An Hochschulen werden große Mengen personenbezogener Daten produziert und verarbeitet. Dies betrifft Studierende, Studienbewerber*innen, Lehrende, Mitarbeiter*innen sowie externe Kooperationspartner*innen oder Referent*innen. Ziel der DSGVO ist es, diese Daten zu schützen.

Die Abkürzung DSGVO steht für die Europäische Datenschutz-Grundverordnung, die seit 2018 einen europaweiten Rahmen zur Handhabung personenbezogener Informationen bietet. Institutionen und Unternehmen sind dazu verpflichtet, die Datenverarbeitung der DSGVO gemäß zu organisieren. 

Insbesondere bei der Nutzung externer Dienste, wie z.B. Videokonferenz-Tools, die große Mengen personenbezogener Daten wie Namen, Stimmen und Videoaufzeichnungen erzeugen, ist es wichtig zu prüfen, ob und inwieweit die Grundsätze der DSGVO vom Anbieter umgesetzt werden.

Grundsätze der DSGVO


Pseudonymisierung von Daten
Die DSGVO setzt Anreize zur Anonymisierung von Daten. Das bedeutet, dass Informationen im Idealfall nicht mehr den Personen zuzuordnen sind, denen sie entstammen. Dies kann beispielsweise dadurch erreicht werden, dass Namen durch Pseudonyme ersetzt oder Daten nur verschlüsselt übertragen werden.

Rechtsgrundlagen für die Datenverarbeitung
Die Datenerhebung und -verarbeitung  muss auf einer Rechtsgrundlage beruhen. Dies kann durch ein berechtigtes Interesse zur Erhebung, beispielsweise zu Bildungs- oder Forschungszwecken, durch Zustimmung der Nutzer*innen oder zur Erfüllung einer vertraglich vereinbarten Dienstleistung erreicht werden.

Transparenz und Kontrolle
Die DSGVO definiert das Recht auf “Vergessenwerden” und das Recht auf den Export und die Übertragung von Daten an eine*n Verantwortliche*n. 

Drittländer
Die DSGVO greift auch bei Anbietern und Institutionen, die im Ausland niedergelassen sind und Daten von Personen im EU-Inland verarbeiten. Die Durchsetzung der DSGVO bei ausländischen Anbietern kann jedoch schwierig sein, weshalb EU-interne Anbieter bevorzugt werden sollten. 

Auskunft
Nutzer*innen haben das Recht zu wissen, welche Daten über sie gespeichert und wie diese verwendet werden.

Checkliste DSGVO

  • Transparenz bei der Datenerhebung und Verarbeitung
    Welche Daten werden verarbeitet und wie werden diese verwendet? Macht der Anbieter eindeutige Angaben dazu?
  • Datenminimierung
    Die Preisgabe personenbezogener Daten sollte auf das Minimum reduziert werden. Informationen, wie Namen sollten nur dann preisgegeben werden, wenn es wirklich nötig ist. Das automatische Speichern von Inhalten, wie der Chat-Kommunikation oder Whiteboard-Inhalten sollte, wenn möglich, deaktiviert werden.
  • Verschlüsselung
    Wenn möglich, sollten Daten nur verschlüsselt übertragen werden. (Bspw. durch Ende-zu-Ende-Verschlüsselung) Anbieter sollten darauf überprüft werden, ob sie diese Möglichkeit bieten.
  • Drittländer
    Kann der Anbieter durch einen EU-internen Dienstleister ersetzt werden? Falls nicht, kann der Speicherort der Daten auf EU-interne Server beschränkt werden?
  • Einverständnis
    Bevor Videokonferenzen aufgezeichnet, Videos oder Bilder von Personen veröffentlicht werden, müssen die Betroffenen eindeutig zugestimmt haben. Diese Daten sollten nur BURG-intern oder lokal gespeichert werden.
  • Löschungspflicht
    Nicht mehr benötigte Daten müssen gelöscht werden.

Quellen

Informationen des Bundesministerium für Wirtschaft und Klimaschutz
Die DSGVO im Original