Änderungen durch die Datenschutz-Grundverordnung zum 25.5.2018
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
An die Stelle der Verfahrensbeschreibung tritt die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. In dem Verzeichnis müssen sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein, also aus Forschung, Lehre, Studienverwaltung und allgemeiner Verwaltung. Auch Verfahren, die der Unterstützung der allgemeinen Bürotätigkeit dienen (Verfahren der Textverarbeitung, Führung von Adress- und Telefonverzeichnissen, etc.), sind zu dokumentieren.
Datenschutz-Folgenabschätzung
Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) abgelöst. Diese ist durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogene Daten verursacht, insbesondere bei neuartigen Technologien. Zwingend vorgeschrieben ist eine Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 3 DSGVO z.B. bei Videoüberwachungsanlagen oder der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Daten über die ethnische Herkunft und Gewerkschaftszugehörigkeit).
Informationspflichten der DSGVO
Grundlegendes Prinzip der in der DSGVO verankerten Betroffenenrechte ist, dass die Betroffenen wissen, wer welche Daten zu welchem Zweck über sie erhebt und sie dadurch in die Lage versetzt werden, die Datenerhebung und -verarbeitung nachzuvollziehen und überprüfen zu können. Die neu aufgestellten Informationspflichten der Art. 13 und 14 DSGVO beinhalten:
- Identität der/des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke und Rechtsgrundlage
- Potenzielle Datenempfängerinnen und empfänger
- Ggf. Übermittlung in Drittstaaten
- Dauer der Speicherung
- Rechte der Betroffenen, vgl. Art. 15 – 21 DSGVO
- Widerrufbarkeit von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde, vgl. Art. 77 DSGVO
- Verpflichtung zur Bereitstellung personenbezogener Daten
Bei Erhebung von personenbezogenen Daten aus anderen Quellen nach Art. 14 DSGVO muss die oder der Verantwortliche auch die Quelle angeben, aus welcher die personenbezogenen Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt. Bei einer Direkterhebung ist die oder der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung zu informieren. Diese Informationspflicht entfällt gem. Art. 13 Abs. 4 DSGVO, wenn die oder der Betroffene bereits informiert wurde. Werden die Daten nicht bei der oder dem Betroffenen erhoben, sind die Informationen nach Art. 14 Abs. 3 DSGVO innerhalb einer angemessenen Frist, spätestens nach einem Monat, zu erteilen. Die konkreten Verfahren zur Information sind noch differenziert auszuarbeiten. Als erster Schritt soll eine Mustererklärung erstellt werden, die über die Website des Datenschutzbeauftragten abrufbar ist. Hinweisblatt zu Art. 13 DSGVO (Link zum Word-Dokument)
Wahrnehmung von Betroffenenrechten
Nach Art. 15 Abs. 1 DSGVO kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, welche Daten dies genau sind. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Anfragen sind unverzüglich an den Datenschutzbeauftragten weiterzuleiten.
Nach Art. 17 DSGVO müssen personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden. Dies gilt insbesondere, wenn die Notwendigkeit der Verarbeitung zur Zweckerreichung entfallen ist und keine gesetzliche Aufbewahrungsfrist greift.
Bei jeder Verarbeitung personenbezogener Daten ist zu eruieren, zu welchem Zweck die Datenverarbeitung erfolgt, welche Aufbewahrungsfrist zur Zweckerreichung notwendig ist und ob gesetzliche Aufbewahrungsfristen der Löschung nach Zweckerreichung entgegenstehen. Dies soll in einem Löschkonzept schriftlich festgehalten werden.
Prozess für die Meldung von Datenschutzverstößen
Nach Art. 33 Abs. 1 DSGVO ist die Universität Göttingen verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, die Verletzung binnen 72 Stunden nach ihrem Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden. Selbst wenn kein Risiko für die Rechte und Freiheiten von natürlichen Personen durch den Datenschutzverstoß zu erwarten ist, besteht eine Dokumentationspflicht für sämtliche Verletzungen des Schutzes personenbezogener Daten.
Sämtliche Datenschutzverstöße und Sicherheitsvorfälle, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, sind unverzüglich dem Datenschutzbeauftragten und der Abteilung IT der Zentralverwaltung mitzuteilen. Hierfür soll eine zentrale E-Mail-Adresse eingerichtet werden: datenschutzvorfall@uni-goettingen.de.
Der Datenschutzbeauftragte wird dann im Zusammenwirken mit der Abteilung IT bewerten, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt und welche Maßnahmen und Meldepflichten zu ergreifen sind.
Technisch-organisatorischer Datenschutz und Nachweis der Datensicherheit
Nach Art. 5 Abs. 2 DSGVO ist die Universität Göttingen verpflichtet, die technischen und organisatorischen Datensicherheitsmaßnahmen zu dokumentieren und nachzuweisen. Nach Art. 38 Abs. 1 DSGVO ist der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden. Bei der Entwicklung von IT-Systemen sind neben der Einbindung des Datenschutzbeauftragten ebenfalls die Grundsätze „data protection by design“ (Datenschutz durch Technik) und „data protection by default“ (datenschutzfreundliche Voreinstellungen) zwingend einzuhalten (Art. 25 DSGVO). Bei Fragen zum technischen Datenschutz ist daher der Datenschutzbeauftragte zu beteiligen. Die Kommunikation der IT-Sicherheit obliegt weiterhin dem zentralen IT-Sicherheitsbeauftragten der Universität Göttingen.
Weitere Informationen auf unserer Homepage zu Erstellung der Verzeichnisse über Verarbeitungstätigkeiten und Formulare Durchführung der Datenschutz-Folgenabschätzung Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO Wahrnehmung von Betroffenenrechten Schulungsveranstaltungen Website der Niedersächsischen Landesdatenschutzbeauftragten mit weiteren Informationen: www.lfd.niedersachsen.de