1. Für wen gilt die DSGVO?

Die DSGVO gilt innerhalb der Universität Ulm für jede Stelle (Einrichtung, Institut, Fakultät, ZUV), die personenbezogene Daten verarbeitet.

2. Wann verarbeite ich personenbezogene Daten?

Personenbezogene Daten sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über Namen, Kennnummern, Standortdaten, Online-Kennung oder über besondere Merkmale möglich. Die besonderen Merkmale können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.

Dabei wird zunächst nicht zwischen "wichtigen" und "unwichtigen" Daten unterschieden.

Beispiele für personenbezogene Daten sind Namen, (E-Mail-)Adressen, Geburtsdatum, Matrikelnummer, Sozialversicherungsnummer, Fotos, IP-Adressen, KfZ-Kennzeichen….

3. Was sind die wichtigsten datenschutzrechtlichen Grundprinzipien?

• Eine Datenverarbeitung bedarf einer Rechtsgrundlage. Diese Erlaubnistatbestände sind in Art. 6 DSGVO geregelt und diesen Tatbeständen neu zuzuordnen.

• Die Anforderungen an eine informierte, freiwillige Einwilligung (Art. 6 DSGVO) in einen Datenverarbeitungsprozess und die Anforderungen an den Widerruf der Einwilligung (Art. 7 DSGVO) wurden konkretisiert, d. h. alle bisher verwendeten Einwilligungen sind zu prüfen.

• Das Verfahrensverzeichnis wird durch das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) abgelöst. Danach ist jeder Verantwortliche verpflichtet ein Verzeichnis über die von ihm durchgeführten Datenverarbeitungsvorgänge zu führen. Dieses gilt nach DSGVO jetzt auch für Verarbeitungsvorgänge im Auftrag, d. h. die bestehenden Verfahrensverzeichnisse sind zu aktualisieren und anzupassen, fehlende Verzeichnisse zu erstellen.

• Informations- und Auskunftspflichten für den Betroffenen wurden um weitere Angaben erweitert, d. h. dem Betroffenen sind künftig bei der Erhebung der Daten weitere Angaben zur Verfügung zu stellen (z. B. Rechtsgrundlage, Löschfristen). Bei einer Weiterverarbeitung zu einem anderen Zweck, sind dem Betroffenen erneut Informationen bereitzustellen, d. h. (Online-)Formulare oder Datenschutz-erklärungen sind zu erstellen bzw. zu überarbeiten.

• Die Meldepflicht bei Datenpannen an die zuständige Aufsichtsbehörde wurde erweitert. Jeder Vorfall, der ein Risiko für Rechte und Pflichten von Betroffenen darstellt, ist binnen 72 Stunden bei der Aufsichtsbehörde zu melden. Eine Panne muss vom entdeckenden Mitarbeiter, an die Ansprechpartner des Datenschutzes in der ZUV, Abteilung I-2, Recht und Organisation, gemeldet werden.

• Wenn Daten für die Universität im Auftrag verarbeitet werden, sind auch künftig Verträge zur Auftragsdatenverarbeitung (Art. 28 DSGVO) abzuschließen. Bereits bestehende Verträge sind an die neue Rechtslage anzupassen.

• Es gibt eine Datenportabilitätsverpflichtung, die der Betroffene selbst zur Verfügung gestellt hat. Es ist technisch zu gewährleisten, dass diese ggf. in einem technisch gängigen Format wieder zur Verfügung gestellt werden können. Bei Erhebung der Daten ist künftig auf diese Verpflichtung zu achten.

• Bei der Erstellung, Beschaffung oder beim Einsatz von Software ist darauf zu achten, dass diese den Anforderungen des Art. 25 DSGVO genügt. "Privacy by Design" heißt dabei "Datenschutz durch Technikgestaltung". Um gemäß der DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen eingesetzt werden, die dem aktuellen "State of the Art" entsprechen. Auf diese Weise soll eine Datenschutzverletzung erst gar nicht ermöglicht werden. "Privacy by Default" entspricht dem Grundsatz der Datensparsamkeit. Alle Datenerhebungen sollen individuell auf das jeweils Notwendige minimiert werden. Zudem soll, wenn möglich, der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wenn Daten durch datenverarbeitende Dienstanbieter oder in einer Cloud ausgewertet werden. Datenschutzfreundliche Voreinstellungen sind zu etablieren.

4. Wer ist für die Umsetzung der DSGVO zuständig / verantwortlich?

Verantwortlich nach dem Gesetz ist die verantwortliche Stelle, also die Universität Ulm. Innerhalb der Universität sind es die jeweils für die Verfahren Verantwortlichen, d. h. bspw. für die Führung einer Adressliste innerhalb eines Instituts der Institutsleiter, bei der Erhebung von Daten in einem Forschungsprojekt der verantwortliche Projektleiter.

5. Was ist eine Verarbeitungstätigkeit?

Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Jeglicher Umgang, inklusive der Speicherung, ist vom Begriff der Verarbeitung umfasst. Verarbeitungstätigkeiten fassen einzelne Schritte mit Blick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen.

6. Was mache ich bei einer Datenpanne?

Ein falscher Anhang an der Mail, ein USB-Stick ging verloren, mein Laptop wurde geklaut, Daten in einer Cloud in den USA gespeichert, ein Trojaner an der Mail. Daten können auf vielfältigen Wegen abhandenkommen. Nach DSGVO sind diese Verstöße binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Um dieses gewährleisten zu können, bitten wir Sie, die Datenpanne über das Online-Formular unverzüglich an die ZUV, Abt. I-2, Recht und Organisation zu melden. Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten, (Trojaner etc.) informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.

7. Wer ist "Auftragsverarbeiter"?

Ein Auftragsverarbeitender ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Abs. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen. Er ist verpflichtet geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Diese Verpflichtung wird regelmäßig in einem schriftlichen Vertrag abgebildet.

Die Verarbeitung von personenbezogenen Daten ist nach DSGVO nur dann zulässig, wenn die Verarbeitung durch eine gesetzliche Grundlage geregelt ist, oder der Betroffene bei Erhebung der Daten wirksam in die Verwendung eingewilligt hat. Möchten Sie also für ein Forschungsprojekt oder einen Verwaltungsvorgang Daten erheben, vergewissern Sie sich, dass es eine gesetzliche Grundlage für die Erhebung und Verwendung der Daten zu diesem konkreten Zweck gibt, andernfalls lassen Sie sich eine Einwilligung der Betroffenen geben. Ein Muster finden Sie hier. Um eine wirksame Einwilligung zu erhalten, sind dabei gemäß Art. 4 Nr. 11, Art. 7 DSGVO, folgende sieben Punkte zu beachten:

1. Form der Einwilligung

Die Einwilligungserklärung bedarf nicht zwingend der Schriftform. Diese kann ebenfalls mündlich, elektronisch oder in Textform erfolgen. Bei der Wahl der Form sollte jedoch berücksichtigt werden, dass die Beweislast für das Vorliegen der Einwilligung beim Verwender der Daten liegt. Im Ergebnis sollte die Einwilligung also dokumentiert erfolgen.

Die Einwilligungserklärung muss klar verständlich und eindeutig formuliert sein und darf sich dabei zur Verbesserung der Verständlichkeit auch visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt sein.

2. Informiertheit bei der Einwilligung

Der Betroffene muss vor der Erklärung der Einwilligung darüber informiert werden, auf welche konkreten personenbezogenen Daten sich die Einwilligung bezieht und den konkreten Zweck der Verarbeitung wiedergeben. Eine Weitergabe an Dritte muss aufgeführt sein.

3. Freiwilligkeit der Einwilligung

Die Einwilligung muss auf dem freien Willensentschluss des Betroffenen beruhen. Dabei muss der Betroffene eine echte Wahlfreiheit haben und die Einwilligung ohne zu erleidende Nachteile verweigern können. Der Betroffene ist darauf hinzuweisen, dass die Einwilligung verweigert werden kann.

4. Bestimmtheit und Zweck in der Einwilligung

Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten, zu welchem konkreten Zweck verarbeitet. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken ist grundsätzlich unzulässig. Bei der Detailliertheit sollte berücksichtigt werden, dass, je tiefer der Eingriff in das Persönlichkeitsrecht ist, desto genauer muss die Einwilligungserklärung ausgestaltet sein.

5. Unmissverständlichkeit der Einwilligungserklärung

Dem Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich um eine Einwilligungserklärung handelt. Dies kann dadurch kenntlich gemacht werden, dass die Erklärung die Überschrift "Einwilligung" trägt oder die Formulierung "Einwilligung" oder "Zustimmung" genutzt wird.

6. Widerrufsmöglichkeit der Erklärung

Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden, jedoch darf die Erklärung des Widerrufs nicht schwieriger sein oder zusätzliche Hürden mit sich bringen als die Erklärung der Einwilligung. Anschrift und Kontaktinformationen, an welche der Widerruf zu adressieren ist, sind mitzuteilen.

7. Eigene Daten

Der Betroffene kann immer nur in die Verwendung der eigenen personenbezogenen Daten einwilligen. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen.

Als öffentliche Stelle ist die Universität Ulm nach Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten (VVT), die ihrer Zuständigkeit unterliegen, zu führen. Diese Verpflichtung umfasst auch alle Verarbeitungstätigkeiten, die von der Universität Ulm im Auftrag durchgeführt werden. Das VVT löst das ehemalige Verfahrensverzeichnis nach § 11 LDSG a. F. (VVZ) ab.

Als Verarbeiten i.S.d. Art. 4 DSGVO wird dabei ein Vorgang oder eine Vorgangsreihe verstanden, die mit oder ohne automatisierte Verfahren personenbezogene Daten verwendet, also z. B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Damit ist jeglicher Umgang mit personenbezogenen Daten, inklusive der Speicherung, vom Begriff der Verarbeitung umfasst.

Der Begriff Verarbeitungstätigkeiten fasst dabei einzelne Verarbeitungsschritte im Hinblick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen, bspw. die Erhebung und Verwendung von Studierendendaten in einem Campus Management System.

Innerhalb der Universität Ulm sind der fachliche und der technische Ansprechpartner, die ein System etablieren wollen, dafür verantwortlich, dass die Verarbeitungstätigkeiten erst begonnen werden, wenn ein VVT erstellt und von den zuständigen Stellen zustimmend bewertet wurde. Bei der Verarbeitung von Beschäftigtendaten ist dabei in der Regel auch der Personalrat einzubeziehen.

Bei Systemen, für die in der Vergangenheit bereits ein VVZ erstellt wurde, ist es notwendig, dieses Verzeichnis auf die aktuelle Rechtslage anzupassen. Auch für diese Systeme ist demnach ein VVT zu erstellen.

Auftragsverarbeitung (AV) im Sinne der DSGVO ist die Verarbeitung von personenbezogenen Daten durch einen Dienstleister, im Auftrag des Verantwortlichen (also im Auftrag der Universität Ulm). Ein AVV liegt z. B. vor, wenn personenbezogene Daten auf externen Servern gehostet, IT-Systeme durch Dritte gewartet oder Datenträger durch andere Unternehmen entsorgt werden.

Ein solcher AVV darf nach Art 28. DGSVO nur dann erfolgen, wenn der Verantwortliche sichergestellt hat, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen hat, um die Rechte der betroffenen Personen zu schützen. Dieses ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter regelmäßig durch eine schriftliche Vereinbarung abzubilden.

Sollten Sie also den Einsatz eines Dienstleisters planen oder eine Software as a Service (SaaS) etablieren wollen, wird regelmäßig der Abschluss einer schriftlichen Vereinbarung notwendig sein, die neben den allgemeinen Fragen, wie Zahlung und Haftung, auch die datenschutzrechtliche Verantwortung regelt. Für alle damit einhergehenden Fragen und die Erstellung der schriftlichen AVV-Vereinbarung stehen Ihnen die Ansprechpartner der Abt. I-2 Recht und Organisation gerne zur Verfügung.

Ihr Laptop, Ihr Smartphone oder ein USB-Stick ging verloren? Eine E-Mail mit umfassendem Datenanhang inkl. personenbezogener Daten wurde an den falschen Adressaten gesandt? Ein PC wurde eventuell gehackt? Solche und viele andere "Datenpannen" sind Alltag in der heutigen IT-Welt.

Wichtig für Sie zu wissen ist, dass nach Art. 33, 34 DSGVO eine solche Datenpanne zwei Meldepflichten auslösen kann:

a) Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO)

Die Datenpanne ist unverzüglich und möglichst binnen 72 Stunden nach bekanntwerden der Verletzung an die zuständige Aufsichtsbehörde zu melden. Für die Universität Ulm ist das der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW).

Ausgenommen von einer Meldepflicht sind Datenpannen, die "voraussichtlich nicht zu einem Risiko" für den Betroffenen führen. Da es aktuell noch keine Auslegungsgrundsätze oder Vorgaben des LfDI BW gibt, wann ein solches Risiko ausgeschlossen werden kann, ist der gängige Rat, im Zweifel zu melden.

Für die Meldung gilt ein enger zeitlicher Rahmen von 72 Stunden nach dem die Verletzung bekannt wurde. Wobei "bekannt werden" jeden Beschäftigten der Universität Ulm meint, und nicht nur eine gesamtverantwortliche Person wie den Kanzler/Präsidenten oder den Datenschutzbeauftragten.

b) Meldung an den Betroffenen (Art. 34 DSGVO)

Neben der Meldung an den LfDI BW sieht die DSGVO eine Meldung an den Betroffenen vor. Diese Benachrichtigung muss jedoch nur dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht. Eine Meldung an den Betroffenen kann unterbleiben, wenn:

• Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen, oder


• technische und organisatorische Maßnahmen vorhanden sind, die den Zugang zu den personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).

Deshalb: Melden Sie ab dem 25. Mai 2018 unverzüglich alle Ihnen bekannt werdenden Datenpannen über das Online-Formular an die Ansprechpartner der Abt. I-2 der ZUV. Wenn Sie nicht sofort alle Angaben machen können, senden Sie die Meldung trotzdem und reichen dann weitere Informationen nach. Bitte senden Sie die Meldung NICHT direkt an den LfDI BW, sondern nur an die Ansprechpartner des Datenschutzes, die die Weiterleitung und die notwendige Dokumentation veranlassen.

Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten (Trojaner etc.), informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.

Online-Seminar: Die DSGVO an der Hochschule - ein Überblick

Online-Seminar: Datenschutzgerechter Umgang mit Forschungsdaten