Zulässigkeit einer Datenverarbeitung - Beispiel Studentenkartei
DSGVO Art 5, 6, 82, 83
In Art 5 und Art 6 DSGVO werden die Grundsätze für die Zulässigkeit der Verarbeitung von Daten angeführt. Besonders wichtig sind dabei die Rechtmäßigkeit der Verarbeitung und ein eindeutiger, festgelegter Zweck für die Datenverarbeitung. Dies wird am Beispiel einer Studierendenkartei gezeigt.
Die grundsätzlichen Voraussetzungen für die Zulässigkeit einer Datenanwendung sind in der Datenschutz-Grundverordnung (DSGVO) in Art 5 und Art 6 geregelt.
Der Art 5 DSGVO regelt die Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten und die Rechenschaftspflicht des Verantwortlichen diesbezüglich. Abs 1 lit a bis f wird nachstehend näher beschrieben.
So dürfen nach lit a personenbezogene Daten nur auf rechtmäßige und nachvollziehbare Weise (nach Treu und Glauben) verarbeitet werden. Dies bedeutet z.B., dass Betroffene bezüglich der Umstände der Datenverarbeitung und insbesondere im Hinblick auf die ihnen zustehenden Rechte nicht irregeführt oder im Unklaren gelassen werden. Weiters muss der Verantwortliche einer Datenverarbeitung über eine rechtliche Befugnis für die vorgesehene Benützung der verarbeiteten Daten verfügen.
Lit b und lit c weisen auf die Zweckbindung und Datenminimierung hin. Personenbezogene Daten dürfen nur für einen festgelegten, eindeutigen und rechtmäßigen Zweck verarbeitet werden. Daten, deren Verarbeitung grundsätzlich zulässig ist, dürfen nicht von jedem beliebig verarbeitet werden. Vielmehr darf ein Verantwortlicher nur jene Daten verarbeiten, die für den angestrebten Zweck der Datenverarbeitung wesentlich sind.
Die lit d fordert, dass die verarbeiteten Daten im Hinblick auf den Zweck der Datenverarbeitung richtig und aktuell sind.
Die lit e normiert, dass personenbezogene Daten nur so lange verarbeitet werden dürfen, als dies für die Erreichung des Zwecks notwendig ist. Darüber hinaus dürfen Daten nur für, im öffentlichen Interesse liegende, Archivzwecke, wissenschaftliche Forschungszwecke oder statistische Zwecke verwendet werden.
Schließlich verpflichtet lit f dazu, personenbezogene Daten in einer Weise zu verarbeiten, dass Integrität und Vertraulichkeit gewährleistet sind.
Für all diese Grundsätze trägt der Verarbeiter gemäß Art 5 Abs 2 DSGVO die Verantwortung, auch wenn er Auftragsverarbeiter heranzieht.
Art 6 der DSGVO regelt die Rechtmäßigkeit der Datenverarbeitung von personenbezogenen Daten. Für eine rechtmäßige Verarbeitung personenbezogener Daten muss mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen vorliegen. Falls keine der Bedingungen erfüllt ist, müssen die Daten gelöscht werden. Eine Verarbeitung ist verordnungswidrig, sofern keine Einwilligung des Betroffenen vorliegt oder eine sonstige gesetzliche Bestimmung die Verarbeitung (beispielsweise gesetzliche Aufbewahrungsfristen) zulässt. Weiters ist eine Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung einer vorvertraglichen Maßnahme zulässig. Die DSGVO lässt eine Verarbeitung zum Schutz lebenswichtiger Interessen der Betroffenen oder Dritter zu. Ebenso ist eine zulässige Verarbeitung gegeben, sofern die Datenverarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt durchgeführt wird. Außerdem erlaubt die Verordnung Verarbeitungen zur Wahrung von berechtigten Interessen. Hier müssen die berechtigten Interessen des Unternehmens/Verantwortlichen stärker sein als die Grundrechte und Grundfreiheiten des Kunden/Betroffenen (Interessensabwägung).
Die Entscheidung der Datenschutzbehörde zeigt, wie sich diese Grundsätze konkretisieren lassen (alte Rechtslage bis 25.05.2018):
In einem Universitätsinstitut existierte eine Studentenkartei, in der persönliche Daten der Studierenden des Instituts enthalten waren. Insbesondere waren neben Namen und Kontaktdaten der Studierenden auch Prüfungs- und Studiendaten (Studienbeginn, absolvierte Lehrveranstaltungen und Prüfungen, Prüfer und Noten) in dieser Kartei abgelegt.
Der Hauptzweck der Kartei war die Benachrichtigung von Studierenden bei Verschiebungen von Prüfungen oder Lehrveranstaltungen. Zusätzlich wurde die Datei zur Einteilung von Lehrveranstaltungen verarbeitet, für die bestimmte Aufnahmekriterien erforderlich waren.
Die Datenschutzbehörde entschied nach der Beschwerde eines Studierenden, dass die Verarbeitung von Prüfungsdaten durch das Institut nicht rechtmäßig sei. Für den Hauptzweck der Kartei, nämlich die Verständigung der Studierenden bei Terminverschiebungen, ist die Ermittlung von Prüfungsdaten nicht notwendig und daher auch nicht zulässig. Und auch für die Einteilung von Lehrveranstaltungen ist eine allgemeine Erfassung der Prüfungsdaten nicht notwendig. Vielmehr kann im Rahmen der Anmeldung für eine Lehrveranstaltung die Erfüllung der vorgeschriebenen Kriterien überprüft bzw. ein Leistungsnachweis durch die Studierenden erbracht werden.
Weiters fehlt dem Institut in diesem Fall die rechtliche Grundlage für eine solche Datenverarbeitung. Die Führung der Prüfungsevidenz ist vielmehr der Universitätsverwaltung bzw. den Dekanaten zugewiesen und eine zusätzliche Evidenzhaltung an einzelnen Instituten würde dem Grundsatz der sparsamen Datenverwendung widersprechen.
Verstöße gegen Art 5 und Art 6 DSGVO werden gemäß Art 83 Abs 5 DSGVO mit bis zu 20 Mio. oder im Fall eines Unternehmens bis zu 4% des letzten weltweiten Jahresumsatzes geahndet. Weiters steht jedem Betroffenen gemäß Art 82 DSGVO das Recht auf Schadenersatz wegen Datenschutzverletzung offen.
|
