Umsetzung der Datenschutz-Grundverordnung (DSGVO)

Seit dem 25.05.2018 sind für die Verarbeitung personenbezogener Daten die DSGVO und das novellierte SDSG anzuwenden. An dieser Stelle finden Sie Informationen Hinweise zur Umsetzung dieser Rechtsvorschriften.

Was ist neu nach der DSGVO?

Die am 25.05.2018 in Geltung gelangte DSGVO ersetzt die vorher geltende Richtlinie der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (95/46/EG) und die darauf basierenden nationalen Datenschutzregelungen, wie das Bundesdatenschutzgesetz und das Saarländische Datenschutzgesetz. Im Gegensatz zur Datenschutzrichtlinie (95/46/EG) ist die DSGVO in allen Mitgliedstaaten der Europäischen Union unmittelbar anwendbar. Sie geht den nationalen Vorschriften zum Datenschutz vor, soweit nicht durch Öffnungsklauseln den Mitgliedstaaten der Europäischen Union die Möglichkeit eingeräumt wird, einzelne Bereiche durch nationales Recht auszufüllen. Dies erfolgt durch das Bundesdatenschutzgesetz, das Saarländische Datenschutzgesetz und andere Spezialgesetze. So ergeben sich beispielsweise die Vorgaben für den Umgang mit personenbezogenen Daten in Beschäftigungsverhältnissen für die Bediensteten der UdS aus § 22 Saarländisches Datenschutzgesetz.

Grundsätzlich sind Datenverarbeitungen, welche nach den Regelungen vor Inkrafttreten der DSGVO (Bundesdatenschutzgesetz, Landesdatenschutzgesetze) rechtmäßig erfolgten, auch nach den Regelungen der DSGVO rechtmäßig.

Die wichtigsten Änderungen, welche sich aus der DSGVO ergeben, betreffen die Erfordernisse in Hinsicht auf die Transparenz der Datenverarbeitung, die Dokumention der Datenverarbeitung und die Rechte der betroffenen Personen. Daraus ergeben sich die insbesondere folgenden Erfordernisse:

  • Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten (Datenschutzerklärung)
  • Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
  • vor dem Einsatz von Datenverarbeitungsverfahren, welche zu ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen erwarten lassen, ist eine sog. Risikofolgenabschätzung durchzuführen (Art. 35 DSGVO)
  • Meldepflichten bei Datenschutzverletzungen gemäß Art. 33, 34 DSGVO

Grundprinzipien des Datenschutzes nach DSGVO

In Art. 5 DSGVO werden die Grundsätze der Verarbeitung personenbezogener Daten festgeschrieben. Dies sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit


Die Einhaltung der oben genannten Grundsätze bei der Verarbeitung personenbezogener Daten muss die Universität nachweisen können (Rechenschaftspflicht).

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Die DSGVO enthält in Art. 6 Abs.1 eine Reihe von allgemeinen Rechtsgrundlagen, welche die Verarbeitung personenbezogener Daten legitimieren:

  • Einwilligung der betroffenen Person (Art. 6 Abs.1 lit.a)
  • Anbahnung oder Erfüllung eines Vertrags (Art. 6 Abs.1 lit.b)
  • Erfüllung einer rechtlichen Verpfichtung (Art. 6 Abs.1 lit.c)
  • Schutz lebenswichtiger Interessen (Art. 6 Abs.1 lit.d)
  • Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder zur Ausübung öffentlicher Gewalt ((Art. 6 Abs.1 lit.e)
  • ein berechtigtes Interesse der für die Datenverarbeitung verantwortlichen Stelle


Für die Aufgabenerfüllung der Universität des Saarlandes in Forschung und Lehre ist insbesondere Art. 6 Abs.1 lit. e DSGVO in Verbindung mit Erlaubnisnormen aus dem Saarländischen Hochschulgesetz (§ 3 Abs.13) und anderen Verwaltungsgesetzen und -vorschriften heranzuziehen. Außerdem enthält § 4 Abs.1 Saarländisches Datenschutzgesetz eine allgemeine Erlaubnis zur Verarbeitung personenbezogener Daten, wenn diese zur Erfüllung der in der Zuständigkeit der UdS liegenden Aufgabe erforderlich ist.