Datenschutz

Fotos, Namen, Anschriften, IP-Adressen, Matrikelnummern: Im Alltag werden eine Vielzahl von personenbezogenen Daten durch diverse Medien erhoben und für die Erledigung verschiedenster Aufgabenbereiche in Forschung und Verwaltung verwendet. Die Universität Ulm und ihre Beschäftigten unterliegen dabei vor allem den Vorgaben der Europäischen Datenschutzgrundverordnung und des Landesdatenschutzgesetzes. Für alle rechtlichen Fragen in diesem Kontext, stehen wir Ihnen als Ansprechpartner gerne zur Verfügung.

Die Universität wird bei materiellen und technisch-organisatorischen Fragestellungen des Datenschutzes zudem von der zentralen Datenschutzstelle der baden-württembergischen Hochschulen ZENDAS unterstützt. Auf deren Homepage finden Sie ebenfalls eine Vielzahl von Informationen zum Thema Datenschutz.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

  • Allgemeines

    Um einheitliche datenschutzrechtliche Standards innerhalb der Europäischen Union zu schaffen, tritt am
    25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in allen Staaten der EU in Kraft.  Durch die DSGVO wird, unter Beibehaltung der bekannten Grundprinzipien des "alten" deutschen Datenschutzrechts, ein neuer gesetzlicher Rahmen geschaffen und um einige weitergehende Betroffenenrechte ergänzt. Zudem werden technische Anforderungen und damit der Aspekt Datensicherheit verschärft und Vorgaben für den Transfer von Daten in Drittstaaten normiert.

    Für die Universität Ulm ist neben der DSGVO vor allem das Landesdatenschutzgesetz Baden-Württemberg (LDSG) relevante Rechtsgrundlage. Das neue LDSG wurde vom Landtag in der Sitzung am 06. Juni 2018 beschlossen und trat am 12. Juni 2018 in Kraft.

  • Frequently Asked Questions (FAQ)

    1. Wann tritt die DSGVO in Kraft?

    Die DSGVO ist bereits seit 25. Mai 2016 in Kraft, kommt jedoch nach einer zweijährigen Übergangsfrist ab 25. Mai 2018 als unmittelbar geltendes Gesetz zur Anwendung und wird ab diesem Datum für die Gerichte und Aufsichtsbehörden überprüfbar. Für die Universität Ulm werden die in der DSGVO enthaltenen Öffnungsklauseln jedoch in wesentlichen Teilen durch das Landesdatenschutzgesetz ergänzt.


    2. Für wen gilt die DSGVO?

    Die DSGVO gilt innerhalb der Universität Ulm für jede Stelle (Einrichtung, Institut, Fakultät, ZUV), die personenbezogene Daten verarbeitet.


    3. Wann verarbeite ich personenbezogene Daten?

    Personenbezogene Daten sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über Namen, Kennnummern, Standortdaten, Online-Kennung oder über besondere Merkmale möglich. Die besonderen Merkmale können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.

    Dabei wird zunächst nicht zwischen "wichtigen" und "unwichtigen" Daten unterschieden.

    Beispiele für personenbezogene Daten sind Namen, (E-Mail-)Adressen, Geburtsdatum, Matrikelnummer, Sozialversicherungsnummer, Fotos, IP-Adressen, KfZ-Kennzeichen….


    4. Welche datenschutzrechtlichen Vorgaben ändern sich?

    Durch die Beibehaltung der in Deutschland bereits etablierten datenschutzrechtlichen Grundprinzipien fallen die Änderungen in Relation gering aus. Im Wesentlichen ergeben sich folgende Änderungen und damit folgenden Handlungsbedarf:

    • Eine Datenverarbeitung bedarf einer Rechtsgrundlage. Diese Erlaubnistatbestände sind in Art. 6 DSGVO geregelt und diesen Tatbeständen neu zuzuordnen.

    • Die Anforderungen an eine informierte, freiwillige Einwilligung (Art. 6 DSGVO) in einen Datenverarbeitungsprozess und die Anforderungen an den Widerruf der Einwilligung (Art. 7 DSGVO) wurden konkretisiert, d. h. alle bisher verwendeten Einwilligungen sind zu prüfen.

    • Das Verfahrensverzeichnis wird durch das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) abgelöst. Danach ist jeder Verantwortliche verpflichtet ein Verzeichnis über die von ihm durchgeführten Datenverarbeitungsvorgänge zu führen. Dieses gilt nach DSGVO jetzt auch für Verarbeitungsvorgänge im Auftrag, d. h. die bestehenden Verfahrensverzeichnisse sind zu aktualisieren und anzupassen, fehlende Verzeichnisse zu erstellen.

    • Informations- und Auskunftspflichten für den Betroffenen wurden um weitere Angaben erweitert, d. h. dem Betroffenen sind künftig bei der Erhebung der Daten weitere Angaben zur Verfügung zu stellen (z. B. Rechtsgrundlage, Löschfristen). Bei einer Weiterverarbeitung zu einem anderen Zweck, sind dem Betroffenen erneut Informationen bereitzustellen, d. h. (Online-)Formulare oder Datenschutzerklärungen sind zu erstellen bzw. zu überarbeiten.

    • Die Meldepflicht bei Datenpannen an die zuständige Aufsichtsbehörde wurde erweitert. Jeder Vorfall, der ein Risiko für Rechte und Pflichten von Betroffenen darstellt, ist binnen 72 Stunden bei der Aufsichtsbehörde zu melden. Eine Panne muss vom entdeckenden Mitarbeiter, an die Ansprechpartner des Datenschutzes in der ZUV, Abteilung I-2, Recht und Organisation, gemeldet werden.

    • Wenn Daten für die Universität im Auftrag verarbeitet werden, sind auch künftig Verträge zur Auftragsdatenverarbeitung (Art. 28 DSGVO) abzuschließen. Bereits bestehende Verträge sind an die neue Rechtslage anzupassen.

    • Es gibt eine Datenportabilitätsverpflichtung, die der Betroffene selbst zur Verfügung gestellt hat. Es ist technisch zu gewährleisten, dass diese ggf. in einem technisch gängigen Format wieder zur Verfügung gestellt werden können. Bei Erhebung der Daten ist künftig auf diese Verpflichtung zu achten.

    • Bei der Erstellung, Beschaffung oder beim Einsatz von Software ist darauf zu achten, dass diese den Anforderungen des Art. 25 DSGVO genügt. "Privacy by Design" heißt dabei "Datenschutz durch Technikgestaltung". Um gemäß der DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen eingesetzt werden, die dem aktuellen "State of the Art" entsprechen. Auf diese Weise soll eine Datenschutzverletzung erst gar nicht ermöglicht werden. "Privacy by Default" entspricht dem Grundsatz der Datensparsamkeit. Alle Datenerhebungen sollen individuell auf das jeweils Notwendige minimiert werden. Zudem soll, wenn möglich, der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wenn Daten durch datenverarbeitende Dienstanbieter oder in einer Cloud ausgewertet werden. Datenschutzfreundliche Voreinstellungen sind zu etablieren.

    5. Wer ist für die Umsetzung der DSGVO zuständig / verantwortlich?

    Verantwortlich nach dem Gesetz ist die verantwortliche Stelle, also die Universität Ulm. Innerhalb der Universität sind es die jeweils für die Verfahren Verantwortlichen, d. h. bspw. für die Führung einer Adressliste innerhalb eines Instituts der Institutsleiter, bei der Erhebung von Daten in einem Forschungsprojekt der verantwortliche Projektleiter.


    6. Was ist eine Verarbeitungstätigkeit?

    Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Jeglicher Umgang, inklusive der Speicherung, ist vom Begriff der Verarbeitung umfasst. Verarbeitungstätigkeiten fassen einzelne Schritte mit Blick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen.


    7. Was mache ich bei einer Datenpanne?

    Ein falscher Anhang an der Mail, ein USB-Stick ging verloren, mein Laptop wurde geklaut, Daten in einer Cloud in den USA gespeichert, ein Trojaner an der Mail. Daten können auf vielfältigen Wegen abhandenkommen. Nach DSGVO sind diese Verstöße binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Um dieses gewährleisten zu können, bitten wir Sie, die Datenpanne über das Online-Formular unverzüglich an die ZUV, Abt. I-2, Recht und Organisation zu melden. Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten, (Trojaner etc.) informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.


    8. Wer ist "Auftragsverarbeiter"?

    Ein Auftragsverarbeitender ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Abs. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen. Er ist verpflichtet geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Diese Verpflichtung wird regelmäßig in einem schriftlichen Vertrag abgebildet.

  • Externe Informationen, Webseminare und Hilfen

Verzeichnis von Verarbeitungstätigkeiten (VVT) - Art. 30 DSGVO

  • Allgemeines

    Als öffentliche Stelle ist die Universität Ulm nach Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten (VVT), die ihrer Zuständigkeit unterliegen, zu führen. Diese Verpflichtung umfasst auch alle Verarbeitungstätigkeiten, die von der Universität Ulm im Auftrag durchgeführt werden. Das VVT löst das ehemalige Verfahrensverzeichnis nach § 11 LDSG a. F. (VVZ) ab.

    Als Verarbeiten i.S.d. Art. 4 DSGVO wird dabei ein Vorgang oder eine Vorgangsreihe verstanden, die mit oder ohne automatisierte Verfahren personenbezogene Daten verwendet, also z. B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

    Damit ist jeglicher Umgang mit personenbezogenen Daten, inklusive der Speicherung, vom Begriff der Verarbeitung umfasst.

    Der Begriff Verarbeitungstätigkeiten fasst dabei einzelne Verarbeitungsschritte im Hinblick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen, bspw. die Erhebung und Verwendung von Studierendendaten in einem Campus Management System.

    Innerhalb der Universität Ulm sind der fachliche und der technische Ansprechpartner, die ein System etablieren wollen, dafür verantwortlich, dass die Verarbeitungstätigkeiten erst begonnen werden, wenn ein VVT erstellt und von den zuständigen Stellen zustimmend bewertet wurde. Bei der Verarbeitung von Beschäftigtendaten ist dabei in der Regel auch der Personalrat einzubeziehen.

    Bei Systemen, für die in der Vergangenheit bereits ein VVZ erstellt wurde, ist es notwendig, dieses Verzeichnis auf die aktuelle Rechtslage anzupassen. Auch für diese Systeme ist demnach ein VVT zu erstellen.

  • Tipps und Ausfüllhinweise für das VVT-Formular

    Bitte füllen Sie das Dokument möglichst vollständig aus (ggf. in Zusammenarbeit mit dem technischen Ansprechpartner im kiz) und senden die Datei an die genannten Ansprechpartner. Diese werden eine Prüfung der Angaben vornehmen und ggf. das Mitbestimmungsverfahren mit dem Personalrat veranlassen.


    Unterstützte PDF-Viewer


    Speichern des PDF-Formulars

    • Das PDF lässt sich speichern unter „Datei“ --> „Speichern unter“ --> Beliebigen Dateinamen vergeben
    • Bitte nach dem ersten Öffnen das Dokument speichern
    • Hinweis: Es kann sein, dass Sie nach erneuten öffnen des PDFs nochmals „Speichern unter“ auswählen müssen. Anschließend bitte die Datei überschreiben.

    Allgemeines

    • Das Inhaltsverzeichnis ermöglicht eine Navigation im Dokument.
    • Gestrichelt hinterlegte Buttons dienen ebenfalls der Navigation (durch anklicken springen Sie zu dem Feld, in dem die Informationen bereits hinterlegt sind).
    • Ausfüllhinweise und Beispiele zu den auszufüllenden Textfeldern finden Sie, indem Sie mit der Maus über die Überschrift des Abschnitts bzw. des auszufüllenden Feldes gehen (sog. Mouse-Over).
    • Die Drop-Down-Listen sind nur Vorschläge, die Textfelder können auch mit einem Freitext ausgefüllt werden.
    • Die TOMs (Zif. 12) sind beispielhaft und müssen NICHT alle erfüllt sein. Es sollte aber idR noch eine Beschreibung ergänzt werden, wenn die Angabe nicht selbsterklärend ist.

    Bei Rückfragen oder Unsicherheiten, insbesondere bei Angabe der Rechtsgrundlagen (Ziff. 7 und 8.3) stehen Ihnen genannten Ansprechpartner gerne zur Verfügung.

  • Formular (Download)

Einwilligung in die Verarbeitung von personenbezogenen Daten - Art. 6 I lit. a DSGVO

  • Allgemeines

    Die Verarbeitung von personenbezogenen Daten ist nach DSGVO nur dann zulässig, wenn die Verarbeitung durch eine gesetzliche Grundlage geregelt ist, oder der Betroffene bei Erhebung der Daten wirksam in die Verwendung eingewilligt hat. Möchten Sie also für ein Forschungsprojekt oder einen Verwaltungsvorgang Daten erheben, vergewissern Sie sich, dass es eine gesetzliche Grundlage für die Erhebung und Verwendung der Daten zu diesem konkreten Zweck gibt, andernfalls lassen Sie sich eine Einwilligung der Betroffenen geben. Ein Muster finden Sie hier. Um eine wirksame Einwilligung zu erhalten, sind dabei gemäß Art. 4 Nr. 11, Art. 7 DSGVO, folgende sieben Punkte zu beachten:

    1. Form der Einwilligung

    Die Einwilligungserklärung bedarf nicht zwingend der Schriftform. Diese kann ebenfalls mündlich, elektronisch oder in Textform erfolgen. Bei der Wahl der Form sollte jedoch berücksichtigt werden, dass die Beweislast für das Vorliegen der Einwilligung beim Verwender der Daten liegt. Im Ergebnis sollte die Einwilligung also dokumentiert erfolgen.

    Die Einwilligungserklärung muss klar verständlich und eindeutig formuliert sein und darf sich dabei zur Verbesserung der Verständlichkeit auch visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt sein.


    2. Informiertheit bei der Einwilligung

    Der Betroffene muss vor der Erklärung der Einwilligung darüber informiert werden, auf welche konkreten personenbezogenen Daten sich die Einwilligung bezieht und den konkreten Zweck der Verarbeitung wiedergeben. Eine Weitergabe an Dritte muss aufgeführt sein.


    3. Freiwilligkeit der Einwilligung

    Die Einwilligung muss auf dem freien Willensentschluss des Betroffenen beruhen. Dabei muss der Betroffene eine echte Wahlfreiheit haben und die Einwilligung ohne zu erleidende Nachteile verweigern können. Der Betroffene ist darauf hinzuweisen, dass die Einwilligung verweigert werden kann.


    4. Bestimmtheit und Zweck in der Einwilligung

    Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten, zu welchem konkreten Zweck verarbeitet. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken ist grundsätzlich unzulässig. Bei der Detailliertheit sollte berücksichtigt werden, dass, je tiefer der Eingriff in das Persönlichkeitsrecht ist, desto genauer muss die Einwilligungserklärung ausgestaltet sein.


    5. Unmissverständlichkeit der Einwilligungserklärung

    Dem Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich um eine Einwilligungserklärung handelt. Dies kann dadurch kenntlich gemacht werden, dass die Erklärung die Überschrift "Einwilligung" trägt oder die Formulierung "Einwilligung" oder "Zustimmung" genutzt wird.


    6. Widerrufsmöglichkeit der Erklärung

    Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

    Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden, jedoch darf die Erklärung des Widerrufs nicht schwieriger sein oder zusätzliche Hürden mit sich bringen als die Erklärung der Einwilligung. Anschrift und Kontaktinformationen, an welche der Widerruf zu adressieren ist, sind mitzuteilen.


    7. Eigene Daten

    Der Betroffene kann immer nur in die Verwendung der eigenen personenbezogenen Daten einwilligen. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen.

  • Formular


Meldung einer Datenpanne - Art. 33, 34 DSGVO

  • Allgemeines

    Ihr Laptop, Ihr Smartphone oder ein USB-Stick ging verloren? Eine E-Mail mit umfassendem Datenanhang inkl. personenbezogener Daten wurde an den falschen Adressaten gesandt? Ein PC wurde eventuell gehackt? Solche und viele andere "Datenpannen" sind Alltag in der heutigen IT-Welt.

    Wichtig für Sie zu wissen ist, dass nach Art. 33, 34 DSGVO eine solche Datenpanne zwei Meldepflichten auslösen kann:

    a) Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO)

    Die Datenpanne ist unverzüglich und möglichst binnen 72 Stunden nach bekanntwerden der Verletzung an die zuständige Aufsichtsbehörde zu melden. Für die Universität Ulm ist das der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW).

    Ausgenommen von einer Meldepflicht sind Datenpannen, die "voraussichtlich nicht zu einem Risiko" für den Betroffenen führen. Da es aktuell noch keine Auslegungsgrundsätze oder Vorgaben des LfDI BW gibt, wann ein solches Risiko ausgeschlossen werden kann, ist der gängige Rat, im Zweifel zu melden.

    Für die Meldung gilt ein enger zeitlicher Rahmen von 72 Stunden nach dem die Verletzung bekannt wurde. Wobei "bekannt werden" jeden Beschäftigten der Universität Ulm meint, und nicht nur eine gesamtverantwortliche Person wie den Kanzler/Präsidenten oder den Datenschutzbeauftragten.


    b) Meldung an den Betroffenen (Art. 34 DSGVO)

    Neben der Meldung an den LfDI BW sieht die DSGVO eine Meldung an den Betroffenen vor. Diese Benachrichtigung muss jedoch nur dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht. Eine Meldung an den Betroffenen kann unterbleiben, wenn:

    • Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen, oder

    • technische und organisatorische Maßnahmen vorhanden sind, die den Zugang zu den personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).

    Deshalb: Melden Sie ab dem 25. Mai 2018 unverzüglich alle Ihnen bekannt werdenden Datenpannen über das Online-Formular an die Ansprechpartner der Abt. I-2 der ZUV. Wenn Sie nicht sofort alle Angaben machen können, senden Sie die Meldung trotzdem und reichen dann weitere Informationen nach. Bitte senden Sie die Meldung NICHT direkt an den LfDI BW, sondern nur an die Ansprechpartner des Datenschutzes, die die Weiterleitung und die notwendige Dokumentation veranlassen.

    Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten (Trojaner etc.), informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.

  • Online-Meldung

    Meldung einer Datenpanne nach Art. 33, 34 DSGVO

Auftragsdatenverarbeitung (ADV) - Art. 28 DSGVO

  • Allgemeines

    Auftragsdatenverarbeitung (ADV) im Sinne der DSGVO ist die Verarbeitung von personenbezogenen Daten durch einen Dienstleister, im Auftrag des Verantwortlichen (also im Auftrag der Universität Ulm). Eine ADV liegt z. B. vor, wenn personenbezogene Daten auf externen Servern gehostet, IT-Systeme durch Dritte gewartet oder Datenträger durch andere Unternehmen entsorgt werden.

    Eine solche ADV darf nach Art 28. DGSVO nur dann erfolgen, wenn der Verantwortliche sichergestellt hat, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen hat, um die Rechte der betroffenen Personen zu schützen. Dieses ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter regelmäßig durch eine schriftliche Vereinbarung abzubilden.

    Sollten Sie also den Einsatz eines Dienstleisters planen oder eine Software as a Service (SaaS) etablieren wollen, wird regelmäßig der Abschluss einer schriftlichen Vereinbarung notwendig sein, die neben den allgemeinen Fragen, wie Zahlung und Haftung, auch die datenschutzrechtliche Verantwortung regelt. Für alle damit einhergehenden Fragen und die Erstellung der schriftlichen ADV-Vereinbarung stehen Ihnen die Ansprechpartner der Abt. I-2 Recht und Organisation gerne zur Verfügung.

  • Formular

    Für ADV-Angelegenheiten kontaktieren Sie bitte den Datenschutz.

Allgemeines

Meldung einer Datenpanne nach Art. 33, 34 DSGVO

News

20.06.2018

Neues LDSG am 12.06.2018
in Kraft getreten!


23.05.2018

Meldung einer Datenpanne jetzt möglich!


08.05.2018

Neues VVT online!


30.04.2018

VVT ab KW19