Häufige Fragen zur Datenschutzgrundverordnung

(Grundlage dieser Seite sind die Seiten des Datenschutzbeauftragten der Uni Hannover und eine Ergänzung von Klaus Kock
https://www.uni-hannover.de/de/universitaet/organisation/beauftragte/datenschutz/DS-GVO/  — )

(kul)

Wann tritt die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft?

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist am 25.05.2016 in Kraft getreten und kam nach einer zweijährigen Übergangsfrist zur Anwendung. Seit dem 25.05.2018 ist die DS-GVO unmittelbar anwendbar und deren Einhaltung wird durch die Aufsichtsbehörden und Gerichte überprüft.

Eine Informationsbroschüre mit der am 04. Mai 2016 im Amtsblatt der Europäischen Union veröffentlichten Europäischen Datenschutz-Grundverordnung und der finalen Fassung des neuen Bundesdatenschutzgesetzes sowie einführende Erläuterungen zum Inhalt der Datenschutz-Grundverordnung ist auf der Internetseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erhältlich.

Das neue Datenschutzgesetz NRW (DSG-NRW), das für einige Detailregelungen maßgeblich ist, liegt seit 17.5.2018 vor.

Für wen gilt die DS-GVO?

Die DS-GVO gilt für die gesamte Ruhr-Universität Bochum, das Landesdatenschutzgesetz NRW ergänzt und konkretisiert die DS-GVO in Punkten, in denen eine Öffnungsklausel vorgesehen ist. Jede Stelle (Institut, Einrichtung, Fakultät, etc.), die personenbezogene Daten verarbeitet, muss die DS-GVO beachten und einhalten.

Wann verarbeite ich personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über einen Namen, eine Kennnummer, Standortdaten, Online-Kennung oder andere Daten möglich. Die Daten können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.

Es gibt es zunächst keine Unterscheidung zwischen mehr oder weniger schützenswerten Daten. Das Bundesverfassungsgericht spricht davon, dass es keine „belanglosen“ Daten gibt. Damit ist beispielsweise die Telefonnummer nicht minder schützenswert als die Haarfarbe.

Beispiele für personenbezogene Daten sind Daten die verbunden sind mit Namen, E-Mailadressen, Personalausweisnummer, Matrikelnummer, IP-Adresse oder einer Eindeutigen ID in einem IT-System, die einer Person zugeordnet ist. Gleiches gilt für eine Interviewaufzeichnung (Zuordnung über Kontext, Stimme oder inhaltliche Aussagen) oder ein Fragebogen aus dem sich aus dem Kontext und den demographischen Daten Personen identifizieren lassen.

Welche datenschutzrechtlichen Vorgaben ändern sich?

Die DS-GVO baut auf den bisher geltenden Datenschutzprinzipien auf. Da der Datenschutz in Deutschland bereits ein hohes Niveau hatte, fallen die Änderungen vergleichsweise gering aus. Für die RUB wird insbesondere relevant in welchem Umfang und in welcher Form der Landesgesetzgeber von sog. Öffnungsklauseln im neu zu fassenden Datenschutzgesetz des Landes NRW Gebrauch macht. Bisher ist noch kein Referentenentwurf des Landesdatenschutzgesetzes veröffentlicht worden.

Folgende Änderungen werden insbesondere relevant:

  • Die Verfahrensbeschreibung wird durch ein Verzeichnis der Verarbeitungstätigkeiten abgelöst. Das Verzeichnis ist aber nicht mehr als „Jedermannverzeichnis“ zugänglich zu machen.
  • Anstelle der datenschutzrechtlichen Vorabkontrolle des Datenschutzbeauftragten in allen Fällen der Verarbeitung personenbezogenen Daten tritt die Durchführung einer Datenschutz-Folgenabschätzung für besonders risikobehaftete Datenverarbeitungen, die Verantwortliche selbst erstellen müssen.
  • Die Anforderungen an die informierte Einwilligung wurden konkretisiert
  • Die Informations- und Auskunftspflichten wurden erweitert
  • Es sind bestehen Meldepflichten bei Datenschutzverstößen.

Wann erlaubt die DS-GVO personenbezogene Daten zu verarbeiten?

Entgegen des Eindrucks, der vielfach entstanden ist. Nicht jede Verarbeitung personenbezogener Daten bedarf der Einwilligung.

Artikel 6 der DS-GVO regelt die Zulässigkeit der Verarbeitung. An Hochschulen sind folgende Rechtsgrundlagen häufig zu finden:

  • Auf Basis einer (freiwilligen informierten) Einwilligung wird an Hochschulen in der Regel Forschung betrieben. (Rechtsgrundlage Art. 6 Abs. 1 Buchst. a DS-GVO)
  • Daten die für die Eingehung und (wechselseitige) Erfüllung von Verträgen mit betroffenen Personen erforderlich sind, finden sich beispielsweise bei Arbeitsverträgen oder Angeboten an Bürger und Studenten z.B. Öffentlichkeitsveranstaltungen, Konferenzen etc.  (Rechtsgrundlage Art. 6 Abs. 1 Buchst. a DS-GVO)
  • Bestimmte Datenverarbeitungen sind zur Erfüllung gesetzlicher Verpflichtungen erforderlich sein (z.B. Hochschulstatistik, Arbeitsschutz, Sozialgesetzbuch etc.) (Rechtsgrundlage Art. 6 Abs. 1 Buchst. c DS-GVO mit Nennung der jeweiligen Gesetzlichen Verpflichtung)
  • Die Hochschule hat im Hochschulgesetz die Aufgabe zur Forschung und Lehre sowie die daran gebundenen Aufgaben (z.B. Prüfungsverwaltung) zugewiesen bekommen. Die zur Erfüllung einer solchen Aufgabe erforderlichen Verarbeitungen personenbzogener Daten ist nach DS-GVO ebenfalls erlaubt. (Rechtsgrundlage Art. 6 Abs. 1 Buchst. e DS-GVO)

Bei jeder Erhebung ist auf die Informiertheit zu achten. Die ist aber nicht mit einer Einwilligung gleichzusetzen.

 

Wo finde ich Hilfe bei der Umsetzung?

Eine erste Hilfestellung bieten die Kurzpapiere der datenschutzrechtlichen Aufsichtsbehörden. Die Ruhr-Universität hat das Angebot der Zendas lizensiert, das speziell auf Hochschulen zugeschnittene Informationen zum Datenschutz bietet und jeder Beschäftigte kann dort weitergehende Informationen abrufen. In allen Fragen zum Datenschutz kann sich jede/r Mitarbeitende an die Datenschutzbeauftragten wenden.

Für die Erfüllung der oben genannten Änderungen ergeben sich also folgende konkretisierte Anforderungen, für die entsprechende Hilfen verlinkt sind:

  • Zunächst sind die Verarbeitungstätigkeiten im Verzeichnis zu dokumentieren (Sammlung zentral, derzeit Zusendung an den DSB) (Siehe Formulare)
  • Bei der Erhebung von Daten sind betroffene Personen entsprechend des Katalogs aus Art. 13 zu informieren (DSK Papier). Dazu zählt beispielsweise auch eine überarbeitete Datenschutzerklärung. (Siehe Link unter Formulare)
  • Für einige wenige Verfahren ergibt sich die Anforderung eine Datenschutzfolgenabschätzung durchzuführen. (Siehe Checkliste unter Formulare)
  • Verträge zur Auftragsdatenverarbeitung sind zu überarbeiten (Muster werden auf Nachfrage bereitgestellt.)
  • Die Informationssicherheit ist in jeweils angemessenen Maß nach Stand der Technik umzusetzen. (Umsetzung des Sicherheitskonzepts der RUB )
  • Es ist zu organisieren, dass die Betroffenenrechte wahrgenommen werden können (insbesondere Auskunft)
  • Es ist zu organisieren, dass Brüche der Sicherheit der Verarbeitungen/ Datenschutzvorfälle gemeldet werden (über die dezentralen Informationssicherheitsbeauftragten).

 

Wer ist für die Umsetzung der DS-GVO zuständig/verantwortlich?

Für die Umsetzung der DS-GVO ist die Daten verarbeitende Stelle verantwortlich. An der RUB sind das die jeweiligen Verfahrensverantwortlichen. Wenn beispielsweise im Sekretariat X des Instituts Y eine Adressliste geführt wird, ist das Institut Y die Daten verantwortliche Stelle und für die Meldung dieser Verarbeitungstätigkeit verantwortlich. Gleiches gilt beispielsweise wenn bei einem Forschungsprojekt Erhebungen durchgeführt werden.

Was ist ein Verzeichnis für Verarbeitungstätigkeiten und welchen Inhalt muss dieses haben?

Nach Art. 30 DS-GVO besteht für öffentliche Stellen die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Entsprechend Erwägungsgrund 82 der DS-GVO soll das Verzeichnis von Verarbeitungstätigkeiten unter anderem dazu dienen, der Datenschutz-Aufsichtsbehörde (hier: der Landesbeauftragten für den Datenschutz NRW?) die Möglichkeit zu bieten, „die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse“ kontrollieren zu können. In dem Verzeichnis sollten daher sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein. Eine Vorlage steht zur Verfügung. Es befindet sich ein System im Aufbau, das die Erfassung und Pflege des Verfahrensverzeichnisses für jede/n Beschäftigte/n unterstützt.

Änderungen zur bisherigen Rechtslage

In der Verwaltung / Lehre: Es sind nicht nur automatisierte Verarbeitungsvorgänge, sondern auch angrenzende Verarbeitungsprozesse personenbezogener Daten zu erfassen, bspw Akten, die zu einem späteren Zeitpunkt digitalisiert werden sollen oder die nach bestimmten Kriterien sortiert sind. Wann immer eine Ablage strukturiert erfolgt müssen diese Prozesse aus Sicht des Datenschutzes betrachtet werden.

In der Forschung:  Die „Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für Zwecke der Statistik“ wird wie bisher durch die Datenschutz-Grundverordnung und durch das neue Landesdatenschutzgesetz privilegiert. Das bedeutet vor allem, dass besondere Verarbeitungserlaubnisse vorliegen.

Der Artikel 5, Absatz 1, lit. b des DS-GVO normiert zunächst eine weitgehende Aufhebung der Zweckbindung für Daten, die ursprünglich für andere Zwecke verarbeitet wurden. Eine Weiterverarbeitung für die vorgenannten Zwecke gilt danach nicht als unvereinbar mit den ursprünglichen Zwecken.

Die Rechtsgrundlage für die Datenverarbeitung zu den genannten Zwecken kann nach Art. 89 DS-GVO weitgehend in den Mitgliedstaaten geregelt werden. Gleiches gilt gem. Art. 9 Abs. 2 lit. j DS-GVO auch für die Verarbeitung besonders sensibler Daten (wie zum Beispiel über die religiöse Überzeugung oder Gesundheitsdaten) zu diesen Zwecken. Dabei müssen angemessene Garantien zum Datenschutz vorgesehen werden. Zu den danach erforderlichen technisch-organisatorischen Maßnahmen können im Forschungsbereich zum Beispiel Pseudonymisierung und Anonymisierung gehören. Von einzelnen Betroffenenrechten sind Ausnahmen möglich, soweit sie voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen würden. Die §§ 27 und 28 des BDSGneu enthalten hier einige spezifische Regelungen, ob diese oder weitergehende Regelungen in das für die RUB maßgebliche Landesdatenschutzgesetz übernommen werden bleibt abzuwarten[3]

 

Umsetzungsmaßnahmen an der Ruhr Universität Bochum

Aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO muss das Verzeichnis der Verarbeitungstätigkeiten zwingend sämtliche Verarbeitungsprozesse personenbezogener Daten erfassen. Jede Einrichtung und jedes Institut ist selbst dafür verantwortlich Verarbeitungsprozesse, in denen personenbezogene Daten verarbeitet werden, an den behördlichen Datenschutzbeauftragten zu melden. Es liegt weiterhin bereits ein weitgehend ausgearbeitetes Informationssicherheitskonzept vor, das auch viele Datenschutzaspekte umfasst.

Es liegen verschiedene Vorlagen und Handlungsanleitungen für bestimmte Bereiche vor.

Als Organisatorische Unterstützung sollen dezentrale Informationssicherheits- und Datenschutzbeauftragte die einzelnen Einrichtungen beraten.

Für die Erfüllung der oben genannten Änderungen ergeben sich also folgende konkretisierte Anforderungen, für die entsprechende Hilfen verlinkt sind:

  • Zunächst sind die Verarbeitungstätigkeiten im Verzeichnis zu dokumentieren (Sammlung zentral, derzeit Zusendung an den DSB) (Siehe Formulare)
  • Bei der Erhebung von Daten sind betroffene Personen entsprechend zu informieren. Dazu zählt beispielsweise auch eine überarbeitete Datenschutzerklärung.
  • Für einige wenige Verfahren ergibt sich die Anforderung eine Datenschutzfolgenabschätzung durchzuführen. (Siehe Checkliste unter Formulare)
  • Die Informationssicherheit ist in jeweils angemessenen Maß nach Stand der Technik umzusetzen. (Umsetzung des Sicherheitskonzepts der RUB )
  • Verträge zur Auftragsdatenverarbeitung sind zu überarbeiten (Muster werden auf Nachfrage bereitgestellt.)
  • Es ist zu organisieren, dass die Betroffenenrechte wahrgenommen werden können (insbesondere Auskunft)
  • Es ist zu organisieren, dass Brüche der Sicherheit der Verarbeitungen/ Datenschutzvorfälle gemeldet werden (über die dezentralen Informationssicherheitsbeauftragten).

Gibt es eine spezielle Übergangsfrist für bereits bestehende Datenverarbeitungen?

Prinzipiell gibt es nur die 2-jährige Frist, die am 24. Mai 2018 endete. Nach deren Ablauf sind die Regelungen der DS-GVO verbindlich. Die Verbindlichkeit ist nicht nur für neue Datenverarbeitungen nach diesem Stichtag gegeben. Vielmehr erstreckt sie sich auf alle Datenverarbeitungen an der Hochschule, sprich Altfälle.

Was ist eine Verarbeitungstätigkeit?

Gemäß Art. 4 DS-GVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

Jeglicher Umgang inklusive der Speicherung ist vom Begriff der Verarbeitung umfasst. Verarbeitungstätigkeiten fassen einzelne Schritte mit Blick auf einen einzelnen spezifischen  inhaltlichen Zweck zusammen.

In der Praxis sollte eine Abgrenzung zwischen den verschiedenen Verarbeitungstätigkeiten anhand der Zweckbestimmung der Verarbeitung vorgenommen werden. Kennzeichnend für ein einheitliches Verfahren ist somit die Verarbeitung personenbezogener Daten für einen bestimmten Zweck oder mehrere Zwecke.

Ein Bürokommunikationsprogramm allein stellt noch keine Verarbeitungstätigkeit dar, weil kein Bezug zur Verarbeitung personenbezogener Daten vorliegt. Hingegen sind ein Bürokommunikationsprogramm und damit erstellte Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein Verfahren, welches im Verzeichnis der Verarbeitungstätigkeiten abgebildet sein muss. Zwecke der Verarbeitung können beispielsweise sein:

  • Personalaktenführung / Stammdaten
  • Studierendenverwaltung
  • Prüfungsverwaltung
  • Arbeitszeiterfassung
  • Videoüberwachung oder Kamerasysteme für Forschungszwecke
  • Bewerbungsverfahren
  • Beschaffung / Einkauf
  • Antragsbearbeitung
  • Telefondatenerfassung
  • Nutzungsprotokollierungen in der IT
  • Forschungserhebungen
  • Organisation von (öffentlichen) Veranstaltungen

Informierungspflicht und Datenschutzerklärung

Zum Zeitpunkt der Erhebung von Daten sind betroffene Personen entsprechend des Katalogs aus Art. 13 der DS-GVO zu informieren (DSK Papier).

Informierungen müssen insbesondere über folgende Punkte informieren:

  • Name und Kontaktdaten Verantwortlicher
  • Kontaktdaten DSB
  • Zwecke der Datenverarbeitung und Rechtsgrundlage
  • Bei Interessenabwägungen, berechtigte Interessen des Verantwortlichen/Dritten
  • (Kategorien von) Empfängern (und Zugriffsberechtigten)
  • Ggf. Absicht der Übermittlung in Drittland und dazu gehörende weitere Informationen

Diese Informationen sind bei Eingabeformularen oder Einwilligungserklärungen unmittelbar bei der Erhebung mitzuteilen.

Darüber hinaus müssen folgende Informationen zugänglich sein.

  • Speicherdauer bzw. Kriterien für die Festlegung der Dauer
  • Hinweis auf Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit)
  • Hinweis auf Widerrufsrecht einer Einwilligung und auf die Tatsache, dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung bis zum Widerruf nicht berührt wird
  • Hinweis auf Beschwerderecht bei Aufsichtsbehörde
  • Hinweis, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben/für Vertragsabschluss erforderlich ist und ob die Verpflichtung der betroffenen Person zur Bereitstellung besteht und welche Folgen eine  Nichtbereitstellung hat
  • Im Falle der automatisierten Entscheidungsfindung: aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung
  • Im Falle einer Zweckänderung: Informationen über den weiteren Zweck und alle anderen oben genannten Informationen dazu.

Das bedeutet die Informationen müssen z.B. auf einer zusätzlichen Webseite zur Verfügung stehen, oder in einem beigelegten Informationsblatt.

Wenn betroffene Personen bereits informiert sind, kann von einer Informierung abgesehen werden.

Auch Datenschutzerklärungen haben das Ziel diese Informationspflichten zu erfüllen.

Für die zentralen Seiten der RUB wurde eine entsprechende Datenschutzerklärung verfasst. Diese kann für Lehrstühle und Einrichtungen übernommen/verlinkt werden, wenn sie zutreffend ist. Es dürfen also keine Verarbeitungen fehlen und die genannten Bedingungen müssen ebenso umgesetzt sein. Sie kann auch als Grundlage zur eigenen Erweiterung verwendet werden. Ein weiteres Beispiel ist bei den Formularen zu finden ( Formulare).

Was bedeutet „Auskunftsrecht“ (Art. 15 DS-GVO)?

Wie schon nach der bisherigen Rechtslage haben betroffene Personen das Recht mit formlosem Antrag und ohne Begründung von einen Verantwortlichen Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte können es beispielsweise erleichtern, gezielt weitere Rechte, wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung („Sperrung“), geltend zu machen.

Weitere Informationen zum Umfang des Auskunftsrechts, die Form und zu beachtende Fristen (i.d.R. 1 Monat) sind im Kurzpapier Nr. 6 der Datenschutzkonferenz festgehalten.

Verstoß gegen den Datenschutz – Was nun?

Ein falscher Anhang mit der E-Mail in die Welt verschickt, einen USB Stick, natürlich unverschlüsselt, verloren, der Dienstrechner wurde in der Winterpause aus dem Büro geklaut, wichtige Daten in der kostenlosen Cloud in Übersee gespeichert. Die Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, sind vielseitig.

Die DS-GVO schreibt eine Meldepflicht vor, deren Hürden stark abgesenkt wurden. Vom Grundsatz her muss jede Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde gemeldet werden, es sei denn, dass sie „voraussichtlich nicht zu einem Risiko“ des Betroffenen führt. Dieses abzuwägen, könnte sich jedoch im Alltag als große Herausforderung herausstellen, da bei den meisten Vorfällen nicht auszuschließen ist, dass ein solches Risiko besteht. Von daher ist zu erwarten, dass sich die Aufsichtsbehörden hierzu näher abstimmen, damit verständlich wird, nach welchen Kriterien eine Risikobewertung stattfindet.

Innerhalb von 72 Stunden muss eine Datenpanne bei der zuständigen Aufsichtsbehörde gemeldet werden. Die Verpflichtung zur Meldung von Datenpannen ist ernst zu nehmen. Alleine der mögliche Bußgeldrahmen von 10 Mio. Euro verdeutlicht die Notwendigkeit bereits.

Datenschutz und Beschäftigungsverhältnisse

Wer als Beschäftigter zu betrachten ist, ist im LPVG geregelt, darüber hinaus können im neuen Datenschutzgesetz abweichende Bestimmungen zu finden sein. Allgemein gelten als Beschäftigte u.a.

  • Mitarbeiter, einschließlich der Leiharbeitnehmer,
  • zu ihrer Berufsbildung Beschäftigte,  […]

Personalrechtliche Regelungen im Datenschutz betreffen in der Regel auch:

  • Bewerber für ein Beschäftigungsverhältnis,
  • Personen, deren Beschäftigungsverhältnis beendet ist.

In der Regel findet die Verarbeitung von Daten von Beschäftigten zur wechselseitigen Erfüllung des Arbeitsvertrags statt. Das Landesrecht kann dazu genaueres bestimmen, beispielsweise sind im LBG NRW verschiedene Regelungen zu Personalakten zu finden, die bisher auch auf Nichtbeamtete anzuwenden waren.

Werden personenbezogene Daten von Beschäftigten mit dessen Einwilligung bearbeitet, muss diese freiwillig sein. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht aufzuklären.

Die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ist auf der Grundlage von Dienstvereinbarungen zulässig.

Die Bearbeitung von sensiblen Daten (besondere Daten nach Art. 9 DS-GVO) , z.B. Gesundheitsdaten, genetische Daten, politische Meinungen oder die Gewerkschaftszugehörigkeit, ist für Beschäftigungsverhältnisse zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person höher ist als die Notwendigkeit der Verarbeitung. Die Verarbeitung sensibler Daten mit der Einwilligung des Angestellten ist möglich, diese muss sich dabei ausdrücklich auf diese Daten beziehen und ebenfalls freiwillig sein.