Kompakte Erläuterung zentraler Begriffe aus Datenschutzrecht, KI-Verordnung,
Informationssicherheit und dem Hochschul- bzw. Verwaltungsrecht Sachsen-Anhalts.
Jede Definition enthält die jeweilige Rechts- oder Normfundstelle. Stand:
Mai 2026; das Glossar wird laufend gepflegt.
Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung:
Die Einträge dienen ausschließlich der fachlichen Orientierung und können
eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Das Glossar
stellt keine individuelle Rechtsberatung im Sinne des
Rechtsdienstleistungsgesetzes (RDG) dar. Angaben zu Fristen, Schwellenwerten,
Fundstellen und Rechtsprechung beziehen sich auf den genannten
Bearbeitungsstand; eine Gewähr für Aktualität, Richtigkeit oder
Vollständigkeit wird nicht übernommen. Für konkrete datenschutzrechtliche
Fragestellungen wenden Sie sich bitte an die Landesbeauftragte für den
Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte
Rechtsanwaltskanzlei.
Transparenz zu Quellen und Bearbeitung: Die Einträge stützen
sich auf den jeweils geltenden Gesetzes- und Normwortlaut (DSGVO, KI-VO,
DSAG LSA, HSG LSA, BSI-Standards u. a.) sowie auf fachlich
etablierte Standardterminologie. Wörtliche Übernahmen beschränken sich auf
amtliche Werke, die nach § 5 UrhG gemeinfrei sind; die übrigen
Formulierungen sind eigene Bearbeitungen. Hinweise auf verbleibende
Ähnlichkeiten zu Drittwerken nehme ich gerne unter
Kontakt entgegen.
Keine Treffer für die aktuellen Filter- und Suchbedingungen.
A
KI-VOAnbieter (KI-VO)
Natürliche oder juristische Person, Behörde, Einrichtung oder sonstige
Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem
Verwendungszweck entwickelt oder entwickeln lässt und unter eigenem
Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt –
entgeltlich oder unentgeltlich. Den Anbieter treffen die zentralen
Pflichten der KI-VO, insbesondere bei Hochrisiko-KI-Systemen
(Kapitel III KI-VO) und bei GPAI-Modellen (Kapitel V KI-VO).
Abzugrenzen vom Betreiber (Art. 3 Nr. 4 KI-VO), der ein
KI-System lediglich in eigener Verantwortung verwendet.
Fundstelle: Art. 3 Nr. 3 KI-VO (VO (EU) 2024/1689).
DSGVOAnonymisierung
Verarbeitungstechnik, durch die der Personenbezug irreversibel entfernt
wird, so dass eine Re-Identifizierung der betroffenen Personen mit
verhältnismäßigen Mitteln nicht mehr möglich ist (Erwägungsgrund 26
DSGVO). Anonyme Daten unterliegen nicht mehr der DSGVO. Die
Anforderungen sind streng: Es ist aus der Perspektive aller realistisch
denkbaren Akteure und unter Berücksichtigung verfügbaren Zusatzwissens
zu prüfen, ob eine Re-Identifizierung ausgeschlossen ist. Abzugrenzen
von der Pseudonymisierung (Art. 4 Nr. 5 DSGVO), die den
Personenbezug nur getrennt aufbewahrt, aber nicht auflöst. Vertiefte
Darstellung inkl. EuGH-Rechtsprechung (Breyer, EDPS/SRB) und
Re-Identifizierungsrisiken auf der
Themenseite Anonymisierung vs.
Pseudonymisierung.
Natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet. Maßgebend ist die fehlende Zweck- und Mittelherrschaft:
Der Auftragsverarbeiter folgt den dokumentierten Weisungen des
Verantwortlichen und verarbeitet die Daten nicht zu eigenen Zwecken
(Art. 29 DSGVO). Typische Beispiele an Hochschulen sind Anbieter
von Cloud-Speichern, Lern- und Videokonferenzplattformen sowie
externe Dienstleister für die Personalverwaltung. Die Rechte und
Pflichten sind in einem AVV nach Art. 28 Abs. 3 DSGVO zu
regeln.
Fundstelle: Art. 4 Nr. 8 DSGVO.
DSGVOAuftragsverarbeitung
Verarbeitung personenbezogener Daten durch einen Dienstleister
(Auftragsverarbeiter) im Auftrag und weisungsgebunden nach Maßgabe des
Verantwortlichen. Rechtsgrundlage und Anforderungen ergeben sich aus
Art. 28 DSGVO; zwingend ist ein schriftlich oder elektronisch
geschlossener Auftragsverarbeitungsvertrag (AVV). An Hochschulen typisch
bei Cloud-Diensten, Lern- und Videokonferenzplattformen. Abgrenzung zur
gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO und zur
Übermittlung an Dritte ist jeweils anhand der tatsächlichen Zweck- und
Mittelherrschaft zu prüfen.
Fundstelle: Art. 28 DSGVO (VO (EU) 2016/679).
DSGVOAuftragsverarbeitungsvertrag (AVV)
Vertrag oder anderes Rechtsinstrument zwischen Verantwortlichem und
Auftragsverarbeiter, das die Verarbeitung personenbezogener Daten im
Auftrag regelt. Zwingender Inhalt nach Art. 28 Abs. 3 DSGVO
sind insbesondere: Gegenstand, Dauer, Art und Zweck der Verarbeitung,
Art der personenbezogenen Daten, Kategorien betroffener Personen sowie
Pflichten und Rechte des Verantwortlichen. Der Auftragsverarbeiter
wird unter anderem zur Weisungsbindung, Vertraulichkeit, Umsetzung
geeigneter technisch-organisatorischer Maßnahmen, Regelung der
Unterauftragsverarbeitung, Unterstützung bei Betroffenenrechten und
Sicherheit, Rückgabe oder Löschung nach Auftragsende sowie Duldung von
Audits verpflichtet. Schriftlich oder elektronisch abzuschließen.
Vertiefte Darstellung mit Muster-Vorlage und Abgrenzung zur
gemeinsamen Verantwortlichkeit auf der
Themenseite AVV.
Fundstelle: Art. 28 Abs. 3 und 9 DSGVO.
DSGVOAuskunftsrecht
Recht der betroffenen Person, vom Verantwortlichen eine Bestätigung
darüber zu verlangen, ob sie betreffende personenbezogene Daten
verarbeitet werden, und in diesem Fall Auskunft über die Verarbeitung
sowie eine Kopie der personenbezogenen Daten zu erhalten. Die Auskunft
umfasst u. a. Verarbeitungszwecke, Kategorien der Daten,
Empfänger, geplante Speicherdauer, Herkunft der Daten und den Hinweis
auf die weiteren Betroffenenrechte. Frist: grundsätzlich ein Monat ab
Eingang, um maximal zwei Monate verlängerbar (Art. 12 Abs. 3
DSGVO). Umfang und Grenzen der Datenkopie sind durch die
EuGH-Rechtsprechung konkretisiert (C-487/21 – Österreichische
Datenschutzbehörde).
Fundstelle: Art. 15 DSGVO.
DSGVOAutomatisierte Einzelfallentscheidung
Recht der betroffenen Person, nicht einer ausschließlich auf einer
automatisierten Verarbeitung – einschließlich Profiling – beruhenden
Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche
Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Ausnahmen bestehen bei Erforderlichkeit für Vertragsabschluss oder
-erfüllung, gesetzlicher Zulässigkeit oder ausdrücklicher Einwilligung.
Maßgeblich ist, ob ein menschlicher Bearbeiter die Entscheidung
tatsächlich inhaltlich überprüft und nicht nur formal gegenzeichnet.
Schnittstelle zur KI-VO: Hochrisiko-KI-Systeme nach Anhang III
KI-VO (z. B. Bewertung von Lernleistungen) unterliegen zusätzlich
deren Anforderungen an menschliche Aufsicht (Art. 14 KI-VO).
Fundstelle: Art. 22 DSGVO; Art. 14 KI-VO.
B
DSGVOBesondere Kategorien personenbezogener Daten
Daten, aus denen – im Wortlaut der Norm – die „rassische und
ethnische Herkunft", politische Meinungen, religiöse oder
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen, sowie genetische Daten, biometrische Daten zur
eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen
Orientierung. Die Verarbeitung unterliegt nach Art. 9
Abs. 1 DSGVO einem grundsätzlichen Verarbeitungsverbot
mit Erlaubnisvorbehalt und ist nur unter den engen Ausnahmen
des Art. 9 Abs. 2 DSGVO zulässig, etwa bei
ausdrücklicher Einwilligung, Erforderlichkeit für arbeits-
und sozialrechtliche Pflichten oder für Forschungszwecke. An
Hochschulen relevant insbesondere bei Gesundheitsdaten
Studierender und Beschäftigter sowie bei
Forschungsdatenverarbeitungen mit Personenbezug; für
Forschungskonstellationen und landesrechtliche Sonderlagen
sind zusätzlich die einschlägigen spezialgesetzlichen Normen
gesondert zu prüfen.
Natürliche oder juristische Person, Behörde, Einrichtung oder
sonstige Stelle, die ein KI-System in eigener Verantwortung
verwendet, es sei denn, das KI-System wird im Rahmen einer
persönlichen, nicht beruflichen Tätigkeit verwendet. Hochschulen
und Behörden sind beim Einsatz extern bereitgestellter KI-Systeme
(etwa ChatGPT Edu, Microsoft Copilot) häufig Betreiber
im Sinne der KI-VO. Die genaue Rollenbestimmung hängt jedoch von
Anpassung, Integration und tatsächlicher Verantwortungsverteilung
im Einzelfall ab; bei wesentlicher Veränderung der
Zweckbestimmung kann der Betreiber selbst zum Anbieter werden
(Art. 25 Abs. 1 lit. b und c KI-VO). Zentrale Betreiberpflichten
ergeben sich aus Art. 26 KI-VO (Hochrisiko-KI:
Anweisungsbefolgung, menschliche Aufsicht, Monitoring,
Informationspflichten gegenüber Betroffenen) sowie aus
Art. 4 KI-VO (KI-Kompetenz).
Die identifizierte oder identifizierbare natürliche Person, deren
personenbezogene Daten verarbeitet werden. Juristische Personen sind
keine Betroffenen im Sinne der DSGVO. Aus der Betroffenenstellung folgen
insbesondere die Rechte der Art. 12 bis 22 DSGVO: Information,
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit,
Widerspruch und Schutz vor ausschließlich automatisierter
Einzelfallentscheidung.
Fundstelle: Art. 4 Nr. 1 DSGVO.
IT-SicherheitBSI C5
Cloud Computing Compliance Controls Catalogue – vom Bundesamt für
Sicherheit in der Informationstechnik herausgegebener Anforderungskatalog
für sichere Cloud-Dienste (aktuelle Fassung: C5:2020). Umfasst
17 Themenbereiche mit 121 Anforderungen, die sich an etablierten
Standards (ISO/IEC 27001, BSI-Grundschutz, SOC 2,
CSA STAR) orientieren. Cloud-Anbieter weisen die Konformität
regelmäßig durch ein Prüfungstestat nach ISAE 3000 nach. Für die
öffentliche Verwaltung in Deutschland faktischer De-facto-Standard zur
Bewertung von Cloud-Diensten.
Methodik und Standardwerk des Bundesamts für Sicherheit in der
Informationstechnik (BSI) zur Etablierung eines
Informationssicherheits-Managementsystems (ISMS). Besteht aus den
BSI-Standards 200-1 bis 200-4 sowie dem IT-Grundschutz-Kompendium
mit Bausteinen nach Schichten (ISMS, ORP, CON, OPS, DER, APP, SYS, IND,
NET, INF). Drei Vorgehensweisen stehen zur Verfügung (Basis-, Kern- und
Standardabsicherung); eine Kompatibilität zu ISO/IEC 27001 ist
gewährleistet.
Fundstelle: BSI-Standards 200-1 bis 200-4, IT-Grundschutz-Kompendium, Edition 2023.
LSABußgeldausschluss für öffentliche Stellen
Nach Art. 83 Abs. 7 DSGVO i. V. m. § 31
Abs. 2 Satz 1 DSAG LSA können gegen öffentliche Stellen des Landes
Sachsen-Anhalt – einschließlich der Hochschulen – keine
Geldbußen nach der DSGVO verhängt werden. Diese landesrechtliche Festlegung ist von der
Öffnungsklausel des Art. 83 Abs. 7 DSGVO gedeckt. Eine Rückausnahme regelt
§ 31 Abs. 2 Satz 2 DSAG LSA für öffentliche Stellen,
die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen –
insoweit bleibt die Verhängung von Geldbußen möglich. Bei
Datenschutzverstößen kommen stattdessen in Betracht: behördliche
Anordnungen oder Untersagungen durch die Landesbeauftragte für den
Datenschutz (Art. 58 Abs. 2 DSGVO), Schadensersatzansprüche
Betroffener (Art. 82 DSGVO) sowie Reputationsschäden.
Fundstelle: Art. 83 Abs. 7 DSGVO i. V. m. § 31 Abs. 2 Satz 1 (Ausschluss) und Satz 2 (Rückausnahme Wettbewerb) DSAG LSA.
D
DSGVODatenübertragbarkeit
Recht der betroffenen Person, die sie betreffenden personenbezogenen
Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem
strukturierten, gängigen und maschinenlesbaren Format zu erhalten und
einem anderen Verantwortlichen ohne Behinderung zu übermitteln.
Voraussetzung ist, dass die Verarbeitung auf Einwilligung
(Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2
lit. a) oder Vertrag (Art. 6 Abs. 1 lit. b) beruht
und automatisiert erfolgt. Für öffentliche Stellen
praktisch eingeschränkt, da Verarbeitungen typischerweise auf
Art. 6 Abs. 1 lit. e DSGVO i. V. m.
§ 119 HSG LSA oder § 4 DSAG LSA gestützt werden.
Fundstelle: Art. 20 DSGVO.
DSGVODatenvernichtung (DIN 66399)
Datenschutzgerechte Vernichtung von Papierunterlagen und
elektronischen Datenträgern als Bestandteil der TOMs nach
Art. 32 DSGVO. Der in Deutschland weiterhin gebräuchliche
Referenzstandard ist die DIN 66399-1 bis -3
(Erstausgabe 2012, von DIN 2023 zurückgezogen); inhaltlich
wird in vielen Aspekten Bezug auf die internationale
Parallelnorm ISO/IEC 21964:2018-08 genommen.
Bei internationalen oder aktuellen Beschaffungs- und
Compliancekontexten sind die jeweils einschlägigen
Nachfolge- oder Parallelstandards gesondert zu prüfen. Sie
operiert mit drei
Schutzklassen (1: normaler, 2: hoher, 3: sehr
hoher Schutzbedarf) und sieben Sicherheitsstufen,
differenziert nach Materialart: P (Papier), F (Filme), O
(optische Datenträger), T (magnetische Datenträger), H
(Festplatten) und E (elektronische Datenträger). Für
hochschultypische personenbezogene Daten (Personalakten,
Prüfungsunterlagen, Atteste) ist regelmäßig
Schutzklasse 2 einschlägig –
Vernichtung mindestens nach P-4 (Papier), H-4 (Festplatten)
und E-3 (elektronische Datenträger). Externe
Entsorgungsdienstleister sind Auftragsverarbeiter im Sinne
von Art. 28 DSGVO; Vernichtungsprotokolle sind
revisionsfest abzulegen. Vertiefte Darstellung mit
Vier-Augen-Prinzip, Standortsicherheit und Praxisbeispielen
auf der Themenseite
Datenvernichtung.
Fundstelle: Art. 5 Abs. 1 lit. f, Art. 28, Art. 32 DSGVO; DIN 66399-1 bis -3 (2012, von DIN 2023 zurückgezogen); ISO/IEC 21964:2018-08 (Nachfolgenorm); BSI IT-Grundschutz CON.6 „Löschen und Vernichten"; BSI-TL 03420 / 03423.
DSGVODrittlandstransfer
Übermittlung personenbezogener Daten an einen Empfänger in einem Land
außerhalb des Europäischen Wirtschaftsraums (EWR) oder an eine
internationale Organisation. Zulässig nur, wenn eine der Garantien
des Kapitels V DSGVO greift: Angemessenheitsbeschluss der
Kommission (Art. 45 DSGVO), geeignete Garantien wie
Standardvertragsklauseln (Art. 46) oder verbindliche interne
Datenschutzvorschriften (Art. 47) oder Ausnahmetatbestände
(Art. 49). Nach EuGH C-311/18 (Schrems II) ist zusätzlich ein
Transfer Impact Assessment (TIA) durchzuführen, das prüft, ob die
Rechtsvorschriften im Drittland ein im Wesentlichen gleichwertiges
Schutzniveau gewährleisten. Für die USA besteht seit dem 10.07.2023
der Angemessenheitsbeschluss „EU–US Data Privacy Framework" (DPF).
Vertiefte Darstellung mit TIA-Methodik und Praxisbeispielen auf der
Themenseite Drittlandstransfer.
Praxis-Bezeichnung für ein Vorgehensmuster, bei dem Personen
Auskunftsersuchen nach Art. 15 DSGVO seriell und ohne echtes
Informationsinteresse an eine Vielzahl von Verantwortlichen
richten, um anschließend bei verspäteter, unvollständiger oder
ausbleibender Beantwortung einen immateriellen Schadensersatz
nach Art. 82 DSGVO zu liquidieren. Der Begriff lehnt sich
an die arbeitsrechtliche Figur des „AGG-Hoppers"
(Scheinbewerbungen zur Erzielung von Entschädigungsansprüchen
nach § 15 AGG) an. Der EuGH hat mit Urteil vom
19. März 2026 (C-526/24 – Brillen Rottler)
klargestellt, dass auch ein erster Auskunftsantrag
im Sinne des Art. 12 Abs. 5 DSGVO exzessiv sein
kann, wenn er ausschließlich darauf abzielt, einen
Schadensersatzanspruch wegen eines angeblichen DSGVO-Verstoßes
zu generieren. Die Beweislast für den Rechtsmissbrauch trägt
der Verantwortliche; er kann sich auf objektive Indizien
stützen (systematisches Vorgehen gegenüber mehreren
Verantwortlichen, sehr kurze Zeitspanne zwischen Datenerhebung
und Antrag, sofortige Schadensersatzforderung, fehlendes
erkennbares Datenschutzinteresse, dokumentierte Muster aus
Medien- oder Anwaltsberichten). Im Zweifel ist der Auskunft
stattzugeben und der Vorgang sorgfältig zu dokumentieren.
Siehe auch Exzessiver Antrag.
Strukturiertes Verfahren zur Vorab-Bewertung voraussichtlich hoher
Risiken für die Rechte und Freiheiten natürlicher Personen bei einer
geplanten Verarbeitung. Pflicht besteht bei den in Art. 35
Abs. 3 DSGVO genannten Regelfällen sowie bei Verarbeitungen, die
auf den Muss-Listen der Aufsichtsbehörden stehen. Methodisch wird in
Deutschland häufig das Standard-Datenschutzmodell (SDM v3.1a) der
DSK herangezogen. Führt das Verfahren trotz getroffener Maßnahmen zu
einem verbleibenden hohen Risiko, ist die Aufsichtsbehörde nach
Art. 36 DSGVO vorab zu konsultieren. Vertiefte Darstellung mit
Schwellwert-Prüfraster und Pflichtinhalten auf der
Themenseite DSFA.
Fundstelle: Art. 35, 36 DSGVO; SDM Version 3.1 (DSK, 14.05.2024) bzw. aktuelle redaktionelle Fassung v3.1a.
LSADSAG LSA
Datenschutz-Grundverordnungs-Ausfüllungsgesetz Sachsen-Anhalt;
vollständige Bezeichnung: „Gesetz zur Ausfüllung der Verordnung (EU)
2016/679 und zur Anpassung des allgemeinen Datenschutzrechts in
Sachsen-Anhalt". Füllt die Öffnungsklauseln der DSGVO für die
öffentlichen Stellen des Landes Sachsen-Anhalt aus und regelt
insbesondere die Zulässigkeit der Datenverarbeitung
(§ 4 DSAG LSA), Beschränkungen der Betroffenenrechte
(§§ 10 ff. DSAG LSA), die Personalaktenführung
(§ 26 DSAG LSA) sowie die Rechtsstellung und Befugnisse
der Landesbeauftragten für den Datenschutz (§§ 21 ff.
DSAG LSA). Tritt im Hochschulbereich subsidiär hinter dem
spezielleren § 119 HSG LSA zurück.
Fundstelle: DSAG LSA vom 18.02.2020, verkündet als Art. 1 des DSAnpG EU LSA (GVBl. LSA 2020, S. 25); zuletzt geändert durch Gesetz vom 10.05.2023 (GVBl. LSA S. 228).
E
DSGVOEinwilligung
Freiwillige, für den bestimmten Fall, in informierter Weise und
unmissverständlich abgegebene Willensbekundung der betroffenen Person
zur Verarbeitung ihrer personenbezogenen Daten. Anforderungen an
Bedingungen und Nachweis regelt Art. 7 DSGVO; die Einwilligung ist
jederzeit widerruflich und muss ebenso einfach widerrufen werden können
wie sie erteilt wurde. Besondere Vorsicht gilt im Beschäftigtenkontext
und im Verhältnis öffentlicher Stellen zu Bürgern, da dort regelmäßig
ein Ungleichgewicht die Freiwilligkeit in Frage stellt
(Erwägungsgrund 43 DSGVO). Im nicht-öffentlichen Bereich und in
Bundesbehörden enthält § 26 Abs. 2 BDSG ergänzende
Anforderungen; die unionsrechtliche Anwendbarkeit dieser Norm in
ihrer Generalklausel-Funktion ist nach EuGH, Urteil v.
30. März 2023 – C-34/21 (Hauptpersonalrat Hessen),
in Teilen umstritten. Die arbeitsgerichtliche Folgejudikatur
hat diese Linie aufgegriffen, zuletzt bestätigt durch BAG,
Urteil v. 08. Mai 2025 – 8 AZR 209/21 („Workday").
Vertiefte Darstellung der vier Voraussetzungen, des
Beschäftigtenkontextes und typischer Praxisfälle auf der
Themenseite Einwilligungserklärungen.
Fundstelle: Art. 4 Nr. 11, Art. 7 DSGVO; ErwGr 43 DSGVO; § 26 Abs. 2 BDSG (im nicht-öffentlichen Bereich und in Bundesbehörden); EuGH, Urteil v. 30.03.2023 – C-34/21 (Hauptpersonalrat Hessen); BAG, Urteil v. 08.05.2025 – 8 AZR 209/21 („Workday").
LSAElektronisches Laborbuch (ELN)
Webbasiertes Dokumentationssystem für die strukturierte
digitale Erfassung von Experimenten, Protokollen und
Forschungsergebnissen (Electronic Lab Notebook, ELN);
bekannte Vertreter sind etwa eLabFTW,
Chemotion oder Benchling. ELN-Lösungen
ersetzen das papierene Laborbuch und unterstützen die
DFG-Leitlinien zur guten wissenschaftlichen Praxis sowie
die FAIR-Data-Prinzipien. Datenschutzrechtlich bestehen
drei wiederkehrende Fragen: die Rechtsgrundlage für die
Verarbeitung der Beschäftigten- und Inhaltsdaten
(Art. 6 Abs. 1 lit. e DSGVO i. V. m.
§§ 3, 23 HSG LSA, flankiert durch § 27
DSAG LSA), das Verhältnis zwischen Löschpflichten und
der konzeptionellen Unverfälschbarkeit wissenschaftlicher
Aufzeichnungen (Forschungsprivileg Art. 17 Abs. 3
lit. d DSGVO i. V. m. der DFG-Aufbewahrungsfrist
von zehn Jahren) sowie die Mitbestimmung der
Personalvertretung nach § 69 Nr. 1 (automatisierte
Verarbeitung Beschäftigtendaten) und Nr. 2 PersVG LSA
(technische Eignung zur Verhaltens- und Leistungskontrolle).
Vertiefte Darstellung mit DSFA-Vorprüfung, TOMs und
Praxisbeispielen auf der Themenseite
Elektronisches Laborbuch.
Fundstelle: Art. 6 Abs. 1 lit. e, Art. 17 Abs. 3 lit. d, Art. 89 DSGVO; §§ 3, 23 HSG LSA; § 27 DSAG LSA; § 69 Nr. 1 und Nr. 2 PersVG LSA; DFG-Leitlinien zur guten wissenschaftlichen Praxis (Leitlinie 17).
DSGVOEmpfänger und Dritter
Empfänger ist eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten
offengelegt werden – unabhängig davon, ob es sich dabei um einen
Dritten handelt oder nicht (Art. 4 Nr. 9 DSGVO). Behörden,
die Daten im Rahmen eines bestimmten Untersuchungsauftrags nach
Unionsrecht oder mitgliedstaatlichem Recht erhalten, gelten nicht als
Empfänger. Dritter ist hingegen jede Person außer der
betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und
den Personen, die unter der unmittelbaren Verantwortung dieser Stellen
befugt sind, die personenbezogenen Daten zu verarbeiten (Art. 4
Nr. 10 DSGVO). Die Empfänger-Kategorie ist im
Verarbeitungsverzeichnis (Art. 30 DSGVO) und in den
Datenschutzhinweisen (Art. 13, 14 DSGVO) anzugeben.
Fundstelle: Art. 4 Nr. 9 und 10 DSGVO.
DSGVOExzessiver Antrag (Art. 12 Abs. 5 DSGVO)
Antrag einer betroffenen Person auf Wahrnehmung ihrer Rechte
nach den Art. 15 bis 22 DSGVO, der entweder
offenkundig unbegründet oder exzessiv ist.
Liegt eines dieser Merkmale vor, darf der Verantwortliche
wahlweise ein angemessenes Entgelt verlangen oder die Bearbeitung
ablehnen; die Beweislast für die Voraussetzungen trägt nach
ausdrücklicher Anordnung des Art. 12 Abs. 5 Satz 2
DSGVO der Verantwortliche. Der EuGH hat mit Urteil vom
19. März 2026 (C-526/24 – Brillen Rottler) entschieden,
dass die Norm nicht voraussetzt, dass die betroffene
Person zuvor bereits Anträge gestellt hat; auch ein erstmaliger
Antrag kann exzessiv sein, wenn er allein darauf abzielt,
anschließend einen Schadensersatzanspruch nach Art. 82
DSGVO wegen eines angeblichen Verstoßes zu fordern. Als
objektive Indizien benennt der EuGH insbesondere ein
systematisches Vorgehen gegenüber mehreren Verantwortlichen
und das Fehlen eines erkennbaren Datenschutzinteresses. Die
Zurückweisung eines tatsächlich missbräuchlichen Antrags
stellt keinen Verstoß gegen die DSGVO dar und löst keinen
Schadensersatzanspruch aus. In der Praxis empfiehlt sich
gleichwohl, im Zweifelsfall die Auskunft zu erteilen und die
Indizienlage sorgfältig zu dokumentieren. Siehe auch
DSGVO-Hopping sowie
Auskunftsrecht (Art. 15 DSGVO).
Spezielle Rechtsgrundlage für die Verarbeitung personenbezogener Daten
zu wissenschaftlichen oder historischen Forschungszwecken; die
landesrechtliche Ausfüllung der Öffnungsklausel des Art. 89 DSGVO
für die öffentlichen Stellen Sachsen-Anhalts findet sich in § 27
DSAG LSA. Geregelt sind insbesondere Anforderungen an die
Verarbeitung besonderer Kategorien personenbezogener Daten
(Art. 9 DSGVO) im Forschungskontext sowie zu schutzwirksamen
Maßnahmen (Pseudonymisierung, getrennte Speicherung,
Zweckerreichungslöschung). Praktisch relevant für jedes
Forschungsvorhaben an Hochschulen Sachsen-Anhalts mit Personenbezug.
Fundstelle: Art. 89 DSGVO; § 27 DSAG LSA.
G
DSGVOGemeinsam Verantwortliche (Joint Controller)
Konstellation nach Art. 26 DSGVO, bei der zwei oder mehr
Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung
personenbezogener Daten entscheiden. Sie haben in einer transparenten
Vereinbarung festzulegen, wer welche Pflichten der DSGVO erfüllt –
insbesondere die Wahrnehmung der Betroffenenrechte und der
Informationspflichten nach Art. 13 und 14 DSGVO. Das Wesentliche
der Vereinbarung ist den betroffenen Personen zur Verfügung zu stellen.
Die Abgrenzung zur Auftragsverarbeitung (Art. 28 DSGVO) folgt aus
der eigenständigen Mittel- und Zwecksetzungskompetenz beider Stellen
(vgl. EuGH C-210/16 – Wirtschaftsakademie; C-25/17 – Zeugen Jehovas).
Fundstelle: Art. 26 DSGVO.
KI-VOGeneral-Purpose AI (GPAI)
KI-Modelle mit allgemeinem Verwendungszweck, die ein breites Spektrum
unterschiedlicher Aufgaben bewältigen können und in weitere KI-Systeme
oder Anwendungen integriert werden. Für Anbieter von GPAI-Modellen
gelten gesonderte Transparenz-, Dokumentations- und Urheberrechts-Pflichten
nach Kapitel V KI-VO; bei Modellen mit systemischem Risiko nach
Art. 51 KI-VO kommen zusätzliche Anforderungen hinzu. Typische
Beispiele sind große Sprachmodelle (LLM) wie GPT-4, Claude oder Gemini.
KI-Systeme, die aufgrund ihres Einsatzbereichs oder ihrer Funktion als
besonders risikoreich für Gesundheit, Sicherheit oder Grundrechte
natürlicher Personen eingestuft werden. Anhang III nennt u. a.
kritische Infrastrukturen, Bildung (z. B. Bewertung von Lernleistungen,
Zugang zu Hochschulen), Beschäftigung, Strafverfolgung und Migration.
Anbieter und Betreiber treffen umfangreiche Pflichten aus Kapitel III
KI-VO: Risikomanagement, Datenqualität, technische Dokumentation,
Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit und
Cybersicherheit.
Fundstelle: Art. 6 i. V. m. Anhang III KI-VO.
LSAHSG LSA
Hochschulgesetz des Landes Sachsen-Anhalt. Regelt insbesondere die
Aufgaben der Hochschulen (§ 3 HSG LSA: Pflege und Entwicklung
der Wissenschaften und Künste durch Forschung, Lehre, Studium,
Weiterbildung und Kunstausübung), ihre Rechtsstellung als
Körperschaften des öffentlichen Rechts mit dem Recht der
Selbstverwaltung (§ 54 HSG LSA) sowie den Datenschutz an
Hochschulen (§ 119 HSG LSA). § 119 HSG LSA enthält
die hochschulspezifischen Verarbeitungstatbestände für Daten von
Studienbewerbern, Studierenden, Promovierenden, Mitgliedern,
Angehörigen, Nutzern wissenschaftlicher Einrichtungen und
Vertragspartnern; nach § 119 Abs. 1 Satz 2 HSG LSA
dürfen die Hochschulen diese Daten auch zur Erfüllung ihrer übrigen
Aufgaben nach § 3 HSG LSA verarbeiten. Als hochschulspezifische
Spezialnorm zur DSGVO ist § 119 HSG LSA vorrangig anzuwenden;
das DSAG LSA – insbesondere § 4 DSAG LSA – gilt nur
subsidiär, soweit das HSG LSA keine eigene Regelung trifft.
Fundstelle: HSG LSA vom 01.07.2021 (GVBl. LSA S. 368), zuletzt geändert; insb. §§ 3, 54, 119.
I
IT-SicherheitISMS (ISO/IEC 27001)
Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022:
strukturiertes, prozessorientiertes System zur Etablierung,
Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung
der Informationssicherheit in einer Organisation. Umfasst die
Anforderungsklauseln 4–10 sowie die 93 Maßnahmen des
Anhangs A (Organizational, People, Physical, Technological
Controls). Bildet mit dem BSI-Grundschutz den methodischen Rahmen für
Art. 32 DSGVO (Sicherheit der Verarbeitung) sowie zahlreiche
Spezialgesetze (NIS-2, TISAX, B3S).
Fundstelle: ISO/IEC 27001:2022; Art. 32 DSGVO.
K
KI-VOKI-Kompetenz (AI Literacy)
Pflicht aus Art. 4 KI-VO: Anbieter und Betreiber von KI-Systemen
haben sicherzustellen, dass ihr Personal und andere in ihrem Auftrag
mit Betrieb und Nutzung von KI-Systemen befasste Personen über ein
ausreichendes Maß an KI-Kompetenz verfügen. Die Pflicht ist seit dem
02.02.2025 anwendbar und adressiert technische Kenntnisse, Kontextwissen
zu Einsatzbereichen und das Verständnis für Chancen und Risiken. In
Hochschulen und öffentlichen Stellen erfordert dies in der Regel ein
zielgruppenorientiertes Schulungs- und Kompetenzkonzept. Vertiefte
Darstellung mit Bausteinen eines Kompetenzkonzepts und Verweisen auf
den KI-Campus auf der
Themenseite KI-Governance.
Fundstelle: Art. 4 KI-VO; anwendbar seit 02.02.2025.
KI-VOKI-Reallabor (AI Sandbox)
Kontrollierte Erprobungsumgebung zur Entwicklung, zum Training, zur
Erprobung und Validierung innovativer KI-Systeme unter Aufsicht der
zuständigen nationalen Behörde. Mitgliedstaaten sind verpflichtet, bis
zum 02.08.2026 mindestens ein KI-Reallabor einzurichten oder sich an
einem solchen zu beteiligen. Ziel ist, regulatorische Hürden für
Innovation zu reduzieren und Rechtssicherheit insbesondere für KMU und
Start-ups zu schaffen. In Deutschland wird die Umsetzung u. a.
durch BNetzA, BSI und die zuständigen Marktüberwachungsbehörden
begleitet.
Maschinengestütztes System, das für einen in unterschiedlichem Grad
autonomen Betrieb ausgelegt ist, nach seiner Betriebsaufnahme anpassungsfähig
sein kann und aus den erhaltenen Eingaben für explizite oder implizite
Ziele ableitet, wie Ausgaben – etwa Vorhersagen, Inhalte, Empfehlungen
oder Entscheidungen – erstellt werden, die physische oder
virtuelle Umgebungen beeinflussen. Die Definition ist ausdrücklich an
das OECD-Modell angelehnt und wird durch Leitlinien der EU-Kommission
konkretisiert.
Fundstelle: Art. 3 Nr. 1 KI-VO (VO (EU) 2024/1689).
L
LSALandesbeauftragte für den Datenschutz Sachsen-Anhalt (LfD LSA)
Zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO für
öffentliche und nicht-öffentliche Stellen im Land Sachsen-Anhalt,
Dienstsitz Magdeburg. Berufung durch den Landtag nach § 21
DSAG LSA i. V. m. Art. 63 Abs. 2 der
Verfassung des Landes Sachsen-Anhalt; Aufgaben und Befugnisse ergeben
sich aus §§ 22 ff. DSAG LSA und Art. 57, 58 DSGVO.
Ansprechpartnerin für Beschwerden nach Art. 77 DSGVO, Meldungen
nach Art. 33 DSGVO und vorherige Konsultationen nach Art. 36
DSGVO für Verantwortliche und Auftragsverarbeiter mit Sitz in
Sachsen-Anhalt. Aktuelle Amtsinhaberin: Frau Rost (seit 01.08.2024).
Authentifizierungsverfahren, das mindestens zwei voneinander
unabhängige Faktoren aus den Kategorien Wissen (z. B. Passwort),
Besitz (z. B. Hardware-Token, Smartphone) und Inhärenz
(biometrisches Merkmal) kombiniert. Stand der Technik nach
Art. 32 DSGVO insbesondere für privilegierte Zugänge und sensible
Verarbeitungen; vom BSI im Baustein ORP.4 (Identitäts- und
Berechtigungsmanagement) empfohlen. Hardware-Token nach FIDO2/WebAuthn
gelten als phishing-resistent und sind SMS- oder TOTP-basierten
Verfahren regelmäßig vorzuziehen.
Richtlinie (EU) 2022/2555 vom 14.12.2022 über Maßnahmen für ein hohes
gemeinsames Cybersicherheitsniveau in der Union. Verpflichtet besonders
wichtige und wichtige Einrichtungen in 18 Sektoren (Hochschulen können
über den Sektor Forschung erfasst sein) zu Risikomanagement,
Meldepflichten für Sicherheitsvorfälle und zur persönlichen Verantwortung
der Leitungsebene. Die Umsetzung in Deutschland ist durch das
NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
erfolgt: Bundestag 13.11.2025, Bundesrat 21.11.2025, Verkündung im
Bundesgesetzblatt am 05.12.2025, Inkrafttreten am 06.12.2025 (ohne
Übergangsfristen). Betroffene Einrichtungen unterliegen den
Registrierungs- und Meldepflichten gegenüber dem BSI. Überschneidungen
mit Art. 32 DSGVO und dem BSI-Grundschutz sind intendiert.
Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich
organisierte Einrichtungen und Stellen des Landes, der Gemeinden, der
Verbandsgemeinden, der Landkreise und sonstiger der Aufsicht des
Landes unterstehender juristischer Personen des öffentlichen Rechts
sowie deren Vereinigungen, ungeachtet ihrer Rechtsform. Hochschulen
nach dem HSG LSA als Körperschaften des öffentlichen
Rechts (§ 54 HSG LSA) sind öffentliche Stellen des Landes.
Für öffentliche Stellen gilt insbesondere, dass eine Verarbeitung im
Regelfall auf Art. 6 Abs. 1 lit. e DSGVO i. V. m.
einer bereichsspezifischen Aufgabennorm zu stützen ist; das berechtigte
Interesse nach Art. 6 Abs. 1 lit. f DSGVO gilt nach
Art. 6 Abs. 1 UAbs. 2 DSGVO ausdrücklich nicht für die
von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Fundstelle: § 2 Abs. 2 DSAG LSA; § 54 HSG LSA.
P
LSAPersonalakte und Beschäftigungskontext
Personenbezogene Daten der Beschäftigten in innerem Zusammenhang
mit dem Dienst- oder Arbeitsverhältnis. Maßgebliche landesrechtliche
Norm ist § 26 DSAG LSA mit der Überschrift
„Vorschriften für die Datenverarbeitung im Beschäftigungskontext
nach Artikel 88 der Verordnung (EU) 2016/679". Die Norm
überträgt die beamtenrechtlichen Personalaktenvorschriften
(§ 50 BeamtStG; §§ 84 ff. LBG LSA) auf
Tarifbeschäftigte (Abs. 1), regelt Eignungsuntersuchungen
und psychologische Tests im Bewerbungsverfahren (Abs. 2)
und nimmt Bezug auf das Gendiagnostikgesetz. § 26
DSAG LSA enthält damit keine allgemeine
Beschäftigtendatenschutz-Generalklausel; er regelt
abschließend nur die drei Sondertatbestände
Personalaktenführung, Eignungsuntersuchungen und
GenDG-Bezug. Die allgemeine Rechtsgrundlage für sonstige
Beschäftigtenverarbeitungen folgt unmittelbar aus
Art. 6 Abs. 1 lit. b oder lit. e DSGVO
i. V. m. der jeweiligen bereichsspezifischen
Aufgabennorm.
Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen. Identifizierbar ist eine
Person, die direkt oder indirekt – insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten,
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen,
die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität sind –
identifiziert werden kann. Juristische Personen sind nicht erfasst. Der
Personenbezug ist relativ und kontextabhängig zu beurteilen
(vgl. EuGH C-582/14 – Breyer zur Identifizierbarkeit über
IP-Adressen).
Fundstelle: Art. 4 Nr. 1 DSGVO; EuGH, Urteil vom 19.10.2016, C-582/14 – Breyer.
DSGVOPrivacy by Design / Privacy by Default
Datenschutz durch Technikgestaltung (Privacy by Design) und durch
datenschutzfreundliche Voreinstellungen (Privacy by Default) –
Pflichten des Verantwortlichen, bereits zum Zeitpunkt der Festlegung
der Mittel der Verarbeitung sowie zum Zeitpunkt der Verarbeitung selbst
geeignete technisch-organisatorische Maßnahmen zu treffen, die die
Datenschutzgrundsätze (Art. 5 DSGVO) wirksam umsetzen. Privacy by
Default verpflichtet zudem, durch Voreinstellungen sicherzustellen,
dass nur Daten verarbeitet werden, deren Verarbeitung für den
jeweiligen Zweck erforderlich ist. An Hochschulen relevant
insbesondere bei der Konzeption neuer Lern- und Verwaltungssysteme.
Fundstelle: Art. 25 DSGVO; EDPB Guidelines 4/2019 on Article 25.
DSGVOPseudonymisierung
Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne
Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können – sofern diese
zusätzlichen Informationen gesondert aufbewahrt werden und
technisch-organisatorischen Maßnahmen unterliegen, die gewährleisten,
dass die personenbezogenen Daten keiner identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden können.
Pseudonymisierte Daten bleiben personenbezogene Daten i. S. d.
DSGVO – die DSGVO ist anwendbar. Pseudonymisierung ist eine
ausdrücklich anerkannte technisch-organisatorische Maßnahme nach
Art. 32 Abs. 1 lit. a DSGVO und ein zentrales Element
schutzwirksamer Forschungsverarbeitung (§ 27 DSAG LSA).
Abgrenzung zur Anonymisierung und Erläuterung der kontextuellen
Anonymität auf der Themenseite
Anonymisierung vs. Pseudonymisierung.
Fundstelle: Art. 4 Nr. 5, Art. 32 Abs. 1 lit. a DSGVO.
R
DSGVORechenschaftspflicht
Grundprinzip der DSGVO: Der Verantwortliche ist nicht nur für die
Einhaltung der Verarbeitungsgrundsätze des Art. 5 Abs. 1
DSGVO (Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung,
Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und
Vertraulichkeit) verantwortlich, sondern muss deren Einhaltung
jederzeit nachweisen können. Praktische Ausprägungen sind das
Verarbeitungsverzeichnis (Art. 30), die DSFA (Art. 35), der
AVV (Art. 28), die Dokumentation der Rechtsgrundlagen,
Schulungsnachweise, technisch-organisatorische Maßnahmen und
Datenschutzhinweise. Die Rechenschaftspflicht ist nicht das Prinzip
selbst, sondern dessen Beweisbarkeit.
Fundstelle: Art. 5 Abs. 2 DSGVO.
DSGVORecht auf Löschung
Recht der betroffenen Person, vom Verantwortlichen die unverzügliche
Löschung personenbezogener Daten zu verlangen, wenn einer der Gründe
des Art. 17 Abs. 1 DSGVO vorliegt – etwa Wegfall der
Erforderlichkeit, Widerruf der Einwilligung, erfolgreicher Widerspruch
nach Art. 21 DSGVO, unrechtmäßige Verarbeitung oder gesetzliche
Löschpflicht. Häufig auch „Recht auf Vergessenwerden" (right to be
forgotten) genannt; der EuGH C-131/12 (Google Spain) prägte die
Anwendung auf Suchmaschinen. Ausnahmen nach Art. 17 Abs. 3
DSGVO bestehen u. a. bei gesetzlichen Aufbewahrungspflichten und
für Forschungs- oder statistische Zwecke.
Fundstelle: Art. 17 DSGVO; EuGH, Urteil vom 13.05.2014, C-131/12 – Google Spain.
S
IT-SicherheitSchutzbedarfsfeststellung
Methodisches Vorgehen zur Ermittlung des angemessenen Schutzbedarfs
eines IT-Systems, einer Anwendung oder eines Datenverarbeitungsprozesses,
geregelt im BSI-Standard 200-2 (IT-Grundschutz-Methodik). Die
Bewertung erfolgt für die Schutzziele Vertraulichkeit, Integrität und
Verfügbarkeit jeweils in den Kategorien normal, hoch
und sehr hoch. Maßstab ist der maximal denkbare Schaden bei
Verletzung des jeweiligen Schutzziels. Die Schutzbedarfsfeststellung
ist Grundlage jeder weiteren Maßnahmenauswahl im IT-Grundschutz und
Voraussetzung für eine ergänzende Risikoanalyse nach
BSI-Standard 200-3.
Klassische Schutzziele der Informationssicherheit:
Vertraulichkeit (Confidentiality – Daten sind nur
Berechtigten zugänglich), Integrität (Integrity –
Daten sind unversehrt und unverfälscht) und
Verfügbarkeit (Availability – Daten und Systeme sind
bei Bedarf nutzbar). In der DSGVO erweitert um Belastbarkeit, schnelle
Wiederherstellbarkeit und regelmäßige Wirksamkeitskontrolle
(Art. 32 Abs. 1 DSGVO). Maßstab für die Auswahl
technisch-organisatorischer Maßnahmen sowie für die
Schutzbedarfsfeststellung nach BSI-Standard 200-2.
DSGVO · IT-SicherheitSicherheitsvorfall / Data Breach
Ein Datenschutzvorfall im Sinne der DSGVO (Verletzung des
Schutzes personenbezogener Daten nach Art. 4 Nr. 12
DSGVO) ist nicht mit jedem Sicherheitsvorfall im
informationssicherheitsrechtlichen Sinne identisch; je nach
Sachverhalt können jedoch parallele Meldepflichten nach
Datenschutz- und Sicherheitsrecht nebeneinander bestehen.
Datenschutzrechtlich besteht eine Meldepflicht an die
Aufsichtsbehörde nach Art. 33 DSGVO grundsätzlich
binnen 72 Stunden ab Kenntnis, sofern kein geringes
Risiko vorliegt; zusätzlich Benachrichtigung der Betroffenen
nach Art. 34 DSGVO bei hohem Risiko. Im
Anwendungsbereich des NIS2UmsuCG gilt für erhebliche
Sicherheitsvorfälle parallel eine Frühwarnpflicht
gegenüber dem BSI binnen 24 Stunden und eine
ausführliche Meldung binnen 72 Stunden. Die
datenschutzrechtliche 72-Stunden-Frist und die
informationssicherheitsrechtliche 24-Stunden-Frühwarnung
bestehen nebeneinander mit unterschiedlichen
Fristen und Adressaten; sie überlagern einander nicht,
sondern müssen in einem integrierten Vorfallprozess
aufeinander abgestimmt werden. Informationssicherheitstechnisch
ist der Vorfall in ein Security Incident Management nach
ISO/IEC 27035 einzubetten.
Fundstelle: Art. 4 Nr. 12, Art. 33, 34 DSGVO; § 32 BSIG (eingeführt durch das NIS2UmsuCG); ISO/IEC 27035.
DSGVOStandardvertragsklauseln (SCC)
Von der Europäischen Kommission verabschiedete Mustervertragsklauseln
zur Absicherung von Drittlandtransfers nach Art. 46 Abs. 2
lit. c DSGVO. Die aktuellen SCCs wurden mit Durchführungsbeschluss
(EU) 2021/914 vom 04.06.2021 erlassen und decken vier
Modulkonstellationen ab: Controller-to-Controller,
Controller-to-Processor, Processor-to-Processor sowie
Processor-to-Controller. Allein der Abschluss der SCCs reicht nicht:
Nach EuGH C-311/18 (Schrems II) ist ein Transfer Impact Assessment
(TIA) erforderlich; gegebenenfalls sind ergänzende technische und
organisatorische Maßnahmen (z. B. Verschlüsselung mit
europäischer Schlüsselverwaltung) zu treffen.
Risiko, das einem GPAI-Modell mit hohen Wirkungskapazitäten innewohnt
und erhebliche Auswirkungen auf den Unionsmarkt aufgrund seiner
Reichweite oder aufgrund tatsächlicher oder vernünftigerweise
vorhersehbarer negativer Auswirkungen auf die öffentliche Gesundheit,
die Sicherheit, die öffentliche Sicherheit, die Grundrechte oder die
Gesellschaft insgesamt hat. Eine widerlegliche
Vermutung gilt nach Art. 51 Abs. 2 KI-VO, wenn die kumulative
Rechenleistung für das Training mehr als 10²⁵ FLOPs beträgt. Anbieter
von GPAI-Modellen mit systemischem Risiko unterliegen verschärften
Pflichten nach Art. 55 KI-VO (Modellbewertung, Risikominderung,
Vorfallmeldung, Cybersicherheit).
Konkrete Maßnahmen zur Gewährleistung eines dem Risiko angemessenen
Schutzniveaus nach Art. 32 DSGVO. Adressiert werden die
Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit sowie die Fähigkeit zur schnellen Wiederherstellung und
zur regelmäßigen Wirksamkeitskontrolle. Gängige Referenzen für die
Maßnahmenauswahl sind das SDM v3.1a, der BSI-IT-Grundschutz sowie
Anhang A der ISO/IEC 27001:2022. Die TOMs sind Bestandteil
von AV-Verträgen (Art. 28 Abs. 3 lit. c DSGVO) und
regelmäßig auf Wirksamkeit zu überprüfen. Vertiefte Darstellung mit
Prüfraster und Anbieter-Fragebogen auf der
Themenseite TOMs.
Fundstelle: Art. 32 DSGVO; SDM v3.1a; ISO/IEC 27001:2022, Anhang A.
IT-SicherheitTISAX
Trusted Information Security Assessment Exchange – branchenspezifischer
Sicherheitsstandard und Audit-Mechanismus der Automobilindustrie,
basierend auf dem VDA-ISA-Katalog (Information Security Assessment).
Verwaltet vom Verband der Automobilindustrie (VDA) bzw. der
ENX Association. Zertifiziert wird die Erfüllung definierter
Schutzbedarfe (Information, Prototypen, Datenschutz). An Hochschulen
relevant insbesondere für Forschungskooperationen mit
Automobilherstellern und -zulieferern, die die Vorlage eines gültigen
TISAX-Labels als Voraussetzung für den Datenaustausch fordern.
Fundstelle: VDA-ISA-Katalog; ENX TISAX-Programm.
V
DSGVOVerantwortlicher
Natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, die allein oder gemeinsam mit anderen über die Zwecke und
Mittel der Verarbeitung personenbezogener Daten entscheidet. Zentrale
Rolle im Pflichtengefüge der DSGVO: insbesondere Rechtmäßigkeit
(Art. 6), Rechenschaftspflicht (Art. 5 Abs. 2),
Dokumentation (Art. 30), Meldung von Sicherheitsvorfällen
(Art. 33 f.) und Erfüllung der Betroffenenrechte
(Art. 12 ff.). An staatlichen Hochschulen in Sachsen-Anhalt
ist Verantwortliche die Hochschule selbst als Körperschaft des
öffentlichen Rechts (§ 54 HSG LSA), vertreten durch das
Rektorat (Rektorin oder Rektor).
Fundstelle: Art. 4 Nr. 7 DSGVO.
DSGVOVerarbeitung
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen
Daten. Erfasst sind insbesondere das Erheben, Erfassen, Organisieren,
Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen,
Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere
Form der Bereitstellung, der Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung. Der weite
Verarbeitungsbegriff umfasst praktisch jeden denkbaren Umgang mit
personenbezogenen Daten und ist Anknüpfungspunkt für die Anwendbarkeit
der DSGVO insgesamt.
Fundstelle: Art. 4 Nr. 2 DSGVO.
DSGVOVerarbeitungsverzeichnis
Verzeichnis der Verarbeitungstätigkeiten im Sinne des Art. 30
DSGVO, das jeder Verantwortliche mit den dort genannten Pflichtangaben
zu führen hat (Name, Kontaktdaten, Zwecke, Kategorien Betroffener und
Daten, Empfänger, Drittlandstransfer, Löschfristen, allgemeine
TOM-Beschreibung). Auftragsverarbeiter führen ein eigenes Verzeichnis
nach Art. 30 Abs. 2 DSGVO. Das Verzeichnis ist auf Anfrage
der Aufsichtsbehörde vorzulegen und zentraler Nachweis der
Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Fundstelle: Art. 30 DSGVO.
KI-VOVerbotene KI-Praktiken
Vollständig untersagte KI-Anwendungen, deren Risiko für Grundrechte als
unannehmbar eingestuft wird. Verboten sind insbesondere: KI-Systeme zur
unterschwelligen Beeinflussung, zur Ausnutzung von Schutzbedürftigkeiten,
Social Scoring durch Behörden, ungezieltes Scraping von Gesichtsbildern
aus dem Internet, Emotionserkennung am Arbeitsplatz und in
Bildungseinrichtungen (mit Ausnahmen aus medizinischen oder
Sicherheitsgründen), biometrische Kategorisierung zur Ableitung
sensibler Merkmale sowie biometrische Echtzeit-Fernidentifizierung im
öffentlich zugänglichen Raum durch Strafverfolgungsbehörden (mit engen
Ausnahmen). Die Vorschrift ist seit dem 02.02.2025 anwendbar.
Fundstelle: Art. 5 KI-VO; anwendbar seit 02.02.2025.
IT-SicherheitVerschlüsselung
Kryptografisches Verfahren zur Wahrung der Vertraulichkeit von Daten.
Unterschieden werden symmetrische Verschlüsselung (z. B. AES,
gleicher Schlüssel für Ver- und Entschlüsselung) und asymmetrische
Verschlüsselung (z. B. RSA, ECC, Schlüsselpaar aus öffentlichem
und privatem Schlüssel). Praktisch relevant: Transportverschlüsselung
(z. B. TLS 1.3 für HTTPS, IMAPS, SMTPS) und
Ende-zu-Ende-Verschlüsselung (Daten sind nur den Endnutzern lesbar).
Stand der Technik nach Art. 32 DSGVO; bei Drittlandtransfers nach
Schrems II häufig entscheidende ergänzende Maßnahme. Maßgebliche
BSI-Empfehlung: Technische Richtlinie TR-02102.
Fundstelle: Art. 32 DSGVO; BSI TR-02102.
W
DSGVOWiderspruchsrecht
Recht der betroffenen Person, aus Gründen, die sich aus ihrer
besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie
betreffender personenbezogener Daten Widerspruch einzulegen, die auf
Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht
(öffentliches Interesse oder berechtigtes Interesse). Der
Verantwortliche darf die Daten anschließend nicht mehr verarbeiten, es
sei denn, er kann zwingende schutzwürdige Gründe nachweisen, die die
Interessen, Rechte und Freiheiten der betroffenen Person überwiegen,
oder die Verarbeitung dient der Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen. Bei Direktwerbung besteht das
Widerspruchsrecht uneingeschränkt (Art. 21 Abs. 2 DSGVO).
Für öffentliche Stellen regelmäßig bei Verarbeitungen nach
Art. 6 Abs. 1 lit. e DSGVO einschlägig.