Die DSGVO sagt ganz klar Nein, aber…
Gemeint ist, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, unter bestimmten Voraussetzungen jedoch erlaubt sein kann. Die DSGVO spricht vom Verbot mit Erlaubnisvorbehalt.
Folgendes muss berücksichtigt werden, um rechtmäßig personenbezogene Daten verarbeiten zu können:
Rechtmäßigkeit der Verarbeitung: Es muss eine gesetzliche Erlaubnisregelung vorliegen oder es muss eine Einwilligung der Betroffenen eingeholt werden. Die jeweiligen Erlaubnistatbestände bzw. Erlaubnisregelungen sind in Artikel 6 DSGVO bzw. auch in spezialgesetzlichen Normen (z.B. Telekommunikationsgesetz, BDSG, StudDatVO) reglementiert.
Datenminimierung und Zweckbindung: Es dürfen nur die für die jeweiligen Zwecke erforderlichen personenbezogenen Daten verarbeitet werden. Die erhobenen Daten dürfen für keine anderen Zwecke verwendet werden − abgesehen von geregelten Ausnahmen bspw. im Bereich der wissenschaftlichen Forschung (Artikel 5 DSGVO).
Informationspflichten: Die betroffenen Personen sind über die Verarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren (Artikel 12, Artikel 13, Artikel 14 DSGVO). Den Informationspflichten wird in der Regel in der Datenschutzerklärung nachgekommen. Die Betroffenen sind spätestens zum Zeitpunkt der Datenverarbeitung durch die HWR hinsichtlich der Informationspflichten zu unterrichten.
Verzeichnis der Verarbeitungstätigkeiten: Alle wesentlichen Angaben zu den verschiedenen Verarbeitungen personenbezogener Daten (z. B. Personalverwaltung, Studierendenverwaltung oder Forschungsvorhaben) sind im Verzeichnis der Verarbeitungstätigkeiten (VVT) zu dokumentieren (Artikel 30 DSGVO)
Sicherheit der Verarbeitung: Die Verarbeitung ist durch geeignete technische und organisatorische Maßnahmen gegen Bedrohungen und Gefahren zu schützen. Es ist ein, dem Risiko, angemessenes Schutzniveau zu gewährleisten. (Artikel 32 DSGVO)
Betroffenenrechte: Die Rechte der betroffenen Personen auf Auskunft (Artikel 15 DSGVO), Berichtigung (Artikel 16 DSGVO), Löschung von Daten (Artikel 17 DSGVO), Einschränkung der Verarbeitung (Artikel 18 DSGVO), Datenübertragbarkeit (Artikel 20 DSGVO) oder Widerspruch (Artikel 21 DSGVO) sind zu berücksichtigen.
Auftragsdatenverarbeitung: Werden personenbezogene Daten im Auftrag durch externe Stellen verarbeitet, so ist ein Vertrag zur Auftragsverarbeitung zu schließen (Artikel 28 DSGVO).