Betroffenen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" informiert werden.

Dabei ist die betroffene Person insbesondere zu informieren über:

• Kategorie der verarbeiteten Daten
• Zweck der Verarbeitung
• Rechtsgrundlage
• Betroffenenrechte
• Dauer der Speicherung
• Löschfristen
• Weitergabe an Dritte
• Verwendung zu anderen Zwecken und damit einhergehende erneute Information in Form einer Datenschutz- oder Einwilligungserklärung

Die betroffene Person hat insbesondere die folgenden Rechte

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 19 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• (bei Einwilligung) Widerrufsrecht (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Wenn die Verarbeitung personenbezogener Daten keine anderweitige Rechtsgrundlage hat, oder diese auf "zwei Beine" gestellt werden soll, kann mit einer Einwilligungserklärung eine Rechtsgrundlage geschaffen werden.

Die Einholung einer Einwilligungserklärung dient dem Nachweis der Freiwilligkeit der Erklärung. Sie muss ausreichende Informationen über die geplante Datenverarbeitung erhalten, damit die betroffene Person verstehen kann, worin sie einwilligt.

Daher ist in der Einwilligungserklärung mindestens enthalten:

• Zweck der Verarbeitung
• Auflistung der Datenkategorien

Gegebenenfalls kann auch auf eine bereits vorhandene, entsprechende Datenschutzerklärung verwiesen werden. Hier ist auch ein sog. "Medienbruch" zulässig.

Bei elektronischer Erklärung ist darauf zu achten, dass ein sog. Opt-Out-Verfahren nicht zulässig ist. Das bedeutet, dass das Kästen zum Ankreuzen nicht schon beim Aufruf der Seite oder des elektronischen Dokuments vorangekreuzt sein darf.

Eine einmal erteilte Einwilligung kann jederzeit widerrufen werden.

Wenn Daten nicht von dem Verantwortlichen selbst, sondern unter Inanspruchnahme von Leistungen Dritter erfolgt, spricht man von der sog. Auftragsverarbeitung (Art 28 DSGVO).

Hierfür muss eine eigenständige Verfahrensbeschreibung erfasst und eine Vereinbarung zwischen der Verantwortlichen als Auftragsgeberin und dem Dritten als Auftragsnehmer (Auftragsverarbeiter) geschlossen werden.

Eine Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen aufweist, muss binnen 72 Stunden als Meldung an die Aufsichtsbehörde abgegeben werden. Desweiteren müssen auch die Betroffenen informiert werden. Dieses kann mithilfe des hochshuleigenes Meldeportals "Meldung Datenschutzverstoß" erfolgen. Bei Fragen können konsultativ Datenschutzbeauftragten oder die Stabstelle "Datenschutzmanagement" kontaktiert werden.

Hinweis auf die Schulung... /

Problem:

Immer wieder werden Fotos von Kolleginnen und Kollegen gemacht. Sei es ein Portrait-Foto für die dienstliche Website oder ein Gruppenfoto zur Präsentation der eigenen Mitarbeiter und Mitarbeiterinnen, während einer Besprechung oder auf einer Feier. Solche Fotos werden nicht selten auf der dienstlichen Website, also im grundsätzlich weltweit zugänglichen Internet, veröffentlicht.

Sofern keine Einwilligung der auf dem Foto abgelichteten Person/en vorliegt, ist diese Anfertigung als auch die Veröffentlichung solcher Fotos unrechtmäßig. Die betroffenen Personen haben dann u.a. einen Anspruch auf Löschung dieser Fotos. Oftmals wissen die betroffenen Personen jedoch gar nicht, dass ein Foto von Ihnen angefertigt und veröffentlich wurde (insb. auf Feiern, wo oftmals aus der Situation heraus fotografiert wird, um einen hohen Grad an Authentizität zu erreichen).

Lösung:

Bevor Sie überhaupt Fotos von Kolleginnen oder Kollegen anfertigen, fragen Sie diese vorher, ob sie damit einverstanden sind. Sollten Sie beabsichtigen, dass die Fotos schlussendlich auf der dienstlichen Website (gilt auch für organisationsinterne Laufwerke) veröffentlicht werden - sei es öffentlich oder nur für bestimmte Personen einsehbar - fragen Sie ebenfalls, ob alle abgebildeten Kolleginnen und Kollegen damit einverstanden sind.

Vermeiden Sie die Anfertigung und insbesondere die Veröffentlichung von Fotos aus der Situation heraus, wenn Sie keine Einwilligung hierzu eingeholt haben.

Eine Einwilligung muss nicht zwingend schriftlich erteilt werden, dies kann aber im Streitfall sinnvoll sein (eine einfache E-Mail ist hierfür aber auch ausreichend).

Problem:

Sie planen eine universitäre Veranstaltung auf der zu Zwecken der Öffentlichkeitsarbeit (Veröffentlichung von Fotos auf der Uni-Webseite etc.) auch Fotoaufnahmen gemacht werden sollen und fragen sich, wie Sie  datenschutzgerecht damit umgehen?

Lösung:

Sofern Sie Einladungen verschicken, weisen Sie auf diesen darauf hin, dass im Rahmen der Veranstaltung zu Zwecken der Öffentlichkeitsarbeit Fotoaufnahmen angefertigt werden und, dass diese (und vorallem wo) veröffentlicht werden. Der Hinweis sollte außerdem enthalten, dass man sich an den Fotografen wenden möge, wenn man nicht fotografiert werden möchte. Darüber hinaus sollten Kontaktdaten für weitere Fragen angegeben werden. Ein solcher Hinweis sollte auch (ggf. zusätzlich) auf einem webbasierten Anmeldeformular angebracht werden. Außerdem sollten vor den Räumlichkeiten, in denen die Veranstaltung stattfindet, gut sichtbare Hinweise o.g. Art (idealerweise mit einem "Kamera"-Piktogramm versehen) angebracht werden.

Sollten im Rahmen der Veranstaltung Portrait-Aufnahmen (z.B. für Interviews) angefertigt werden, dann holen Sie bitte von den betroffenen Personen eine Einwilligung hierzu (sowie zur Veröffentlichung) ein. Diese muss nicht zwingend schriftlich erfolgen. Etwas "Schriftliches" kann aber zu Dokumentationszwecken im Streitfall sinnvoll sein.

Problem:

Der EuGH hat entschieden, dass Betreiber einer Facebook "Fanpage" für die Verarbeitung personenbezogener Daten in einer sog. "gemeinsamen Verantwortlichkeit" mit Facebook Ireland agieren. (EuGH Urteil vom 5. Juni 2018, Az.: C-210/16). Da der "Fanpage"-Betreiber allerdings keinen Zugriff auf die von Facebook verarbeiteten Daten hat, ist unklar, wie er Betroffenenrechte ausüben soll. Es müsste daher zwischen dem Betreiber einer "Fanpage" und Facebook eine Vereinbarung gemäß Art. 26 DSGVO geschlossen werden in der insbesondere die Wahrnehmung der Betroffenenrechte geregelt ist. Eine solche Vereinbarung bietet Facebook derzeit jedoch nicht an.

Darüber hinaus werden bei der Implementierung des "Gefällt mir"-Buttons auf der eigenen Website (personenbezogene) Daten eines Nutzers an Facebook übertragen (auch wenn dieser Nutzer gar nicht bei Facebook eingeloggt ist).

Lösung:

Vermeiden Sie einen Datenversand an Facebook durch Nichtimplementierung des "Gefällt mir"-Buttons auf Ihrer Website bzw. berücksichtigen Sie die Möglichkeit der datenschutzkonformen Implementierung ("Zwei-Klick-Lösung"). Dies gilt grundsätzlich auch für die Implementierung anderer Social-Media Dienste (z.b. Youtube, Twitter etc.) in Webseiten der Jade Hochschule.

Darüber hinaus sollte in den von der Jade Hochschule genutzten Social-Media Angeboten zumindest die Datenschutzinformationen der Jade Hochschule geeignet verlinkt werden.

Bei Fragen zur dienstlichen Nutzung von Social-Media Diensten wenden Sie sich gerne an die Stabsstelle "Datenxschutzmanagement".

Problem:

Die Verantwortliche muss sicherstellen, dass Auskünfte über die Verarbeitung personenbezogener Daten nur an zur Auskunftserteilung berechtigte Personen erteilt werden. Die Identität der anfragenden Person muss also offengelegt werden.

Lösung:

Je sensibler die personenbezogenen Daten sind, desto sicher muss die Identität der anfragenden Person feststehen. Im Normalfall ist es ausreichend, wenn die Identität pausibel erscheint. Je nach Situation gilt es zu unterscheiden, wie die Identität (plausibel) nachgewiesen werden soll.

• In einem Telefonat ist dies durch entsprechende Fragen zu ermitteln. So kann das Geburtsdatum, eine bestimmte zugeordnete Kennung oder die Matrikelnummer erfragt werden.
• In einem persönlichen Gespräch dürfte es ausreichen, sich den amtlichen Lichtbildausweis respektive einen Studierendenausweis zeigen zu lassen.
• Bei schriftlichen Anfragen sollte die Person bereits selbst im Vorfeld ausreichende Angaben zu ihren eigenen Daten gemacht haben. Sie sollte also bereits in ihrem Initiativschreiben relevante und konkrete Daten angegeben haben, damit man sich ihrer Identität sicher sein kann.

Hinweis:

Telefonisch sollten nur organisatorische Auskünfte gegeben werden. Für alles Weitergehende empfiehlt es sich dringend, diese schriftlich oder elektronisch per E-Mail zu erteilen.

Problem:

Der öffentlichen Aushang oder die öffentliche Auslegung von Listen oder Prüfungen mit Matrikelnummern und Namen der Studierenden stellt eine rechtswidrige Übermittlung personenbezogener Daten dar. Denn hierbei lässt sich erkennen, welche Person unter welcher Matrikelnummer welche Veranstaltung besucht, welche Prüfung abgelegt und ggf. mit welcher Note bestanden hat.

Lösung:

Sofern eine elektronische, nur für die betroffene Person zugängliche Variante des Aushangs, insbesondere bei Auslage von Prüfungsergebnissen mit Benotung, nicht möglich ist, sollte der analoge Aushang nur unter Verwendung der Matrikelnummer durchgeführt werden. Dies allerdings auch nur insoweit, als eine Zuordnung der Matrikelnummer zu der dahinterstehenden Person nur von den berechtigten Personen vollzogen werden kann. Die Zuordnung von Matrikelnummer zu der dahinterstehenden Person darf also nicht öffentlich bekannt gemacht worden sein.

Umgekehrt sollten Teilnehmerlisten lediglich Namen und gerade nicht (auch) die Matrikelnummer beinhalten.

Problem:

Bei web-basierten Tools werden regelmäßig personenbezogene Daten (wie z.B. die IP-Adresse oder der Name der Person) verarbeitet. Gerade bei Freitextantwortmöglichkeiten besteht ein hohes Risiko, dass personenbezogene Daten verarbeitet werden.

Lösung:

Die Fragen sollten zunächst so gestellt werden, dass bereits kein Personenbezug hergestellt werden kann, wenn sie an der Identität der Teilnehmerinnen und Teilnehmer nicht interessiert sind. Weiterhin gilt zu beachten, dass auch in Kombination der Daten kein Personenbezug hergestellt werden kann. Dies kann insbesondere bei Fragen nach der Berufsbezeichnung in Verbindung mit der Frage nach der jeweiligen Institution sein.

Vermeiden Sie Freitextmöglichkeiten. Sollte eine Freitextmöglichkeit notwendig sein, um dem Zweck der Umfrage nicht entgegenzustehen, weisen Sie die Teilnehmer darauf hin, dass hier von konkreten personenbezogenen Daten, wie Namen, Anschriften, Telefonnummer, Arbeitsplätzen, etc. abzusehen ist.

Sofern für die Umfrage ein Dritter als Dienstleister auftritt, ist sicherzustellen, dass dieser keinen Zugriff auf die personenbezogenen Daten hat.

• Nutzen Sie am besten Tools, die Ihnen vom Rechenzentrum bereits zur Verfügung gestellt werden.
• Achten Sie darauf, möglichst wenig personenbezogene Daten zu erheben, wenn sie diese nicht zwingend benötigen
• Geben Sie den Zweck der Umfrage an
• Lassen Sie die befragten Personen vor der Befragung in die Befragung einwilligen
• Legen Sie Abschlussdaten fest (Ende und Auswertung der Befragung)
• Anonymisieren Sie die Daten möglichst rasch nach der Befragung
• Lassen Sie eine Korrektur der Antworten zu (z.B. durch nachträgliches Einloggen vor Ende des Befragungszeitraums)
• Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten und senden Sie es an die Stabsstelle Datenschutzmanagement

Problem:

Die Nutzung von externen Cloud-Services (z.B. Dropbox, OneDrive), Messenger-Diensten (z.B. WhatsApp) oder Groupwarediensten (z.B. gmail, icloud) ist oftmals datenschutzrechtlich sehr bedenklich. Das liegt darin begründet, dass oft nicht auf der ersten Blick klar ist, welche Daten bei der Nutzung solcher Dienste überhaupt übermittelt werden und welche davon verschlüsselt sind bzw. ob die Anbieter den Regelungen des in der EU geltenden Datenschutzes unterworfen sind bzw. diese einhalten.

Insbesondere bei der Nutzung von Messenger-Diensten wie WhatsApp und Threema ist bedenklich, dass hier Metadaten gespeichert und weitergeleitet werden können. Außerdem kann bei beiden Diensten ein Zugriff auf die Kontaktliste der Nutzer möglich sein, wodurch die Dienste Zugriff auf Telefonnummern anderer Personen bekämen. Bei Skype kommt erschwerend hinzu, dass Videoanrufe generell nicht verschlüsselt sind.

Lösung:

Es sollten daher nur datenschutzkonforme Cloud-, Messenger-, und Groupware-Dienste genutzt werden. Zu diesen zählen:

• NextCloud der Jade Hochschule (WebClient)
• DFNconf (Web- und Videokonferenz mit mehreren Teilnehmern)

Problem:

Im Büroalltag fallen viele Papierdokumente mit vertraulichem Inhalt an (z.B. Entwürfe von Schreiben, die nicht zur Akte genommen werden, Fehlausdrucke von E-Mails etc.). Bei einer Entsorgung über den Büropapierkorb ist nicht sichergestellt, dass Dritte keine unberechtigte Kenntnis vom Inhalt nehmen können.

Lösung:

Papierdokumente mit vertraulichem Inhalt sollen dem Schutzbedarf der Dokumente passender Aktenvernichter gem. DIN 66399 entsprechen (Sicherheitsstufe 3 oder höher).

Problem:

E-Mail Adressen sind immer personenbezogene Daten. Auch dann, wenn die E-Mail nicht den Vor- und Nachnamen der betroffenen Person beinhaltet.

Daher bedarf es grundsätzlich immer einer Rechtsgrundlage, um E-Mail Adressen im Sinne der DSGVO zu verarbeiten, also zu speichern, Inhalte an eine E-Mail zu senden, etc.

Lösung:

Wenn Sie selbst E-Mail-Adressen aus öffentlich bekanntgemachten Websites sammeln wollen:

Differenzieren Sie, woher die E-Mail-Daten stammen.

Zunächst kommt es darauf an, ob die jeweilige Institution/Stelle/Organisation, sowie die jeweiligen Empfänger ein zumindest unterstellbares Interesse an dem Inhalt der zu versendenden E-Mail haben dürften.

Weiterhin müssen die potentiellen Empfänger ihre E-Mail auch zumindest unterstellbar derart öffentlich bekannt gemacht haben, dass damit zu rechnen ist, dass sie auch bzgl. des jeweiligen Inhalts über diese E-Mail zu kontaktieren sind und auch hieran ein Interesse haben.

Sofern dies nicht der Fall ist, benötigen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten (= hier: speichern und senden von und an „fremde“ E-Mails der jeweiligen Institutionen). Das ist im Normalfall nur durch eine Einwilligung zu erreichen. Diese haben Sie jedoch in der Regel nicht.

Wenn Sie auf eine E-Mail-Adressliste einer anderen Institution/Stelle/Organisation zugreifen wollen:

Klären Sie mit der jeweiligen Institution/Stelle/Organisation ab, ob diese entsprechende E-Mail-Adresslisten an Sie weitergeben dürfen. Dies ist regelmäßig nur dann der Fall, wenn die Mitarbeiter und Angehörigen ihre Einwilligung dazu bereits dazu gegeben haben, dass ihre Daten an Dritte zum Zwecke des jeweiligen Inhalts weitergegeben werden dürfen. Konkrete Zwecke dürften hier regelmäßig sein: Informationsangebote, Einladungen zu Fachtagungen, Teilnahme an Studien zur Forschung, etc.

Sofern eine solche Einwilligung der Mitarbeiter und Angehörigen nicht vorliegt, müssten Sie die jeweilige Institution/Stelle/Organisation darum bitten, dass diese eine Einwilligung der potentiellen Empfänger einholt.

Problem:

Bei der Einrichtung von Newslettern und E-Mail-Verteilern über die Webseiten der Jade Hoschule bestehen nach Artikel 13 DSGVO Informationspflichten. Danach muss unter anderem der Zweck, die Rechtsgrundlage, die Dauer und die Art der Datenverarbeitung sowie insbesondere die Art der Kategorien personenbezogener Daten und vieles mehr genannt werden.

Lösung:

In einfachen Fällen reicht es aus, auf die Datenschutzinformation der Jade Hochschule zu verweisen. Das ist beispielsweise der Fall bei einfachen Kontaktformularen, Newslettern & E-Mail-Verteilern.

Sofern allerdings mehr Daten abgefragt werden, sollte eine eigene Datenschutzerklärung erstellt werden. Wenn Sie dabei Beratung in Anspruch nehmen möchten, wenden Sie sich an die Stabsstelle Datenschutzmanagement unter der E-Mail-Adresse datenschutzmanagement@ich-will-keinen-spamjade-hs.de.

Problem:

Auch bei der Gestaltung von E-Mail-Verteilern sind datenschutzrechtliche Anforderungen zu berücksichtigen, da es sich bei (zumindest personalisierten) E-Mail-Adressen um personenbezogene Daten im Sinne der DSGVO handelt.

Wird ein E-Mail-Verteiler verwendet, in dem alle angeschriebenen Personen im "AN-" oder "CC-Feld" adressiert werden, so sind die Adressaten für alle anderen Personen im Verteiler sichtbar. Aus dem Inhalt der E-Mail lassen sich über die bloße E-Mail-Adresse hinaus noch Zusatzinformationen über den Adressatenkreis gewinnen (z.B. wenn alle Adressaten Absolventen eines Jahrganges in einem bestimmten Studiengang sind). Datenschutzrechtlich handelt es sich dann über eine "Übermittlung" an Dritte, die nur aufgrund einer gesetzlichen Vorschrift oder einer Einwilligung der Betroffenen zulässig ist.

Lösung:

Statt in das "AN-Feld" oder "CC-Feld" sind die E-Mail-Adressen in das "BCC-Feld" (englisch: Blind Carbon Copy) einzutragen. So ist für den Adressaten nicht erkennbar, an wen eine E-Mail sonst noch versandt wurde.

In das „AN-Feld“ wird die eigene E-Mail-Adresse eingetragen. Sie schicken die Mail also an sich selbst, die Empfänger, die Sie im BCC-Feld eingetragen haben, bekommen die Mail aber trotzdem.

"Unsubscribe"-Funktion

Weiterhin sollten Sie die Möglichkeit schaffen und auch mit jeder E-Mail kommunizieren, dass sich die Empfänger jederzeit aus dem Verteiler austragen können. Dies muss genauso einfach zu bewerkstelligen sein, wie es die Anmeldung auch war, also regelmäßig durch eine einfache Antwort-E-Mail oder Klick auf einen "Unsubscribe"-Button. Die betroffene Person muss die Möglichkeit haben, keine E-Mails mehr zu erhalten und aus der Adressliste des Verteiler ausgetragen zu werden.

Hinweis:

Hiervon nicht betroffen ist das "in CC setzen" im Rahmen der dienstlichen Aufgabenerfüllung bei (internem)E-Mail-Verkehr. Jedoch ist auch hier eine restriktive Handhabung zu empfehlen.

Problem:

Bei der Terminabstimmung über Doodle teilen Sie der Doodle AG, einem in der Schweiz ansässigen Unternehmen, nicht nur Ihre E-Mail-Adresse und Ihren Namen, sondern ggf. auch den dienstlichen Anlass der Terminabstimmung mit. Dadurch können sowohl Geheimhaltungsinteressen des Arbeitgebers als auch Belange des Datenschutzes verletzt werden. Denn auch die Tatsache, ob und mit wem Sie dienstlich kommunizieren, unterliegt grds. der Geheimhaltung.

Doodle verwendet darüber hinaus Google Analytics und andere Auswertungsmechanismen, die eine Profilbildung sowie gezielte Werbung ermöglichen.

Lösung:

Termine können komfortabel auch über das auf allen Dienstrechnern installierte Microsoft Outlook koordiniert werden. Die Daten bleiben dann grds. innerhalb des Hochschulnetzes-Netzes.

Sollte es dennoch einmal unerlässlich sein, einen externen Dienst zu nutzen, sollte auf die datenschutzfreundlichere Alternative des DFN-Vereins (Deutsches Forschungsnetz) unter https://terminplaner.dfn.de zurückgegriffen werden. Hier erfolgt die Datenübertragung verschlüsselt, die Umfrage kann mit einem Löschdatum versehen werden und die Aktivitäten werden weder ausgewertet noch erhalten Sie Werbung.

Für jedes Verfahren, bei dem personenbezogene Daten verarbeitet werden, ist gem. Art. 30 DSGVO eine Verfahrensbeschreibung zu erstellen, dem Datenschutzbeauftragten zur Verfügung zu stellen und aktuell zu halten. Bei der Anfertigung unterstützt Sie die Stabsstelle "Datenschutzmanagement".