Die Verhandlungen zur europäischen Datenschutzgrundverordnung sind abgeschlossen. Ab 2018 gilt damit ein einheitliches Datenschutzgesetz in ganz Europa, das auch einige relevante Änderungen für Universitäten mit sich bringt.
Am 15.12. einigten sich die Verhandlungsführenden von europäischem Parlament, Kommission und Minister/innenrat auf eine Version, die nun noch vom Parlament und vom Rat abschließend bestätigt werden muss. Noch ist die endgültige Fassung zwar nicht veröffentlicht, aber wesentliche Eckpunkte sind bereits bekannt:
Die Trennung der Datenschutzregulierung für die Wirtschaft und öffentliche Hand wird aufgehoben, damit gelten vergleichbare Regeln für alle Stellen die personenbezogene Daten verarbeiten. Auch Universitäten drohen dann in Zukunft, bei groben Verstößen gegen Datenschutzregeln, Geldstrafen bis zu 4 % des Jahresumsatzes.
Darüber hinaus schreibt die Verordnung vor, dass für jedes System, das personenbezogene Daten verarbeitet, ein Privacy Impact Assessment durchgeführt wird. Bei diesem Verfahren, das der in Deutschland üblichen Vorabkontrolle ähnelt, sollen die möglichen Folgen der Datenverarbeitung für die Betroffenen beschrieben und mit dem Nutzen abgewogen werden.
Um den Privacy Impact so gering wie möglich zu halten sollte Datenverarbeitung, so die Grundverordnung, außerdem den Regeln des Privacy By Design folgen. Die umfassen Prinzipien wie die Datenvermeidung und die Gestaltung eines Privacy-Lifecycles, der auch das Recht auf Löschung und die Auskunftsrechte der Betroffenen berücksichtigt.
Über weitere Änderungen der für die Forschung relevanten Paragraphen werden wir auf dieser Seite berichten, sobald entsprechende Informationen vorliegen.