Willkommen auf der Webseite des Datenschutzbüros der ASH Berlin
Datenschutz an der ASH Berlin
Die „Alice-Salomon“ – Hochschule für Sozialarbeit und Sozialpädagogik Berlin (ASH Berlin) ist eine Körperschaft des öffentlichen Rechts und zugleich eine staatliche Einrichtung. Der Hauptzweck der Datenerhebung, -verarbeitung oder -nutzung ist das Studium und die Weiterbildung in den Bereichen Soziales, Gesundheit und Erziehung sowie die Realisierung von Forschungsprojekten. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie in Übereinstimmung mit den für die ASH Berlin geltenden landesspezifischen Datenschutzbestimmungen.
Personenbezogene Daten über Mitglieder der Hochschule, Bewerber_innen und Dritte werden an der ASH Berlin ausschließlich zum Zwecke ihres gesellschaftlichen Auftrages gem. §§ 6, 6a Berliner Hochschulgesetz (BerlHG) erfasst, verarbeitet sowie nach Ablauf der rechtlich vorgesehenen Aufbewahrungspflichten und -fristen gelöscht.
Was ist Datenschutz?
Datenschutz ist der Schutz sämtlicher Informationen, die nicht für die Allgemeinheit frei verfügbar sind. Im Zentrum stehen solche Informationen, die mit einer bestimmten Person direkt in Verbindung stehen: persönliche und private Informationen sowie Kontaktdaten. Aber auch Daten über Sachen oder bestimmte Verhältnisse/ Beziehungen können schutzwürdig sein. Das Datenschutzrecht untersucht und beurteilt den Umgang mit Daten. Grundsätzlich gilt es zu prüfen, welche Daten sind schutzwürdig und wie wird dieser Schutz gewährleistet und eingehalten.
Datenschutzrecht und Grundgesetz - Recht auf informationelle Selbstbestimmung
Als Recht auf informationelle Selbstbestimmung wird das Recht des Einzelnen verstanden, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz nicht explizit geregelt. Das informationelle Selbstbestimmungsrecht ist eine Ausprägung des allgemeinen Persönlichkeitsrechts und wurde vom Bundesverfassungsgericht im sogenannten Volkszählungsurteil 1983 als Grundrecht anerkannt. Dieses leitet sich aus dem Artikel 2 des Grundgesetzes ab – dem Recht auf freie Entfaltung der Persönlichkeit.
Als Ausprägung des allgemeinen Persönlichkeitsrechts schützt es die Befugnis jedes einzelnen Menschen über seine personenbezogenen Daten und ihre Verwendung selbst zu bestimmen.
Datenschutz heute
Durch die fortschreitende Entwicklung der Informationstechnologie und der Digitaltechnik hat sich die Bedeutung des Datenschutzes gewandelt und verstärkt. Moderne IT, wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden ermöglichen es, mehr und mehr Daten immer einfacher zu erheben, zu analysieren und zu speichern. Auf Basis der gesammelten Daten lassen sich personenbezogene Daten analysieren und Verhaltensweisen ableiten, die für verschiedene Zwecke genutzt werden können.
Um in ganz Europa eine einheitliche Herangehensweise an den Datenschutz und die Datensicherheit zu schaffen, wurde die so genannte Datenschutzgrundverordnung (DSGVO) der Europäischen Union verabschiedet. Sie trat 2018 in Kraft und stellt zum einen den Schutz personenbezogener Daten und zum anderen den freien Datenverkehr innerhalb Europas sicher.
Datenschutz und Wissenschaft
Auch wissenschaftliche Datensammlungen unterliegen dem Datenschutz. Hier kann ein Konflikt zwischen der Forschungsfreiheit und Datenschutz entstehen. Unproblematisch ist aus Datenschutzsicht die Verwendung pseudonymisierter oder anonymisierter Daten. Vielfach werden in der Wissenschaft jedoch auch personenbezogene Daten genutzt. In diesen Fällen wäre eine konsequente Anwendung der datenschutzrechtlichen Vorschriften manchmal ein Verbot der wissenschaftlichen Forschungen. Um dies zu vermeiden bestehen Sonderregelungen für wissenschaftliche Forschungen.
Kontakt
Bei Fragen wenden Sie sich bitte an die_den Datenschutzbeauftragte_n der ASH Berlin: datenschutz@ ash-berlin.eu
Bei datenschutzrechtlichen Beschwerden können Sie sich an die zuständige Aufsichtsbehörde wenden:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO)
In der DSGVO ist das Verbot mit Erlaubnisvorbehalt als Grundprinzip für die Datenverarbeitung festgelegt. Das heißt, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn eine Rechtsvorschrift sie erlaubt oder die_der Betroffene in die Datenverarbeitung eingewilligt hat
Auflistung der Erlaubnistatbestände gemäß Art. 6 Absatz 1 DSGVO:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person
oder einer anderen natürlichen Person zu schützen;
e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung);
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden; ... („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; … („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Informationspflicht (Art. 13 DSGVO)
Die Informationspflichten bei der Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Die betroffenen Personen müssen von der verantwortlichen Stelle über die Datenverarbeitungsvorgänge bezüglich ihrer angegebenen Daten zum Zeitpunkt der Erhebung informiert werden. Die Informationen sind den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an die/den Betroffene/n übermittelt werden.
Die Mitteilung muss folgende Informationen enthalten:
- Name und Kontaktdaten der verantwortlichen Stelle
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszweck und Rechtsgrundlage
- Verpflichtung zur Bereitstellung personenbezogener Daten:
Der/die Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung der Daten hätte. - Bei Datenweitergabe - Angabe der Empfänger_innen
- Dauer der Speicherung
- Rechte der Betroffenen
- (Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit)
- Widerrufbarkeit von Einwilligungen, soweit die Verarbeitung auf einer Einwilligung des/der Betroffenen beruht.
- Beschwerderecht bei der Aufsichtsbehörde
- Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen.Der/die Verantwortliche muss die/den Betroffene/n darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.
Betroffenenrechte
Nach der DSGVO stehen betroffenen Personen folgende Rechte zu:
- Auskunft über die zu derPerson gespeicherte Daten (Art. 15 DSGVO)
- Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Recht auf Löschung von Daten, die nicht mehr benötigt werden (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Übertragbarkeit der Daten, sofern sie nicht aus anderen Gründen geschützt sind (Art. 20 DSGVO)
- Recht auf Widerspruch zur künftigen Verarbeitung der Daten (Art. 21 DSGVO)
Glossar
Personenbezogenen Daten gelten als anonymisiert, wenn die Daten so verändert wurden, dass der Personenbezug nicht mehr oder nur unter extrem erschwerten Bedingungen wieder hergestellt werden kann.
Auftragsverarbeiter_in ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag der/des Verantwortlichen verarbeitet.
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von der/dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Datenverarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Dritte_r ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, der/dem Verantwortlichen, der/dem Auftragsverarbeiter_in und den Personen, die unter der unmittelbaren Verantwortung der/des Verantwortlichen oder der/des Auftragsverarbeiter_in befugt sind, die personenbezogenen Daten zu verarbeiten.
Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Empfänger_in ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der/dem personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger_in.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Verantwortliche_r oder für die Verarbeitung Verantwortliche_r ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.