Praktische Umsetzung
Jede Verarbeitung personenbezogener Daten ist zun?chst verboten. Es muss eine gesetzliche Erlaubnisregelung vorliegen oder es muss eine Einwilligung der betroffenen Personen eingeholt werden (v. a. gem?? Art. 6 und 9 DS-GVO, § 3 DSG NRW; Art. 88 DS-GVO i. V. .m. § 18 DSG NRW). um personenbezogene Daten verarbeiten zu dürfen (sog. ?Verbot mit Erlaubnisvorbehalt“).
Bestimmte personenbezogene Daten sind mit einem besonderen Schutzbedürfnis und daher mit weiteren spezifischen Anforderungen verbunden. Diese personenbezogenen Daten werden als besondere Kategorien personenbezogener Daten bzw. als sensible Daten (Erw?gungsgrund 10 der DS-GVO) benannt und werden in Art. 9 Abs. 1 DS-GVO geregelt.
Es dürfen ferner nur die für die jeweiligen Zwecke erforderlichen personenbezogenen Daten verarbeitet werden. Der Zweck oder die Zwecke einer Verarbeitung müssen vor einer Datenverarbeitung festgelegt werden. 360直播吧 müssen eindeutig und legitim sein. Unter Einhaltung von besonderen Voraussetzungen, gibt es einige Ausnahmen von dem Grundsatz der Zweckbindung. Beispiele sind Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke gem?? Art. 89 Abs. 1 DS-GVO sowie die Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen (§ 9 Abs. 1 DSG NRW). Besch?ftigte dürfen nur die zur Erfüllung des Zwecks erforderlichen Daten verarbeiten. Die Verarbeitung erfolgt im Rahmen der Vorgaben der Universit?t (Art. 29 DS-GVO).
Sonderthema: Datenübermittlung au?erhalb der EU:
Für jede Datenübermittlung au?erhalb der EU ist nicht nur eine wirksame Rechtsgrundlage, sondern zus?tzlich die Einhaltung bestimmter Anforderungen für den Drittlandtransfer erforderlich. In der für das Datenschutzrecht einschl?gigen Datenschutzgrundverordnung (DS-GVO) sind dazu unterschiedliche M?glichkeiten geregelt (Art. 44 ff. DS-GVO). Datenübermittlungen au?erhalb der EU sind v. a. zul?ssig, wenn:
- für ein Drittland ein sog. Angemessenheitsbeschluss vorliegt (= Best?tigung für ein Drittland hinsichtlich der Sicherstellung eines angemessenen Datenschutzniveaus durch die EU-Kommission);
- Vorliegen geeigneter Garantien (Art. 46 DSGVO);
- bspw. Standardvertragsklauseln (= vorgefertigte vertragliche Regelungen der Europ?ischen Kommission) abgeschlossen werden oder
- Binding Corporate Rules (= verbindliche interne Datenschutzvorschriften eines Unternehmens) vorliegen
- Ausnahmen in bestimmten F?llen nach Ma?gabe von Art. 49 DS-GVO.
Sonderthema: Verarbeitung personenbezogener Daten mit anderen Verantwortlichen oder Verarbeitung personenbezogener Daten unter Rückgriff auf externe Dienstleister
Die Universit?t Paderborn ist für alle Verarbeitungen personenbezogener Daten verantwortlich, bei denen sie die Zwecke und Mittel bestimmt.
Gemeinsame Verantwortung: Es kommt aber auch vor, dass die Universit?t mit anderen Verantwortlichen (z.B. eine andere Hochschule) zusammenarbeitet und dabei gemeinsam über Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt wird. Beispiele dafür sind etwa die gemeinsame Verwaltung bestimmter Datenkategorien oder die gemeinsame Errichtung und/oder Nutzung einer Infrastruktur (bspw. Forschungsplattform verschiedener Kooperationspartner). In diesem Fall ist eine besondere vertragliche Vereinbarung nach Ma?gabe des Art. 26 DS-GVO abzuschlie?en. Dazu steht ein Vertragsmuster für eine Vereinbarung über die gemeinsame Verantwortung mit Hinweisen zur Verfügung. Dieses Vertragsmuster muss an die konkrete Verarbeitung angepasst werden. In die Vertragsverhandlungen ist stets der*die Datenschutzbeauftragte der Universit?t Paderborn einzubeziehen.
Auftragsverarbeitung: H?ufig werden personenbezogene Daten auch durch externe Dienstleister (mit) verarbeitet. Sofern der externe Dienstleister im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) erforderlich. Beispiele dafür sind:
- Befragungen durch einen externen Dienstleister
- (Fern-)Wartungsl?sungen
- Organisation einer Tagung durch durch einen kommerziellen Anbieter (Teilnehmeranmeldung, Abrechnung, ...)
- Datenverarbeitung mit Hilfe eines externen Cloud-Dienstes
- Fremdhosting
- Newsletterdienste
- etc.
Art. 28 DS-GVO enth?lt Regelungen, die zwischen der Universit?t Paderborn und dem Auftragsverarbeiter vertraglich vereinbart werden müssen. Dazu steht ein Vertragsmuster für Auftragsverarbeitungsvertr?ge mit Hinweisen zur Verfügung. Dieses Vertragsmuster muss an die konkrete Verarbeitung angepasst werden. Der Vertrag muss von der*dem Vizepr?sident*in für Wirtschafts- und Personalangelegenheiten der Universit?t Paderborn mit dem Auftragsverarbeiter geschlossen werden. In die Vertragsverhandlungen ist stets der*die Datenschutzbeauftragte der Universit?t Paderborn einzubeziehen.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art (Verarbeitung personenbezogener Daten steht nicht im Vordergrund) stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar (bspw. Zahlungsdienstleister, Wirtschaftsprüfung, ?bersetzungen (ohne Nutzung von Cloudservice) etc. Eine individuelle ?berprüfung im Einzelfall ist jedoch unverzichtbar.
Insbesondere innerhalb der Verwaltung werden personenbezogene Daten regelm??ig auf Basis gesetzlicher Regelungen (hoheitliche Aufgabenerfüllung) verarbeitet. Teilweise k?nnen Verarbeitungen personenbezogener allerdings nur auf Grundlage einer Einwilligung der betroffenen Person stattfinden. Beispiele sind die Nutzung freiwilliger Dienste, Fotoaufnahmen und -ver?ffentlichungen die Teilnahme an Umfragen/Studien etc. Vor allem im Forschungsbereich spielt die Einwilligung eine zentrale Rolle.
Sofern die Einwilligung betroffener Personen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten ma?geblich ist, sind bestimmte Anforderungen zu erfüllen. Eine Einwilligung von Betroffenen zur Verarbeitung ihrer personenbezogenen Daten muss gem?? Art. 4 Nr. 11, Art. 7 DS-GVO wie folgt erteilt werden:
- freiwillig,
- in informierter Weise nach den Regelungen der Art. 12 ff. DS-GVO
- in Form einer unmissverst?ndlichen Erkl?rung oder sonstigen eindeutigen best?tigenden Handlung
- für den konkreten Fall (Pauschaleinwilligungen sind nicht zul?ssig!)
- nachweisbar (mind. wird die Textform empfohlen; im Besch?ftigtendatenschutz kann die Schriftform ma?geblich sein) und
- jederzeit widerruflich
Hinweis zu Alt-Einwilligungen: Einwilligungen die vor dem Geltungsbeginn der DS-GVO (25. Mai 2018) erteilt wurden, werden nicht automatisch ungültig. 360直播吧 k?nnen weiterhin als Grundlage für die Verarbeitung personenbezogener Daten dienen, sofern die Art der bereits erteilten Einwilligung den Bedingungen der DS-GVO entspricht. (ErwGr. 171, Satz 3 DSGVO). Im Zweifel sollten Alt-Einwilligungen überprüft werden, es sei denn die Verarbeitung findet nicht mehr statt.
Sonderfall Einwilligungen und Zweckbindung in der Forschung: Da es bei wissenschaftlichen Vorhaben nicht immer m?glich ist, bereits zum Zeitpunkt der Erhebung den genauen Zweck der Verarbeitung zu benennen, kann hier der Zweck etwas weiter gefasst werden. Der Zweck soll aber nur so weit gefasst sein, wie unbedingt n?tig. So sind pauschale Zweckangaben, man erhebe die Daten z. B. ?zu Forschungszwecken", rechtlich nicht hinreichend. Es sollte der betroffenen Person die M?glichkeit gegeben werden, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teilprojekte zu erteilen, für die die Daten tats?chlich erforderlich sind. (vgl. ErwG 33 DS-GVO).
Dazu stehen Musterformulare für Einwilligungserkl?rungen mit Hinweisen zur Verfügung. Diese Musterformulare müssen aber an die konkrete Verarbeitung angepasst werden. Angesichts der Vielzahl unterschiedlichster Sachverhalte ist es nicht m?glich, eine allgemeingültige Mustereinwilligung zu erstellen.
?ber jede Verarbeitung personenbezogener Daten muss (bei der Erhebung/vor der Verarbeitung!) informiert werden. Die Art und der Umfang dieser Informationspflicht ist gesetzlich vorgeschrieben. Grunds?tzlich sind die Informationen nach Ma?gabe des Art. 13 DS-GVO zu erteilen. Für den Fall, dass personenbezogene Informationen nicht bei der betroffenen Peron, sondern bei Dritten erhoben wurden, haben sich die Informationen hinsichtlich der jeweiligen Verarbeitung personenbezogener Daten nach Ma?gabe des Art. 14 DS-GVO zu richten. Die Betroffenen sind mit den Informationen in pr?ziser, transparenter, verst?ndlicher und leicht zug?nglicher Form aufzukl?ren (Art. 12, Art. 13, Art. 14 DS-GVO).
Dazu stehen Musterformulare für eine Datenschutzerkl?rung mit Hinweisen sowie einige Muster-Beispiele zur Verfügung. Dies Musterformulare müssen aber an die konkrete Verarbeitung angepasst werden. Angesichts der Vielzahl unterschiedlichster Sachverhalte ist es nicht m?glich, eine allgemeingültige Datenschutzerkl?rung zu erstellen.
Alle Verarbeitungst?tigkeiten personenbezogener Daten (bspw. Personalverwaltung, Studierendenverwaltung oder empirische Forschungsvorhaben mit personenbezogenen Daten) sind im sog. Verzeichnis der Verarbeitungst?tigkeiten (VVT) zu dokumentieren (Art. 30 DS-GVO). Alle Bereiche der Universit?t Paderborn sind dafür zust?ndig, die bei ihnen stattfindenden Verarbeitungst?tigkeiten im VVT zu dokumentieren und die Aktualit?t der Dokumentation regelm??ig zu überprüfen.
Hinweis: Die nach alter Rechtslage erstellten Verfahrensverzeichnisse sind entsprechend umzustellen.
Dazu stehen ein Musterformular und eine Ausfüllhilfe für das Erstellen der Dokumentation zur Verfügung. Bei Fragen zum Ausfüllen des VVT k?nnen die Datenschutzkoordinator*innen der einzelnen Bereiche der Universit?t weiterhelfen. Ihr ausgefülltes Verzeichnis von Verarbeitungst?tigkeiten (VVT) stellen 360直播吧 bitte über die Datenschutzkoordinator*innen dem*der zentralen Datenschutzkoordinator*in sowie der Datenschutzbeauftragten zur Verfügung.
Die Verarbeitung personenbezogener Daten ist durch geeignete technische und organisatorische Ma?nahmen (TOMs) gegen Bedrohungen und Gefahren zu schützen. Es ist ein dem Risiko angemessenes Schutzniveau zu gew?hrleisten. (Art. 32 DS-GVO). Gem?? Erw?gungsgrund 39 DS-GVO gilt es zu verhindern, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Ger?ten haben, mit denen sie die Daten verarbeiten werden. Der Schutz bezieht sich nicht nur auf gezielte Eingriffe, sondern auch auf unbeabsichtigten Verlust, unbeabsichtigter Zerst?rung oder unbeabsichtigter Sch?digung personenbezogener Daten. Die Festlegung der für eine Verarbeitung erforderlichen technische und organisatorischen sollte in enger Abstimmung mit der Informationssicherheit erfolgen, dazu gibt es wichtige Informationen zum Thema technische und organisatorische Ma?nahmen (TOMs).
Auch eine rechtm??ige Verarbeitung personenbezogener Daten ist i. d. R. mit Risiken für die Betroffenen verbunden. Der Begriff des Risikos wird in der DS-GVO nicht definiert. Bezüge zum Begriff finden sich in den Erw?gungsgründen 75 und 94 Satz 2 DS-GVO. Die deutschen Aufsichtsbeh?rden haben danach folgende Definition hergeleitet:
?Ein Risiko im Sinne der DS-GVO ist das Bestehen der M?glichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschlie?lich ungerechtfertigter Beeintr?chtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgesch?den eintreten“
M?gliche Sch?den sind insbesondere:
Diskriminierung, Identit?tsdiebstahl oder -betrug, finanzieller Verlust, Rufsch?digung wirtschaftliche oder gesellschaftliche Nachteile, Erschwerung der Rechtsausübung und Ver-hinderung der Kontrolle durch betroffene Personen, Ausschluss oder Einschr?nkung der Ausübung von Rechten und Freiheiten, Profilerstellung oder -nutzung durch Bewertung pers?nlicher Aspekte; k?rperliche Sch?den infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten.
Ereignisse, die zu einer Verwirklichung des Schadens führen k?nnen, sind insbesondere:
Unbefugte oder unrechtm??ige Verarbeitung, Verarbeitung wider Treu und Glauben, für den Betroffenen intransparente Verarbeitung, unbefugte Offenlegung von und Zugang zu Daten, unbeabsichtigter Verlust, Zerst?rung oder Sch?digung von Daten, Verweigerung der Betroffenenrechte, Verwendung der Daten durch den Verantwortlichen zu inkompatiblen Zwecken, Verarbeitung nicht vorhergesehener Daten, Verarbeitung nicht richtiger Daten, Verarbeitung über die Speicherfrist hinaus
Für jede Verarbeitung sind Risiken:
- zu identifizieren
- Die Eintrittswahrscheinlichkeiten und Schwere m?glicher Sch?den abzusch?tzen und
- Eine Zuordnung zu Risikoabstufungen vorzunehmen
Wichtig: Eine Risikobeurteilung verlangt eine vollst?ndige Beschreibung des der Datenverarbeitung zugrundeliegenden Sachverhalts.
Quelle: Der auf dieser Seite unter ?Risikoorientierte Betrachtung der Verarbeitungsvorg?nge“ vorangestellte Inhalt entspricht weitgehend dem DSK-Kurzpapier Nr. 18 (?Konferenz der unabh?ngigen Datenschutzbeh?rden des Bundes und der L?nder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0).)
Risiken sind durch geeignete technische und organisatorische Ma?nahmen einzud?mmen. Bei s?mtlichen Verarbeitungsvorg?ngen personenbezogener Daten ist zu prüfen, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst?nde und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Ist dies der Fall, muss die Universit?t eine sog. Datenschutz-Folgenabsch?tzung (DSFA) durchführen. Mit Hilfe der DSFA werden Risiken für die Rechte und Freiheiten natürlicher Personen nach einer spezifischen Vorgehensweise beschrieben, bewertet und einged?mmt werden sollen. Die Durchführung erfolgt durch die Universit?t und Heranziehung der*des Datenschutzbeauftragten und der Einbindung der betroffenen Person und ggf. einschl?gigen Gremien.
Umgang mit hohen Restrisiken: Ergibt sich aus der Datenschutz-Folgenabsch?tzung für die Verarbeitung ein hohes Risiko und kann der Verarbeiter keine Ma?nahmen zu Eind?mmung dieses Risikos treffen, so ist vor der Verarbeitung die Aufsichtsbeh?rde zu konsultieren (Art. 36 DS-GVO).
Die Richtigkeit der verarbeiteten personenbezogenen Daten ist für die betroffene Person von gro?er Bedeutung, da diese Grundlage für Entscheidungen im Zusammenhang mit der Datenverarbeitung ist. Bei jeder Ersterhebung und ggf. Speicherung von personenbezogenen Daten, ist zu prüfen, ob es Anhaltspunkte gibt, die gegen die Richtigkeit der personenbezogenen Daten sprechen. Unrichtigkeiten ist nachzugehen. Durch geeignete technische und organisatorische Ma?nahmen ist au?erdem sicherzustellen, dass auch Unrichtigkeiten auch sp?ter erkannt werden k?nnen. Betroffene Personen haben unterschiedliche Rechte die Richtigkeit zu kontrollieren und sicherzustellen (vgl. insb. Art. 15, 16, 17, 18, 21 DS-GVO).
Die Dauer der Speicherung personenbezogener Daten bemisst sich grunds?tzlich nach der Zweckbindung der jeweiligen Datenverarbeitung. Sind die Daten zur Zweckerreichung nicht mehr notwendig, sind diese nach Ma?gabe des Art. 17 DS-GVO zu l?schen oder ggf. zu anonymisieren. Betroffene haben au?erdem unterschiedliche M?glichkeiten, vom Recht auf L?schung nach Ma?gabe des Art. 17 DS-GVO Gebrauch zu machen (bspw. Widerruf einer Einwilligungerkl?rung). Ob und inwieweit personenbezogene Daten aufzubewahren und tats?chlich zu l?schen sind, ist abh?ngig von einer Einzelfallbeurteilung. Zu beachten sind vor allem gesetzliche Aufbewahrungspflichten, Vorgaben bspw. zur guten wissenschaftlichen Praxis sowie wie ggf. eine (anschlie?ende) Abgabe an Archive. Archive sind gesondert gesetzlich geregelt. ?ber die konkreten Rahmenbedingungen zur Speicherung ist im Rahmen der Verarbeitung über die Datenschutzerkl?rung zu informieren. Auch datenschutzrechtliche Nachweise sind aufzubewahren (bspw. Einwilligungserkl?rungen, Geltendmachung von Rechten etc.). Grunds?tzlich sind Nachweise solange aufzubewahren, wie personenbezogene Daten verarbeitet werden. Darüber hinaus bestehende unterschiedliche Gründe Nachweise noch eine Zeit lang aufzubewahren, um der Rechenschaftspflicht aus Art. 5 Abs. 2 der DS-GVO nachzukommen. Bitte beachten 360直播吧 die Vorgaben über Aufbewahrungsfristen der Universit?t Paderborn.
Die Universit?t muss gew?hrleisten, dass die von einer Verarbeitung ihrer personenbezogenen Daten betroffenen Personen ihre Rechte aus der DS-GVO wahrnehmen k?nnen, dies sind insbesondere:
Die Geltendmachung der unterschiedlichen Rechte unterliegt der Ma?gabe der einzelnen Voraussetzungen der jeweiligen Vorschriften und ist damit hinsichtlich der Umsetzung abh?ngig von den jeweiligen Umst?nden des Einzelfalls.
Besch?ftige haben auf alle Anfragen zur Rechtewahrnehmung von Betroffenen zu reagieren. Anfragen sind über die*den Vorgesetzte*n sowie den*die zentralen Datenschutzkoordinator*in und die*den Datenschutzbeauftragte*n zu beantworten.
Sowohl im Grundgesetz für die Bundesrepublik Deutschland (Art. 5 Abs. 3) als auch in der Charta der Grundrechte der Europ?ischen Union (Art. 13) wird die Freiheit der Forschung garantiert. Wissenschaftler*innen sind demnach frei in ihrer forschenden Fragestellung, im methodischen Vorgehen sowie in der Bewertung und Verbreitung der Forschungsergebnisse. Diese Freiheiten sind jedoch nur soweit garantiert, wie sie nicht mit anderen Grundrechten kollidieren oder gegen Gesetze versto?en.
Werden im Rahmen der Forschung personenbezogene Daten verarbeitet, so k?nnen die grundrechtlich geschützten Interessen der Forschenden mit den grundrechtlich geschützten Interessen der Forschungsprobanden (Recht auf informationelle Selbstbestimmung aus Art. 2 Abs.1 i. V. m. Art. 1 Abs. 1 Grundgesetz und Recht auf Schutz personenbezogener Daten aus Art. 8 Grundrechtecharta) in Konflikt stehen. Mit spezifischen Regelungen zum Forschungsdatenschutz schafft der Gesetzgeber einen Ausgleich zu kollidierenden Grundrechten.
Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken wird dabei in Teilen privilegiert. Der Forschungsdatenschutz ist leider an keiner Stelle im Gesetz abschlie?end geregelt und insgesamt ein komplexes Thema.