Eine Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Sie kann jedoch erlaubt sein, wenn eine gesetzliche Rechtsgrundlage zur Verarbeitung besteht
–> Dies ist das Verbot mit Erlaubnisvorbehalt der DSGVO
Für eine Rechtsgrundlage (=Erlaubnistatbestand) kommen regelmäßig zwei Optionen in Betracht:
- Gesetzlicher Erlaubnistatbestand, wie z.B. Artikel 6 Absatz 1 lit. b-f DSGVO, §§14-20 BlnDSG, §6 BerlHG, §1 StudDatVO, §14 TMG, §84 LBG oder
- Einwilligung der betroffenen Personen Artikel 6 Absatz 1 lit. a DSGVO
Für die HWR gilt, dass eine Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO immer dann einzuholen ist, wenn
- für unser behördliches Handeln kein anderer gesetzlicher Erlaubnistatbestand in Frage kommt oder
- wenn zusätzliche, nicht vom Erlaubnistatbestand gedeckte personenbezogene Daten erhoben und verarbeitet werden sollen.
Beispiel
Eine Hochschule betreibt ein zentrales IT-System zur Unterstützung der Lehre. Die Nutzung des Systems ist in manchen Studiengängen zwingend vorgesehen und in deren Studiengangsordnungen geregelt. Das System ermöglicht den Studierenden auch Profilfotos hochzuladen, Meinungsäußerungen in einem Chat zu tätigen und die Daten zu Facebook zu verlinken. Diese Bereitstellung von Funktionen und Schnittstellen gehen über den reinen Nutzungszweck zur Unterstützung der Lehre weit hinaus und sind für diesen nicht erforderlich und bedürfen damit einer gesonderten Einwilligung. Denn mit ihnen werden andere Zwecke verfolgt.
Die Zwecke des Verwaltungshandeln der HWR Berlin sind i.d.R. im Berliner Hochschulgesetz verankert. Es enthält entsprechende Erlaubnistatbestände für Verarbeitungstätigkeiten. Die Grenzen sind hierbei eng auszulegen. Kommt keine der hier genannten Erlaubnistatbestände in Frage, sind andere spezialgesetzliche Regelungen sowie Tatbestände der DSGVO zu prüfen. Kommen auch hier keine Tatbestände in Frage, kann die Verarbeitung nur durch eine Einwilligung legitimiert werden. Für behördliches Handeln sollte dies jedoch den Ausnahmefall darstellen.