Themen
Ausgewählte Themen aus meiner Datenschutzpraxis. Die Seiten sind bewusst praxisorientiert aufgebaut – als Hilfestellung für Datenschutzkolleginnen und -kollegen, für Fachbereiche an Hochschulen und in der öffentlichen Verwaltung sowie für alle, die konkrete Antworten auf wiederkehrende Fragen des Datenschutzes suchen.
Grundlagen Datenschutzrecht
Querschnittsthemen, die in jeder Verarbeitung eine Rolle spielen: Auftragsverarbeitung, gemeinsame Verantwortlichkeit, technisch-organisatorische Maßnahmen, Folgenabschätzung, Anonymisierung und Einwilligung.
Auftragsverarbeitungsvertrag (AVV)
Wann wird ein AVV benötigt, welche Pflichtinhalte schreibt Art. 28 Abs. 3 DSGVO vor, und wie grenzt man die Auftragsverarbeitung sauber von der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ab? Mit Muster-Vorlage des LfDI Baden-Württemberg zum Download.
Art. 26 DSGVOGemeinsame Verantwortlichkeit
Wann liegt eine gemeinsame Verantwortlichkeit vor, welche Pflichtinhalte muss eine Joint-Controller-Vereinbarung enthalten, und wie grenzt man sie sauber von der Auftragsverarbeitung und der eigenständigen Verantwortlichkeit ab? Mit EuGH-Rechtsprechung (Wirtschaftsakademie, Fashion ID, Zeugen Jehovas) und Prüfschema.
Art. 32 DSGVOTechnisch-organisatorische Maßnahmen (TOMs)
Welche Maßnahmen sind nach Art. 32 DSGVO angemessen? Strukturrahmen nach dem Standard-Datenschutzmodell (SDM v3.1a) der DSK, Anbieter-Prüffragebogen und Prüfraster nach den sieben Schutzzielen – ergänzt um einen interaktiven TOM-Explorer für fünf hochschultypische Szenarien und drei Schutzbedarfsstufen.
Art. 30 DSGVOVerzeichnis von Verarbeitungstätigkeiten (VVT)
Pflichtinhalte nach Art. 30 Abs. 1 und Abs. 2 DSGVO für Verantwortliche und Auftragsverarbeiter, Granularität einer Verarbeitungstätigkeit, Ausnahme nach Art. 30 Abs. 5 DSGVO und ihre praktische Bedeutung an Hochschulen, Schnittstellen zu DSFA, AVV, TOMs und Datenpannen sowie typische Aufsichtsbefunde.
Art. 35 DSGVODatenschutz-Folgenabschätzung (DSFA)
Wann ist eine DSFA erforderlich, was muss sie enthalten, und wann ist die Aufsichtsbehörde vorab zu konsultieren? Mit Schwellwert-Prüfraster nach den drei DSGVO-Auslösern und den neun WP-248-Kriterien.
Art. 4 DSGVOAnonymisierung vs. Pseudonymisierung
Wann sind Daten anonym, wann pseudonym? Relativer Personenbezug, kontextuelle Anonymität nach der EDSB/SRB-Entscheidung des EuGH (C-413/23 P, 04.09.2025), Re-Identifizierungsrisiken und rechtliche Folgen für die Praxis.
Art. 7 DSGVOEinwilligungserklärungen
Voraussetzungen, Freiwilligkeit, Widerruf – und warum Einwilligungen im Beschäftigtenkontext und im öffentlich-rechtlichen Verhältnis hohen Anforderungen an die Freiwilligkeit unterliegen und oft kritisch zu bewerten sind.
Art. 15 DSGVOAuskunftsrecht
Funktion und Reichweite des Auskunftsrechts, Identitätsprüfung, Schwärzungen und Drittinteressen, Frist und Format. Mit Würdigung der jüngeren EuGH-Rechtsprechung zum Umfang und zu den Grenzen des Auskunftsrechts und Abgrenzung zu Akteneinsicht, Personalaktenrecht und IZG LSA.
Art. 13 / 14 DSGVOInformationspflichten nach Art. 13 und 14 DSGVO
Pflichtangaben bei Direkterhebung und bei Erhebung aus Drittquellen, Form, Zeitpunkt, Sprache, Schichtenmodell und Ausnahmen nach § 10 DSAG LSA. Mit BAG 8 AZR 117/24 (Google-Recherche im Bewerbungsverfahren) und Schnittstelle zur KI-VO (Art. 50, Art. 86).
Hochschul- & Verwaltungsrecht
Datenschutzfragen mit Sachsen-Anhalt-spezifischer Stoßrichtung – vom Normenrahmen aus DSGVO, HSG LSA und DSAG LSA über die Forschungsklausel bis zu Foto- und Videoüberwachungs-Konstellationen im Hochschulalltag.
Hochschul- und Verwaltungsdatenschutz
Normenrahmen DSGVO / HSG LSA / DSAG LSA, Rechtsgrundlagen für öffentliche Stellen, Beschäftigtendatenschutz, Forschungsausnahme, Bußgeldausschluss und Verhältnis zur Aufsichtsbehörde.
Art. 88 DSGVOBeschäftigtendatenschutz an Hochschulen
§ 26 DSAG LSA mit drei Sondertatbeständen, Personalakten nach LBG LSA, BEM, Beschäftigten-Tracking, Mitbestimmung nach PersVG LSA, KI im HR-Bereich nach Anhang III KI-VO und Schnittstelle zum Hinweisgeberschutz.
§ 27 DSAG LSAForschungszweck als Rechtsgrundlage
Datenverarbeitung zu Forschungszwecken nach Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 DSAG LSA – Vorteile gegenüber der Einwilligung, Voraussetzungen, Pseudonymisierung, Verhältnis zu klinischen Spezialnormen.
KUG · DSGVOFotos und Bildaufnahmen
DSGVO-Anwendungsvorrang, KUG (§§ 22, 23) im publizistischen Bereich, Veranstaltungs- und Konferenzfotografie, Mitarbeiterportraits, Werbenutzung, Aushang und „No-Photo"-Lösungen.
§ 8 DSAG LSAVideoüberwachung
Rechtsgrundlagen nach DSGVO und § 8 DSAG LSA („Optisch-elektronische Beobachtung"), Verhältnismäßigkeit, zweistufige Hinweispflicht, Speicherdauer, Beschäftigtendatenschutz und Hochschulpraxis (Bibliothek, Eingänge, Parkplätze, Labore).
Dual-Use-VO · DSGVOExportkontrolle und Datenschutz an Hochschulen
Schnittstelle Exportkontrolle ↔ Datenschutz: EU-Dual-Use-VO 2021/821, AWG/AWV, Sanktionsrecht, Erforderlichkeit der Staatsangehörigkeitserfassung, Datenminimierung, Zweckänderung nach Art. 6 Abs. 4 DSGVO, Informationspflicht und Sonderfall Universitätsbibliothek.
Drittland & KI
Übermittlungen außerhalb des EWR und der Einsatz von KI-Systemen unter der KI-VO – die zwei Themenfelder mit der höchsten Dynamik in der aktuellen Aufsichtspraxis.
Drittlandstransfer
Schrems II, Standardvertragsklauseln, EU-US Data Privacy Framework, Transfer Impact Assessment und konkrete Praxisbeispiele für Microsoft 365, Cloud-Dienste und KI-APIs.
KI-VOKI-Governance an Hochschulen
Risikoklassen der KI-VO, KI-Kompetenz nach Art. 4, Schnittstelle zur DSGVO und Aufbau einer institutionellen KI-Strategie für Hochschulen und öffentliche Verwaltungen.
DSGVO · KI-VOKI-Transkription und KI-Protokollierung
Datenschutzrechtliche Bewertung von KI-Sitzungstranskription und automatischer Protokollierung im Beschäftigtenkontext: Halluzinationen, Bias, Drittlandstransfer, Mitbestimmung, KI-VO-Einordnung und Praxisalternativen einschließlich der EU-Sprachwerkzeuge der Europäischen Kommission.
DSGVO · KI-VO · AVVGenerative KI in Standard-Software (Schatten-KI)
KI-Features in SaaS-Standardsoftware – Microsoft Copilot, Adobe Firefly, Zoom AI Companion, Notion AI: AVV-Bruch beim Modelltraining, Betreiberpflichten nach KI-VO, Drittlandtransfer per API-Call, Tenant-Hygiene und Zero Data Retention als Vertragsanforderung.
Vorfälle & IT-Governance
Was passiert nach dem Datenschutzvorfall – und welche IT-Governance-Themen flankieren den Datenschutz im Hochschul- und Verwaltungsalltag.
Datenpannen
72-Stunden-Meldung, Risikobewertung, Benachrichtigung Betroffener, Schnittstellen zu NIS-2, DORA und KI-VO sowie Spezifika für öffentliche Stellen in Sachsen-Anhalt (Bußgeldprivileg § 31 Abs. 2 Satz 1 DSAG LSA).
IT-GovernanceSoftware & Lizenzen
Software Asset Management nach ISO/IEC 19770, Beschaffungsprozess, Lizenzaudit-Verfahren und der strukturierte Umgang mit Lizenzforderungen unbestimmter Grundlage.
ForschungsdokumentationElektronisches Laborbuch (ELN)
Datenschutz und Mitbestimmung bei elektronischen Laborbüchern (z. B. eLabFTW): Rechtsgrundlage über §§ 3, 23 HSG LSA und § 27 DSAG LSA, Forschungsprivileg Art. 17 Abs. 3 lit. d DSGVO, Mitbestimmung § 69 Nr. 1 und Nr. 2 PersVG LSA, DSFA-Vorprüfung und TOMs.
Art. 32 DSGVODatenvernichtung – Akten und Datenträger
Datenschutzgerechte Entsorgung von Papier und elektronischen Datenträgern: DIN 66399 mit Schutzklassen und Sicherheitsstufen P/E/H/O/T, Auftragsverarbeitung mit Vernichtungsprotokoll, Vier-Augen-Prinzip, Standortsicherheit, Mobile Arbeit und Meldepflicht bei Sicherheitsvorfällen.
Cloud · DSK · HBDI 2025Microsoft 365 an öffentlichen Hochschulen
Datenschutzrechtliche Bewertung des M365-Einsatzes: DSK-Festlegung 2022, LfD LSA-Position 2023, HBDI-Bericht 11/2025, DPA-öS, Pflichtenkatalog für Verantwortliche, Datenkategorien-Taxonomie, Mitbestimmung Personalrat (§ 69 Nr. 1 und Nr. 2 PersVG LSA), Drittlandtransfer und digitale Souveränität.
DSGVO · TDDDG · § 7 UWGMailinglisten und Newsletter im Datenschutz
Vier Listentypen und ihre Rechtsgrundlagen, Double-Opt-In, Informationspflichten nach Art. 13 DSGVO, Anforderungen an die Einwilligung, Abmelde-Link, Beschäftigten-Newsletter mit automatischer Eintragung aus dem IDM, Kooperations-Newsletter mit gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO, Listen-Hosting und TOMs.