Der Datenschutz dient der Gewährleistung des Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 Grundgesetz (GG) in Verbindung mit Art. 1 Abs. 1 GG, Art. 8 der EU-Grundrechte-Charta und Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union. Dieses Recht soll die betroffene Person in die Lage versetzen, selbst darüber zu bestimmen, ob und wem die Daten zur eigenen Person preisgegeben sowie in welcher Art und Weise diese Daten verarbeitet werden dürfen. Die wesentlichen Regelungen ergeben sich aus der Datenschutzgrundverordnung (DSGVO) und den bundes- und landesrechtlichen Vorschriften (Datenschutzgesetz NRW – DSG, Hochschulgesetz NRW usw.).
Die DSGVO und sonstigen datenschutzrechtlichen Bestimmungen gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Hierbei handelt es sich gemäß Art. 4 Nr. 1 DSGVO um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn diese direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen nach Art. 9 Abs. 1 DSGVO identifiziert werden kann.
Ein Personenbezug ist dann nicht (mehr) gegeben, wenn die Daten anonymisiert oder aggregiert sind. Anonymisieren bedeutet, dass personenbezogene Daten dergestalt verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (§ 4 DSG). Daten, die lediglich pseudonymisiert sind (Art. 4 Nr. 5 DSGVO), fallen weiterhin unter den Anwendungsbereich der DSGVO.
Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn eine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. a bis f bzw. Art. 9 Abs. 2 DSGVO besteht, die die konkrete Verarbeitung legitimiert („Verbot mit Erlaubnisvorbehalt“). Bei der Datenverarbeitung sind die Grundsätze nach Art. 5 Abs. 1 DSGVO einzuhalten:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
- Zweckbindung;
- Datenminimierung;
- Richtigkeit;
- Speicherbegrenzung;
- Integrität und Vertraulichkeit.
Darüber hinaus ist die Einhaltung der Grundsätze zu dokumentieren, um der Rechenschaftspflicht der verantwortlichen bzw. datenverarbeitenden Stellen nachzukommen (Art. 5 Abs. 2 DSGVO). Um hierbei zu unterstützen, finden sich auf dieser Website einige Muster, Checklisten und Hinweise.