Antworten auf Fragen zur Datenschutzgrundverordnung (DSGVO)
Wozu gibt's die neue Datenschutzgrundverordnung der EU?
Die Datenschutzgrundverordnung der EU (DSGVO)/typo3/ ist seit dem 25.05.2018 wirksam. Sie dient einer Vereinheitlichung des Datenschutzrechts in der europ?ischen Union. Da in vielen Grunds?tzen das bisherige deutsche Datenschutzrecht als Vorlage für die DSGVO diente, ?ndert sich für uns als Universit?t nicht allzu viel. Bisher schon ben?tigte ?Verfahrensbeschreibungen“ hei?en nun ?Verarbeitungst?tigkeitsbeschreibungen“ und sind nur in einigen Punkten zu ?ndern oder zu erg?nzen. Wer bisher schon die Vorgaben des Datenschutzrechts beachtet hat, muss nur wenig tun. Ansonsten sollte die DSGVO als Ansporn genommen werden, das für uns alle wichtige Thema Datenschutz zukünftig ernster zu nehmen.
Die EU plant, die DSGVO in 2019 durch eine E-Privacy-Verordnung zu erg?nzen, um damit eine vollst?ndige rechtliche Grundlage zur Gew?hrleistung des Grundrechts auf informationelle Selbstbestimmung zu schaffen.
Was kann passieren?
Mittlerweile ist die DSGVO in Landesrecht umgesetzt worden (Bayerisches Datenschutzgesetz)/typo3/. Der Freistaat hat die von der EU für Teile der DSGVO den L?ndern überlassenen Gestaltungsspielr?ume in für uns wichtigen Bereichen genutzt. So sind ?ffentliche Stellen, soweit sie nicht kommerziell t?tig sind, von den in der 188bet亚洲体育备用_188体育平台-投注*官网 breitgetretenen horrenden Bu?geldern nicht betroffen.
Auch die befürchtete Abmahnwelle bedroht uns nicht direkt, da es für eine Abmahnung die Geltendmachung eines Schadens braucht. Konkurrierende Firmen k?nnen sich bspw. auf das Gesetz gegen den unlauteren Wettbewerb berufen.
Ein konkretes Risiko für uns als Universit?t entsteht durch die in der DSGVO verankerten Auskunftsansprüche von Betroffenen. Diese gab es zwar bisher schon. Durch die ?ffentliche Aufmerksamkeit ist aber eine Zunahme derartiger Anfragen zu befürchten. Die Beantwortung ist zum einen aufw?ndig. Au?erdem l?sst sich kaum sicherstellen, dass wirklich alle über eine Person gespeicherten Daten berücksichtigt werden. Es ist nicht bekannt, wo vielleicht zus?tzlich zu den zentral im Identity Management System verwalteten Daten noch Informationen über die betroffene Person gespeichert wurden.
Für welche Systeme muss etwas getan werden?
Es ist auch unter Datenschützern noch strittig, wann eine separat zu behandelnde Verarbeitungst?tigkeit im Sinne der DSGVO vorliegt. Die Spanne reicht von ?jede Excel- oder Word-Datei, in der personenbezogene Daten stehen, ist eine eigene Verarbeitungst?tigkeit“ bis ?alle Daten, die zum gleichen Zweck und auf gleicher rechtlicher Grundlage erhoben wurden, brauchen nur einmal behandelt werden“. Aufgrund dieser unklaren Situation gehen wir bis auf Weiteres davon aus, dass T?tigkeiten, die schon bisher eine Verfahrensbeschreibung gebraucht haben oder h?tten, als eigene Verarbeitungst?tigkeiten im Sinne der DSGVO zu betrachten sind. Auch dafür gab es zwar keine eindeutige Definition. Es war aber bisher Konsens, dass separate Anwendungen, separate Projekte oder unterschiedlichen Zwecken dienende IT-Systeme als jeweils eigene Verarbeitungst?tigkeiten zu verstehen sind. Beispiele sind WWW-Seiten, Systeme zur Lehr- und Lernunterstützung, Fotosammlungen, Online-Umfragesysteme, Wikis, projektbezogene Kollaborationssysteme, dezentral organisierte Mailverteiler, Forschungsdaten mit Personenbezug usw.
Die zentralen IT-Betreiber kümmern sich um die datenschutzrechtlichen Belange für die im Rahmen der Studierendenverwaltung bzw. einer Besch?ftigung erhobenen und gespeicherten Daten sowie um die zentralen Systeme wie WWW, VC, Flexnow, Mittelbewirtschaftung, allgemeine Bürokommunikation mit Daten auf Netzlaufwerken, E-Mail usw.
Ich bin kein Jurist! Woher soll ich die Paragrafen kennen?
Für alle Verarbeitungst?tigkeiten müssen insbesondere der Zweck der Verarbeitung und die Rechtsgrundlage, auf der die Verarbeitung erfolgt, dokumentiert und den Betroffenen transparent gemacht werden. Einschl?gige Zwecke und Rechtsgrundlagen für eine Universit?t sind:
- BayHSchG Art. 2: Aufgabenerfüllung gem?? Bayerischem Hochschulgesetz, speziell
- BayHSchG Art. 2 Abs. 1: Forschung, Lehre und Vorbereitung auf berufliche T?tigkeit
- BayHSchG Art. 2 Abs. 5: Wissens- und Technologietransfer
- BayHSchG Art. 2 Abs. 6: ?ffentlichkeitsarbeit
- BayEGovG Art. 4 Abs. 1: Bereitstellung von Diensten in elektronischer Form
- DSGVO Art. 6 Abs. 1a: Einwilligung liegt vor
- DSGVO Art. 6 Abs. 1c: Erfüllung einer rechtlichen Verpflichtung erforderlich
- DSGVO Art. 6 Abs. 1e: Wahrnehmung eines ?ffentlichen Interesses
- DSGVO Art. 6 Abs. 1f: Wahrung eines berechtigten Interesses
Diese Angaben k?nnen für Datenschutzerkl?rungen und Verarbeitungst?tigkeitsbeschreibungen übernommen werden.
Was ist konkret zu tun?
Folgende Vorgaben müssen für alle Verarbeitungst?tigkeiten erfüllt werden:
- Informationspflicht: Die DSGVO fordert, dass den Betroffenen transparent gemacht wird, wozu ihre Daten erhoben werden und was damit geschieht. Dies erfolgt am besten in Form einer Datenschutzerkl?rung. Es folgen Datenschutzerkl?rungen, auf die verwiesen werden kann, falls Zweck, Rechtsgrundlage und weitere Informationen zutreffen, oder die als Vorlage für bestimmte Zwecke angepasst werden k?nnen:
- Verarbeitungst?tigkeitsbeschreibung: Für jede Verarbeitungst?tigkeit sind bestimmte Informationen zwingend zu erfassen. Dies sind insbesondere 188bet亚洲体育备用_188体育平台-投注*官网daten des Verantwortlichen und des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung, Kategorien der Daten und betroffenen Personen, ggf. beteiligte externe Stellen sowie technische und organisatorische Ma?nahmen zum Schutz der Daten.
Formular Verarbeitungst?tigkeit
Für zentral betriebene oder im IT-Service gehostete Systeme werden angemessene technische und organisatorische Ma?nahmen auf Betriebsebene zentral gew?hrleistet. - Auftragsdatenverarbeitungsvereinbarung: Falls Leistungen Dritter in Anspruch genommen werden, muss eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden. Vom Bayerischen Landesamt für Datenschutzaufsicht wird ein entsprechendes Formular bereitgestellt. Für weitere Fragen k?nnen Sie sich an den IT-Service wenden.
- Datenpannen: Falls eine Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Person führt, muss binnen 72h eine Meldung an die Aufsichtsbeh?rde und eine Information der Betroffenen erfolgen. Melden Sie gravierende Datenpannen daher bitte unverzüglich an den Datenschutzbeauftragten oder an den IT-Service. Bitte verwenden Sie zur Erfassung aller relevanten Informationen über die Datenpanne das bereitgestellte Formular(126.7 KB, 1 Seite).
- Datenschutz-Folgenabsch?tzung: Bei Verarbeitungst?tigkeiten mit einem hohen Risiko für Rechte und Freiheiten natürlicher Personen muss eine Datenschutz-Folgenabsch?tzung durchgeführt werden. Wenn Sie derartige Daten verarbeiten oder sich dbzgl. unsicher sind, wenden Sie sich an den Datenschutzbeauftragten oder den IT-Service. Zur Durchführung einer Datenschutz-Folgenabsch?tzung kann das PIA-Tool des Bayerischen Landesamts für den Datenschutz verwendet werden.
Wo gilt besondere Vorsicht?
Aufgrund der erh?hten ?ffentlichen Aufmerksamkeit für das Thema Datenschutz besteht das Risiko, dass Beschwerden über oder Anfragen zur Verwendung von personenbezogenen Daten zunehmen. Ein besonderes Risiko besteht, wenn Externe im Rahmen von Forschungsprojekten oder über Mailverteiler kontaktiert werden oder Informationen zugeschickt bekommen. Streng genommen waren hierfür auch schon nach altem Datenschutzrecht Einwilligungen erforderlich. Falls diese vorliegen, k?nnen sie auch nach Inkrafttreten der DSGVO weiterverwendet werden.
Eine ?hnliche Problematik besteht bei Sammlungen von Fotos. Nach DSGVO muss bis auf wenige Ausnahmen eine Einwilligung aller identifizierbaren Personen vorliegen. Dies gilt auch für Fotos, die im ?ffentlichen Raum aufgenommen wurden.
Falls neue Daten erhoben werden oder neue Personen bei einem bestehenden Projekt hinzukommen oder auf eine Mailingliste genommen werden, muss zukünftig immer eine Einwilligung eingeholt und dokumentiert werden.
Für bestehende Sammlungen personenbezogener Daten und insbesondere von Adresslisten sind folgende Vorgehensweisen denkbar:
- Eine Einwilligung liegt nachweislich vor. Es muss nichts weiter getan werden.
- Opt-In: Alle Betroffenen werden (am besten mit Hinweis auf die Datenschutzerkl?rung) informiert. Wer nicht aktiv best?tigt, dass er weiter kontaktiert werden m?chte, dessen Daten werden gel?scht. Diese Vorgehensweise empfiehlt sich, wenn v?llig unklar ist, wie die Daten ursprünglich erhoben wurden, oder wenn Beschwerden nicht auszuschlie?en sind.
- Opt-Out: Alle Betroffenen werden (am besten mit Hinweis auf die Datenschutzerkl?rung) informiert. Falls sie keine Rückmeldung geben, wird von einer ?schlüssigen Einwilligung“ ausgegangen und der Datensatz weiterverwendet. Diese Vorgehensweis empfiehlt sich, wenn davon ausgegangen werden kann, dass Betroffene ein gro?es Interesse an einer Weiterführung des bisherigen Vorgehens haben.
- Bestehende Daten werden unver?ndert weiterverwendet, ohne dass eine Einwilligung vorliegt. Betroffene werden nicht kontaktiert. Dieses Vorgehen kommt überhaupt nur infrage, wenn sehr starke Argumente für das Vorliegen einer ?schlüssigen Einwilligung“ schriftlich dokumentiert werden k?nnen.
- Bestehende Daten werden vollst?ndig gel?scht und von Grund auf unter Einholung einer Einwilligung neu erhoben.
Nicht personenbezogene Adressen beispielsweise in Form von 188bet亚洲体育备用_188体育平台-投注*官网adressen von Firmen sind grunds?tzlich unproblematisch.
Der andere Bereich, für den es sich empfiehlt zu prüfen, ob die Vorgaben der DSGVO eingehalten sind, betrifft ?ffentliche im Internet erreichbare Web-, Portal- oder Projektseiten. Auf derartigen Seiten sollten Datenschutzerkl?rungen eingebaut oder aktualisiert werden.
Empfehlungen für Mailinglisten
Einige wichtige Punkte für eine datenschutzkonforme Mailingliste sind die folgenden:
- Eine Mailingliste, die als Newsletter verwendet wird, muss so konfiguriert sein, dass das Subscribe nur mit Double-Opt-In m?glich ist.
- Das bedeutet, dass die Teilnehmerin oder der Teilnehmer sich aktiv in die Liste eintr?gt und im Nachgang die Identit?t durch eine Best?tigungsmail überprüft wird. War die Teilnehmerin oder der Teilnehmer bereits auf der Website authentifiziert, erübrigt sich der zweite Schritt, da die Identit?t bereits best?tigt worden ist.
- Die E-Mail-Adressen der Abonnenten und der Eigentümer und Moderatoren dürfen nicht ?ffentlich sichtbar sein und sollten bei Newslettern auch nur für die Eigentümer der Liste sichtbar sein.
- Die Archive der Mailingliste dürfen nicht ?ffentlich sichtbar sein.
- Das Abbestellen der Liste (Unsubscribe) muss für jeden Benutzer m?glich sein.
- Ein Newsletter muss einen Footer (Nachrichtenfu?) enthalten, in dem Informationen zum Verlassen der Listen enthalten sind und ein Link auf das Impressum.
Für unsignierte E-Mails kann dazu auf der Webseite der Mailingliste die Vorlage für den Footer bearbeitet werden, der dann automatisch an die Antwort angeh?ngt wird.
Bei signierten E-Mails muss der Text des Footers aus technischen Gründen jeweils vor dem Versand der E-Mail vom Benutzer selbst direkt an den Text der E-Mail angeh?ngt werden.
Wenn die Empf?nger schon vor Geltung der DSGVO in den Erhalt eines Newsletters eingewilligt haben, besteht diese Einwilligung fort. Sie k?nnen die Mailingliste also weiterverwenden. Wichtig ist, dass die betroffenen Personen nicht ungewünscht zur Liste hinzugefügt wurden.
Was kann jede/jeder Einzelne tun?
- Verwenden Sie dienstliche Ger?te, denn personenbezogene Daten geh?ren nicht auf private Smartphones, Laptops, Tablets etc.
- Verschlüsseln Sie Ihre tragbaren Ger?te, denn Daten, die Sie unterwegs verlieren k?nnten, müssen Sie vor Missbrauch schützen.
- Halten Sie Systemsoftware immer aktuell, denn mit regelm??igen Updates
k?nnen Sie Sicherheitslücken vermeiden. - Verfahren Sie gem?? Clean Desk Policy, d.h. wenn Sie Ihren Schreibtisch verlassen, schlie?en Sie Fenster und Türen, schalten Sie den PC aus oder verwenden Sie für kurze Pausen die Bildschirmsperre. Damit verhindern Sie Datenlecks im Alltag.
- Nutzen Sie die Netzlaufwerke (Fileserver), die Ihnen der IT-Service zur Verfügung stellt, denn sensible Daten sind auf den Servern des IT-Service besser aufgehoben als auf dem lokalen Rechner mit Internetzugang.
- Verwenden Sie einen Passwort-Manager, um Ihre Kennw?rter elektronisch zu speichern und zu verwalten.
- Melden Sie Datenschutzvorf?lle und IT-Sicherheitsprobleme, d.h. Datenschutzprobleme zeigen Sie bitte gegenüber der/dem Vorgesetzten und dem Datenschutzbeauftragten an; IT-Sicherheitsprobleme sollten Sie dem Systemverantwortlichen melden (wenden Sie sich dazu bitte an den IT-Support).
Quelle: Unter Verwendung von Informationen der Stabsstelle IT-Recht der bayerischen staatlichen Hochschulen, Herrn Johannes Nehlsen, sowie der Deutschen Universit?tszeitschrift (duz), Ausgabe 05/2018
Das ist alles viel zu kompliziert! Wo soll ich anfangen?
Verarbeiten Sie eigenst?ndig (bspw. im Rahmen eines Forschungsprojekts) personenbezogene Daten? Dann tun Sie Folgendes:
- Füllen Sie das Formular zur Beschreibung einer Verarbeitungst?tigkeit5 unter Angabe der am besten passenden Rechtsgrundlage gem?? Abschnitt 4 aus. Melden Sie die T?tigkeit an den Datenschutzbeauftragten.
- Nehmen Sie die am besten passende Datenschutzerkl?rung aus Abschnitt 5 als Vorlage und passen Sie sie an Ihre Gegebenheiten an.
- Machen Sie den Betroffenen die Datenschutzerkl?rung zug?nglich, bspw. indem Sie sie allen Betroffenen zuschicken oder indem Sie sie an den für Betroffene passenden Stellen verlinken, siehe Abschnitt 6.
- Im Falle einer schwerwiegenden Datenpanne oder eines Auskunftsersuchens, wenden Sie sich an den Datenschutzbeauftragten oder den IT-Service.