Dennis A. Winkler

Seit 2007 arbeite ich an der Otto-von-Guericke-Universität Magdeburg – zunächst als IT-Administrator und Sicherheitsbeauftragter, von Juni 2019 bis August 2024 als stellvertretender Datenschutzbeauftragter und seit September 2024 als Datenschutzmanager der Universität, organisatorisch angesiedelt im Rektorat. Mein Arbeitsfeld liegt an der Schnittstelle von Datenschutzrecht, Informationssicherheit und IT-Governance; also genau dort, wo die DSGVO, der EU AI Act, das HSG LSA, das DSAG LSA und der BSI-Grundschutz aufeinandertreffen.

Als Diplom-Wirtschaftsinformatiker und zertifizierter Datenschutzbeauftragter kenne ich die rechtliche und die technische Seite des Datenschutzes aus eigener Praxis – aus 17 Jahren als IT-Administrator und Sicherheitsbeauftragter und sechs Jahren in der Datenschutzfunktion. Besonders interessieren mich die Fragen, die der Einsatz von Cloud-Diensten, Microsoft 365 und generativer KI in öffentlichen Einrichtungen aufwirft, und wie sich diese Technologien rechtssicher einführen lassen, ohne Innovation zu verhindern. Mein Anspruch: Datenschutz so umsetzen, dass Vorhaben rechtssicher umsetzbar werden – statt sie auszubremsen.

Neben meiner Tätigkeit an der OVGU bin ich seit dem Jahr 2000 als freiberuflicher Fachbuchautor für den Walhalla Fachverlag Regensburg aktiv. Mein Hauptwerk Schnellkurs Aktien ist mittlerweile in der dreizehnten Auflage erschienen.

Persönliche fachliche Auffassung: Ich bin hauptberuflich Datenschutzmanager der Otto-von-Guericke-Universität Magdeburg. Die hier veröffentlichten Inhalte geben meine persönliche fachliche Auffassung wieder und stellen keine offizielle Auffassung der Universität dar.

Aktuelle Position: Datenschutzmanager der Otto-von-Guericke-Universität Magdeburg, Rektorat (seit 09/2024).

Akademischer Grad: Diplom-Wirtschaftsinformatiker (Dipl.-Wirt.-Inform.), OVGU Magdeburg, 2003.

Fachkunde: Fachkunde Datenschutzbeauftragter nach Art. 37 Abs. 5 DSGVO (Erstausbildung 2018, zertifizierte Auffrischung 2025).

Eine vollständige Übersicht findet sich unter Vita, Qualifikationen und Publikationen.

Zu wiederkehrenden Fragen aus der Datenschutzpraxis habe ich vertiefende Themenseiten mit Checklisten, Muster-Vorlagen und Prüfrastern erstellt. Diese sind frei nutzbar und richten sich an Datenschutzkolleginnen und -kollegen sowie an Fachbereiche öffentlicher Hochschulen.

• Auftragsverarbeitungsvertrag (AVV) ★ Rollen-Klassifikator ★ Pflichten-Check – Pflichtinhalte nach Art. 28 DSGVO, Muster-AVV des LfDI BW, Abgrenzung zur gemeinsamen Verantwortlichkeit.
• Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) – Tatbestandsmerkmale, Pflichtinhalte einer Joint-Controller-Vereinbarung, EuGH-Rechtsprechung und Abgrenzung zur Auftragsverarbeitung.
• Technisch-organisatorische Maßnahmen (TOMs) ★ TOM-Explorer ★ Schutzbedarfs-Wizard – SDM v3.1a als Methodik, Anbieter-Prüffragebogen und strukturiertes Prüfraster nach den sieben Schutzzielen.
• Verzeichnis von Verarbeitungstätigkeiten (VVT) – Pflichtinhalte nach Art. 30 Abs. 1 und Abs. 2 DSGVO für Verantwortliche und Auftragsverarbeiter, Granularität einer Verarbeitungstätigkeit, Ausnahme nach Art. 30 Abs. 5 DSGVO mit ihren drei Rückausnahmen, Schnittstellen zu DSFA, AVV, TOMs und Datenpannen sowie typische Aufsichtsbefunde im Hochschulkontext.
• Anonymisierung vs. Pseudonymisierung – Unterschied, relativer Personenbezug, kontextuelle Anonymität in der Forschung.
• Datenschutz-Folgenabschätzung (DSFA) ★ Schwellwertprüfer – Schwellwertprüfung mit vier-Schritte-Prüfpfad, Pflichtinhalte nach Art. 35 DSGVO, Konsultation der Aufsichtsbehörde.
• KI-Governance an Hochschulen ★ KI-VO-Risikoklassifikator – Risikoklassen der KI-VO, KI-Kompetenz nach Art. 4, Verhältnis zur DSGVO und Aufbau einer institutionellen KI-Strategie.
• KI-Transkription und KI-Protokollierung – Datenschutzrechtliche Bewertung von KI-Sitzungstranskription und automatischer Protokollierung im Beschäftigtenkontext: Halluzinationen, Bias, Drittlandstransfer, Mitbestimmung, KI-VO-Einordnung und Praxisalternativen einschließlich der EU-Sprachwerkzeuge der Europäischen Kommission.
• Generative KI in Standard-Software (Schatten-KI) – KI-Features in Microsoft 365 Copilot, Adobe Firefly, Zoom AI Companion und Notion AI: AVV-Bruch, Betreiberpflichten nach KI-VO, Drittlandtransfer per API, Tenant-Hygiene, Zero Data Retention, Indirect Prompt Injection, Copyright Commitments und Rolle des Personalrats nach § 69 Nr. 2 PersVG LSA.
• Einwilligungserklärungen – Voraussetzungen, Freiwilligkeit, Beschäftigtenkontext und warum Einwilligungen im öffentlich-rechtlichen Verhältnis hohen Anforderungen an die Freiwilligkeit unterliegen und oft kritisch zu bewerten sind.
• Auskunftsrecht nach Art. 15 DSGVO – Funktion und Reichweite des Auskunftsrechts, Identitätsprüfung, Schwärzungen und Drittinteressen, Frist und Format; jüngere EuGH-Rechtsprechung zu Umfang und Grenzen (u. a. C-526/24 – Brillen Rottler) sowie Abgrenzung zu Akteneinsicht, Personalaktenrecht und IZG LSA.
• Informationspflichten nach Art. 13 und 14 DSGVO – Pflichtangaben bei Direkterhebung und bei Erhebung aus Drittquellen, Form, Zeitpunkt, Sprache, Schichtenmodell und Ausnahmen nach § 10 DSAG LSA; mit BAG 8 AZR 117/24 (Google-Recherche im Bewerbungsverfahren) und Schnittstelle zur KI-VO (Art. 50, Art. 86).
• Drittlandstransfer ★ Schnellprüfer – Schrems II, Standardvertragsklauseln, EU-US Data Privacy Framework, Transfer Impact Assessment und konkrete Praxisbeispiele (Microsoft 365, US-Cloud, KI-APIs).
• Hochschul- und Verwaltungsdatenschutz – Spezifika öffentlicher Stellen, Normenrahmen DSGVO / HSG LSA / DSAG LSA, Forschung, Bußgeldausschluss und Aufsichtsbehörde.
• Beschäftigtendatenschutz an Hochschulen ★ Beschäftigtendaten-Wizard – Art. 88 DSGVO als Öffnungsklausel, § 26 DSAG LSA mit drei Sondertatbeständen (Personalakten, Eignungsuntersuchungen, GenDG-Anwendung), Personalakten nach LBG LSA, BEM, Beschäftigten-Tracking, Mitbestimmung nach PersVG LSA, KI im HR-Bereich nach Anhang III KI-VO und Schnittstelle zum Hinweisgeberschutz.
• Software & Lizenzen – Software Asset Management nach ISO/IEC 19770, Beschaffungsprozess und strukturierter Umgang mit Lizenzforderungen und Audit-Verfahren.
• Elektronisches Laborbuch (ELN) – Datenschutz und Mitbestimmung beim ELN (z. B. eLabFTW): Rechtsgrundlage über §§ 3, 23 HSG LSA und § 27 DSAG LSA, Forschungsprivileg Art. 17 Abs. 3 lit. d DSGVO, Mitbestimmung § 69 Nr. 1 und Nr. 2 PersVG LSA, DSFA-Vorprüfung und TOMs.
• Datenvernichtung – Akten und Datenträger – Datenschutzgerechte Entsorgung nach Art. 32 DSGVO und DIN 66399, Schutzklassen und Sicherheitsstufen P/E/H/O/T, Auftragsverarbeitung mit zertifiziertem Dienstleister, Vier-Augen-Prinzip, Standortsicherheit, Mobile Arbeit und Meldepflicht.
• Microsoft 365 an öffentlichen Hochschulen – DSK-Festlegung 2022, LfD LSA-Position vom 16.02.2023, HBDI-Bericht 11/2025: Datenkategorien-Taxonomie, Pflichtenkatalog für Verantwortliche, Mitbestimmung § 69 Nr. 1 und Nr. 2 PersVG LSA, Drittlandtransfer und digitale Souveränität.
• Exportkontrolle und Datenschutz an Hochschulen – EU-Dual-Use-VO 2021/821, AWG/AWV, EU-Sanktionsrecht; Erforderlichkeit der Staatsangehörigkeitserfassung, Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO, Zweckänderung nach Art. 6 Abs. 4 DSGVO i. V. m. § 7 Abs. 2 DSAG LSA, Informationspflicht und Sonderfall Universitätsbibliothek.
• Mailinglisten und Newsletter im Datenschutz – Vier Listentypen mit unterschiedlichen Rechtsgrundlagen, Double-Opt-In, Anforderungen an die Einwilligung, Abmelde-Link, Beschäftigten-Newsletter mit automatischer Eintragung aus dem IDM, Kooperations-Newsletter mit gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO.
• Datenpannen ★ Frist-Wizard – 72-Stunden-Meldung nach Art. 33/34 DSGVO, Risikobewertung, Schnittstellen zu NIS-2, DORA und KI-VO, Bußgeldprivileg § 31 Abs. 2 Satz 1 DSAG LSA.
• Forschungszweck als Rechtsgrundlage – § 27 DSAG LSA i. V. m. Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO, Vorteile gegenüber der Einwilligung, Pseudonymisierung, klinische Spezialnormen.
• Videoüberwachung – § 8 DSAG LSA, Verhältnismäßigkeit, zweistufige Hinweispflicht, Speicherdauer, Beschäftigtendatenschutz und Hochschulpraxis.
• Fotos und Bildaufnahmen – DSGVO, KUG (§§ 22, 23), Veranstaltungs- und Konferenzfotografie, Mitarbeiterportraits, Werbenutzung, Aushang und „No-Photo"-Lösungen.

Eine vollständige Übersicht aller Themenseiten findet sich unter Themen. Das Glossar bietet außerdem Kurzerklärungen zu über 50 zentralen Begriffen aus Datenschutzrecht, KI-Verordnung und Informationssicherheit.