1. Für wen gilt die DSGVO?
Die DSGVO gilt innerhalb der Universität Ulm für jede Stelle (Einrichtung, Institut, Fakultät, ZUV), die personenbezogene Daten verarbeitet.
2. Wann verarbeite ich personenbezogene Daten?
Personenbezogene Daten sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über Namen, Kennnummern, Standortdaten, Online-Kennung oder über besondere Merkmale möglich. Die besonderen Merkmale können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.
Dabei wird zunächst nicht zwischen "wichtigen" und "unwichtigen" Daten unterschieden.
Beispiele für personenbezogene Daten sind Namen, (E-Mail-)Adressen, Geburtsdatum, Matrikelnummer, Sozialversicherungsnummer, Fotos, IP-Adressen, KfZ-Kennzeichen….
3. Was sind die wichtigsten datenschutzrechtlichen Grundprinzipien?
Die Anforderungen an eine informierte, freiwillige Einwilligung (Art. 6 DSGVO) in einen Datenverarbeitungsprozess und die Anforderungen an den Widerruf der Einwilligung (Art. 7 DSGVO) wurden konkretisiert, d. h. alle bisher verwendeten Einwilligungen sind zu prüfen.
Das Verfahrensverzeichnis wird durch das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) abgelöst. Danach ist jeder Verantwortliche verpflichtet ein Verzeichnis über die von ihm durchgeführten Datenverarbeitungsvorgänge zu führen. Dieses gilt nach DSGVO jetzt auch für Verarbeitungsvorgänge im Auftrag, d. h. die bestehenden Verfahrensverzeichnisse sind zu aktualisieren und anzupassen, fehlende Verzeichnisse zu erstellen.
Informations- und Auskunftspflichten für den Betroffenen wurden um weitere Angaben erweitert, d. h. dem Betroffenen sind künftig bei der Erhebung der Daten weitere Angaben zur Verfügung zu stellen (z. B. Rechtsgrundlage, Löschfristen). Bei einer Weiterverarbeitung zu einem anderen Zweck, sind dem Betroffenen erneut Informationen bereitzustellen, d. h. (Online-)Formulare oder Datenschutz-erklärungen sind zu erstellen bzw. zu überarbeiten.
Die Meldepflicht bei Datenpannen an die zuständige Aufsichtsbehörde wurde erweitert. Jeder Vorfall, der ein Risiko für Rechte und Pflichten von Betroffenen darstellt, ist binnen 72 Stunden bei der Aufsichtsbehörde zu melden. Eine Panne muss vom entdeckenden Mitarbeiter, an die Ansprechpartner des Datenschutzes in der ZUV, Abteilung I-2, Recht und Organisation, gemeldet werden.
Es gibt eine Datenportabilitätsverpflichtung, die der Betroffene selbst zur Verfügung gestellt hat. Es ist technisch zu gewährleisten, dass diese ggf. in einem technisch gängigen Format wieder zur Verfügung gestellt werden können. Bei Erhebung der Daten ist künftig auf diese Verpflichtung zu achten.
Bei der Erstellung, Beschaffung oder beim Einsatz von Software ist darauf zu achten, dass diese den Anforderungen des Art. 25 DSGVO genügt. "Privacy by Design" heißt dabei "Datenschutz durch Technikgestaltung". Um gemäß der DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen eingesetzt werden, die dem aktuellen "State of the Art" entsprechen. Auf diese Weise soll eine Datenschutzverletzung erst gar nicht ermöglicht werden. "Privacy by Default" entspricht dem Grundsatz der Datensparsamkeit. Alle Datenerhebungen sollen individuell auf das jeweils Notwendige minimiert werden. Zudem soll, wenn möglich, der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wenn Daten durch datenverarbeitende Dienstanbieter oder in einer Cloud ausgewertet werden. Datenschutzfreundliche Voreinstellungen sind zu etablieren.
4. Wer ist für die Umsetzung der DSGVO zuständig / verantwortlich?
Verantwortlich nach dem Gesetz ist die verantwortliche Stelle, also die Universität Ulm. Innerhalb der Universität sind es die jeweils für die Verfahren Verantwortlichen, d. h. bspw. für die Führung einer Adressliste innerhalb eines Instituts der Institutsleiter, bei der Erhebung von Daten in einem Forschungsprojekt der verantwortliche Projektleiter.
5. Was ist eine Verarbeitungstätigkeit?
Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Jeglicher Umgang, inklusive der Speicherung, ist vom Begriff der Verarbeitung umfasst. Verarbeitungstätigkeiten fassen einzelne Schritte mit Blick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen.
6. Was mache ich bei einer Datenpanne?
Ein falscher Anhang an der Mail, ein USB-Stick ging verloren, mein Laptop wurde geklaut, Daten in einer Cloud in den USA gespeichert, ein Trojaner an der Mail. Daten können auf vielfältigen Wegen abhandenkommen. Nach DSGVO sind diese Verstöße binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Um dieses gewährleisten zu können, bitten wir Sie, die Datenpanne über das Online-Formular unverzüglich an die ZUV, Abt. I-2, Recht und Organisation zu melden. Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten, (Trojaner etc.) informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.
7. Wer ist "Auftragsverarbeiter"?
Ein Auftragsverarbeitender ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Abs. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen. Er ist verpflichtet geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Diese Verpflichtung wird regelmäßig in einem schriftlichen Vertrag abgebildet.