Leitfaden "datenschutzkonforme Verarbeitung"
Untenstehend finden Sie eine Schritt-für-Schritt-Anleitung, mit deren Hilfe Sie zu einer rechtskonformen Verarbeitung personenbezogener Daten gelangen. Hinter jeder Überschrift verbergen sich vertiefte Informationen und Tipps.
Zum Einstieg in die Thematik sei auch das Video "Basisschulung - Grundlagen zum Datenschutz an der Hochschule"empfohlen, das sie auch unter dem Reiter "Datenschutz-Schulungen" abrufen können.
1. Datenschutz ist Grundrechtsschutz. Aus dem Gedanken der Selbstbestimmung folgt die Recht jedes Menschen, grundsätzlich selbst zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will verhindern, dass der Einzelne durch den Umgang mit seinen personenbezogenen Daten in seinem Grundrecht auf informationelle Selbstbestimmung (s. Art. 6 Abs. 1 S. 1 Verfassung M-V) beeinträchtigt wird.
2. Sofern Sie personenbezogene Daten verarbeiten (näher dazu Schritt 1), haben Sie eine Reihe von Vorgaben einzuhalten, die sich aus der Europäischen Datenschutzgrundverordnung (DS-GVO) ergeben. Konkret haben Sie
a. einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten zu erstellen, der den Anforderungen des Art. 30 DS-GVO genügt (näher Schritt 3),
b. die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 13 und 14 DS-GVO, näher Schritt 4) und ggf.
c. deren Einwilligung einzuholen (nur, sofern für die Datenverarbeitung keine Rechtsgrundlage existiert, dazu näher Schritt 2, 5).
d. Sofern Sie planen, mit externen Datenverarbeitern zusammenzuwirken, sind zusätzliche Vereinbarungen notwendig, die den Anforderungen des Art. 26 bzw. 28 DS-GVO genügen (Vereinbarung zur gemeinsamen Verantwortlichkeit bzw. Vertrag zur Datenverarbeitung im Auftrag, s. Schritt 6).
e. Darüber hinaus haben Sie zu prüfen, ob eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist. Das Ergebnis Ihrer Prüfung haben Sie zu dokumentieren. Falls Sie zu dem Ergebnis kommen, dass eine DSFA notwendig ist, haben Sie diese durchzuführen und zu dokumentieren (näher Schritt 7).
3. Das Durchlaufen der Schritte 2.a.-e. bietet Ihnen eine sehr gute Möglichkeit, Ihre Prozesse zu optimieren. Sofern Sie einen dieser Schritte nicht durchlaufen, begehen Sie einen Gesetzesverstoß, der seitens unsere Aufsichtsbehörde, dem Beauftragten für Datenschutz und Informationsfreiheit des Landes M-V, mit Maßnahmen bis hin zu Bußgeldern belegt werden kann. Zudem besteht in diesen Fällen das Risiko von Schadenersatzklagen der Betroffenen.
4. Sämtliche Datenschutz-Dokumente sind von Ihnen
a. an die Datenschutzbeauftragte zur Prüfung weiterzuleiten (Schritt 8). Die Prüfung endet mit einer Stellungnahme, die empfehlenden Charakter hat und die wir an den Kanzler weiterleiten. Der Kanzler trifft auf der Basis unserer Empfehlung die Entscheidung, ob Ihr Vorhaben - ggf. unter (Datenschutz-/IT-Sicherheits-)Auflagen - durchgeführt werden kann (Schritt 9).
b. auf dem neuesten Stand zu halten. Ändern sich z.B. Verarbeitungsvorgänge durch Erweiterung der Datenkategorien, sind die entsprechenden Dokumente zu aktualisieren. Dies kann im Zweifel auch erfordern, Betroffene neu zu informieren und (nochmals) ihre Einwilligung einzuholen.
Fragen Sie sich zunächst, ob es für Ihr Vorhaben zwingend erforderlich ist, personenbezogene Daten zu verarbeiten oder ob Sie Ihre Ziele nicht ebenso gut durch die Verarbeitung anonymer Angaben erreichen können. Verarbeiten Sie ausschließlich anonyme Daten, unterliegen Sie keinerlei rechtlichen Verpflichtungen zum Datenschutz, d.h. die Vorgaben der DS-GVO (bspw. Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, zur Einholung einer EInwilligung, zur Information der Betroffenen etc.) und weiterer Datehnschutzgesetze gelten nicht für Ihr Vorhaben. Sie müssen nichts weiter unternehmen, weitere unten beschriebene Schritte sind nicht notwendig.
Bei anonymen Daten ist die betroffene Person weder identifiziert noch identifizierbar (von niemandem!) oder ursprünglich personenbezogene Daten wurden so anonymisiert, dass eine Identifizierung nicht mehr möglich ist. Dies trifft z.B. bei einer politischen Wahl zu. Anonyme Daten zählen nicht zu den personenbezogenen Daten.
Personenbezug weisen gemäß Art. 4 Nr. 1 DS-GVO alle Informationen auf, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen. Als identifizierbar wird eine natürliche Person angesehen, die, direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Bitte beachten Sie, dass auch pseudonym(isiert)e Informationen zu den personenbezogenen Daten zählen, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten (Bsp: Die Namen der betroffenen Personen werden durch fortlaufende Identifikationsnummern ausgetauscht; für die Zuordnung wird eine Liste angefertigt, die die jeweilige Identifikationsnummer dem jeweiligen Namen der Person zuordnet.). Ob eine Zuordnung tatsächlich stattfindet, ist nicht von Belang, es genügt, das die Zuordnung möglich erscheint.
Die Abgrenzung von anonymen und pseudonymen/personenbezogenen Informationen ist eine oft sehr schwierige Rechtsfrage, bei deren Beantwortung es auf eine Zusammenschau aller konkreten Umstände des Einzefalles ankommt. Sie sollten sich hier auf die fachliche Kompetenz der Datenschutzbeauftragten verlassen und diese im Zweifel immer um eine Einschätzung bitten.
Beispiele für personenbezogene Daten sind:
- Name, Vorname
- Adresse
- Telefonnummer
- Geburtsdatum
- Impfstatus
- E-Mail-Adresse
- die Kreditkarten- oder Personal- oder Matrikelnummer
- Autokennzeichen
- Kontodaten
- i.d.R. Verkehrs- und nUtzungsdaten wie IP-Adresse des Computers oder Standortdaten des mobilen Diensttelefons
- physische Daten wie das Aussehen, Fingerabdrücke
- Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein, politische Meinungen
Daten gelten im Übrigen nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei eine lebende Person unabhängig ihrer Herkunft. Ausschlaggebend ist dabei die Verarbeitung von Daten von EU-Bürgern. Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen hingegen nicht unter die Definition und sind damit nicht durch die DS-GVO geschützt.
Sollten Sie zu dem Ergebnis gelangen, dass Ihr Vorhaben Personenbezug aufweist, sind Sie verpflichtet, die nachfolgend beschriebenen Schritte zu gehen.
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, sie kann auf eine
- Rechtsgrundlage (Gesetz, Verordnung, Satzung, Vertrag o.ä., vgl. Art. 6 Abs. 1 lit. b) – f) DS-GVO) oder
- informierte Einwilligung der betroffenen Personen (vgl. Art. 6 Abs. 1 lit. a) DS-GVO)
gestützt werden.
Sofern Sie Ihr Vorhaben auf eine rechtliche Grundlage stützen können, müssen Sie nicht zusätzlich die Einwilligung(en) der betroffenen Person(en) einholen und vice versa. Datenverarbeitungen, die ohne Rechtsgrundlage und/oder Einwilligung stattfinden, sind nicht erlaubt. Die daraus gewonnenen Daten sind unverzüglich zu löschen.
Im Folgenden finden Sie Antworten auf Fragen rund um Rechtsgrundlagen zum Datenschutz:
- Welche Rechtsnormen zum Datenschutz existieren überhaupt?
- In welchem Verhältnis stehen diese Rechtsnormen (Normenhierarchie)?
- Wie gehen Sie vor, um die in Ihrem Fall/für Ihr Vorhaben möglicherweise einschlägige Rechtsgrundlage zu ermitteln?
Die Datenschutz-Grundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union (EU), mit der die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden. Mit ihr wird der Schutz personenbezogener Daten innerhalb der EU sichergestellt und durch sie der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet. Die DS-GVO gilt unmittelbar, d.h. ohne weiteren Umsetzungsakt, in allen EU-Mitgliedstaaten und damit auch in der Bundesrepublik Deutschland. Sie hat Anwendungsvorrang vor dem nationalen, deutschen Recht (dazu sogleich), sofern sie (abschließende) Regelungen trifft.
Ergänzt und konkretisiert werden die Vorgaben der DS-GVO auf Bundesebene durch die Regelungen des Bundesdatenschutzgesetzes (BDSG). Das BDSG gilt uneingeschränkt grundsätzlich für öffentliche Stellen des Bundes und für Private, jedoch nicht für öffentlichen Stellen der Länder. Für die Universität Rostock als Körperschaft des öffentlichen Rechts des Landes Mecklenburg-Vorpommern gilt (neben der DS-GVO, s.o.) vielmehr das Datenschutzgesetz Mecklenburg-Vorpommern (DSG M-V).
Wie alle Bundesländer hat auch Mecklenburg-Vorpommern ergänzend und konkretisierend zur DS-GVO eigene Datenschutzregelungen erlassen. Diese finden sich entweder in Spezialgesetzen (bspw. im Landeshochschulgesetz (LHG M-V) und im Landesbeamtengesetz (LBG M-V)) oder subsidiär im Landesdatenschutzgesetz (DSG M-V) und sind allesamt für die Universität Rostock verbindlich.
Aufgrund der ihr verliehenen Satzungshoheit hat die Universität Rostock Datenschutz-Regelungen erlassen. Dazu gehört bspw. die Datenschutzsatzung der Universität Rostock, die die Verarbeitung personenbezogener Daten von Studienbewerbern, aktuellen und ehemaligen Studierenden, Prüfungskandidaten sowie (partiell) Doktoranden regelt. Aussagen zum Datenschutz finden sich darüber hinaus etwa in der Qualitätsordnung der Universität Rostock oder der ITMZ-Nutzungsordnung.
Sie sind auf der Suche nach einer Rechtsgrundlage, die die von Ihnen beabsichtigte Datenverarbeitung erlaubt? Im Folgenden finden Sie eine Anleitung, mit der Sie eine möglicherweise einschlägige Norm leicht auffinden können.
1. Sachlicher Anwendungsbereich der Rechtsnorm
Fragen Sie sich zunächst, ob Ihr Vorhaben sich inhaltlich in der von Ihnen avisierten Rechtsnorm vollständig wiederfindet.
Beispiel 1:
Die Hochschulleitung möchte sämtliche Lehrveranstaltungen an der UR evaluieren. Die Rechtsgrundlage hierfür findet sich in § 3a Hochschulgesetz M-V in Verbindung mit der Qualitätsordnung der UR, die thematisch u.a. eben jene Lehr-Evaluationen regeln. Die genannten Rechtsnormen wären dagegen nicht einschlägig, wenn es um den Einsatz eines IT-Dienstes an der Universität geht. Diese Thematik ist in den genannten Normen nicht erwähnt.
Beispiel 2:
Zur Evaluation der Studienangebote und der Graduiertenausbildung dürfen u.a. von Mitgliedern der Universität Angaben zur Person bzw. zu persönlichen Verhältnissen erhoben werden, § 7 Qualitätsordnung der Universität Rostock. Laut Anlage A sind das bspw. auch Angaben zur Finanzierung des Studiums/der Promotion. Eine persönliche Bankverbindung zählt nicht zu diesen Angaben und darf demnach auch nicht erhoben werden (nicht in der Norm verankert).
2. Persönlicher Anwendungsbereich der Rechtsnorm
Im zweiten Schritt prüfen Sie bitte, ob die Personen(gruppe), deren Daten Sie verarbeiten möchten, in der von Ihnen in Betracht gezogenen Rechtsnorm erwähnt wird.
Beispiel: Die Datenschutzsatzung der Universität Rostock gilt nur in Bezug auf Studienbewerber, aktuelle und ehemalige Studierende, Prüfungskandidaten und (tlw.) Doktoranden. Das bedeutet, dass Sie eine beabsichtigte Verarbeitung von personenbezogenen Daten bspw. von nicht-wissenschaftlichen Mitarbeitern oder externen Personen jedenfalls nicht auf die Regelungen der Datenschutzsatzung der UR (ggf. nach weiterer Prüfung aber auf eine andere Rechtsnorm) stützen können.
Sofern Sie beim Auffinden der Rechtsgrundlage Hilfe benötigen, kontaktieren Sie uns gern.
Lässt sich für Ihr Vorhaben keine Rechtsgrundlage finden, stellen Sie Datenschutzkonformität sicher, indem Sie vor Beginn der Datenverarbeitung eine informierte Einwilligung von den betroffenen Personen einholen. Versäumen Sie dies, verstößt Ihre Datenverarbeitung gegen geltendes Recht.
Nachdem Sie die Frage nach dem Personenbezug (Schritt 1) und der Grundlage der von Ihnen beabsichtigten Datenverarbeitung (Schritt 2) geklärt haben, widmen Sie sich der Erstellung Ihres Eintrages im Verzeichnis der Verarbeitungstätigkeiten (VVT). Der Eintrag im VVT beschreibt die konkret von Ihnen beabsichtigte Datenverarbeitung und muss die in Art. 30 DS-GVO geforderten Angaben enthalten. Er dient der UR (bspw. gegenüber der Aufsichtsbehörde, dem Landesbeauftragten for Datenschutz und Informationsfreiheit) als Nachweis der ordnungsgemäßen Dokumentation dieser Datenverarbeitung.
Es wird empfohlen, mit der Erstellung des Datenflussdiagramms (s. S. 2 im VVT-Formular) zu beginnen (auf das nebenstehende Bild für Vergrößerung klicken). Mit diesem visualisieren Sie die Datenströme in jedem einzelnen Schritt Ihres Datenverarbeitungsprozesses (von der Erhebung bis zur Löschung der Daten), alle daran Beteiligten und deren Befugnisse (intern und extern) sowie die Zuhilfenahme von Soft- und Hardware (Einbettung des Prozesses in Ihre lokale bzw. die zentrale IT-Infrastruktur der UR).
Das Datenflussdiagramm als strukturierte Übersicht Ihres Datenverarbeitungsprozesses ist in mehrfacher Hinsicht für Sie gewinnbringend. Mit seiner Hilfe wird es Ihnen gut und schnell gelingen, sowohl das VVT-Formular als auch die Datenschutzinformation (zu letzterer sogleich Schritt 4) entsprechend den gesetzlichen Anforderungen auszufüllen/zu erstellen. Es lohnt sich daher, auf die Erstellung des Datenflussdiagrammes besonderes Augenmerk zu richten. Ob Sie dafür wie in unserem Beispiel ein Schaubild erstellen oder den Datenfluss z.B. in einer Excel-Tabelle abbilden oder in einem Word-Dokument als Fließtext beschreiben, bleibt Ihnen überlassen.
Nach dem Datenflussdiagramm und dem VVT-Eintrag (s.o. Schritt 3) erstellen Sie die sog. datenschutzrechtliche Information (im Folgenden: Datenschutzinformation).
Die Datenschutzinformation ist einerseits das an die Betroffenen gerichtete vereinfachte Spiegelbild des VVT (s.o. Schritt 3). Sie beschreibt für die Betroffenen auf leichte und verständliche Weise die von Ihnen geplante Datenverarbeitung und bildet in vielen Fällen die Grundlage für eine informierte Einwilligung dieser Personen. Zudem beeinhaltet sie eine Beschreibung der Rechte , die die Betroffenen gegenüber der UR geltend machen/ausüben können (z.B. Recht auf Auskunft, Berichtigung, Löschung).
Der Inhalt der Datenschutzinformation hängt davon ab, ob die Daten direkt bei den betroffenen Personen (art. 13 DS-GVO) oder aber bei Dritten (Art. 14 DS-GVO) erhoben und ob die Datenverarbeitung auf eine Einwilligung oder eine Rechtsnorm gestützt werden (soll(en).
Das auf Ihre Datenverarbeitung zutreffende Muster erhalten Sie auf Anfrage von der Datenschutzbeauftragten.
Die Datenschutzinformation ist den betroffenen Personen vor Beginn der Datenverarbeitung zur Verfügung zu stellen. Sie ist stets zu erstellen, d.h. nicht nur in Einwilligungskonstellationen, sondern auch in Fällen, in denen die Datenverarbeitung auf eine Rechtsnorm gestützt wird (s.o. Schritt 2).
Haben Sie in Schritt 2 festgestellt, dass Sie Ihre Datenverarbeitung nicht auf eine Rechtsnorm stützen können, ist von Ihnen vor Beginn der Datenverarbeitung von jedem Betroffenen eine Einwilligung einzuholen. Dazu müssen Sie den Text einer Einwilligungserklärung erstellen. Diesbezüglich finden Sie Hilfestellung unter dem Reiter "Formulare".
Es wird empfohlen, die Einwilligungserklärungen auf schriftlichem Wege oder zumindest in Textform auf elektronischem Wege einzuholen, damit Sie die Einholung im Streitfalle nachweisen können.
Sofern in dem geplanten Vorhaben neben Ihnen eine oder mehrere weitere (externe) Partei(en) beteiligt sind und personenbezogene Daten verarbeiten, ist mit diesen Externen vor Beginn der Datenverarbeitung ein Vertrag abzuschließen, in dem die Rechte und Pflichten der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten geregelt sind.
Das Gesetz stellt Ihnen diesbezüglich zwei Vertragstypen zur Wahl: die Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO und die Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint-Controller-Vereinbarung, kurz: JCV) nach Art. 26 DS-GVO.
Welcher von beiden Vertragstypen vorliegt, richtet sich wiederum nach der konkreten Ausgestaltung der Zusammenarbeit in Ihrem Vorhaben, genauer: nach der Rolle und Funktion, die Sie/Ihre (nicht)wissenschaftliche Struktureinheit in der Zusammenarbeit einnehmen/einnimmt.
Als Richtschnur gilt folgendes:
- Sofern Ihre Zusammenarbeit mit den/dem Externen durch ein Über-/Unterordnungsverhältnis geprägt ist, liegt die Situation einer Auftragsverarbeitung vor. Das Über-/Unterordnungsverhältnis entsteht durch die Weisungsbefugnis des Auftraggebers, die die Weisungsabhängigkeit des Auftragnehmers mit sich bringt. Vergeben Sie bspw. an einen Externen einen Auftrag zur Verarbeitung personenbezogener Daten und bestimmen allein Sie insbes. Art, Zweck und Ausmaß der Verarbeitung, treten Sie als Auftraggeber in Erscheinung. Als solcher sind allein Sie für die datenschutzkonforme Verarbeitung der dem Auftragnehmer überantworteten personenbezogenen Daten verantwortlich. Dieser Verantwortlichkeit kommen Sie nach, indem Sie in einer AVV die einzelnen Rechte und Pflichten des Auftragnehmers bestimmen. Sollten Sie lediglich als weisungsgebundener Auftragnehmer agieren, wird Sie - so die gängige Praxis - der externe Auftraggeber zur Unterzeichnung einer AVV auffordern, d.h. in diesem Fall brauchen Sie den Abschluss der AVV nicht aktiv betreiben. Sofern Sie als Auftraggeber agieren, verwenden Sie für den Abschluss des AVV bitte dieses Muster. Es ist bereits auf die Spezifika der Universität Rostock angepasst und von der Datenschutzbeauftragten geprüft. Im Hinblick auf die Verwendung der von Auftragnehmern zur Verfügung gestellten AVV-Entwürfe raten wir grundsätzlich zur Vorsicht, da diese für die UR ungünstig ausgestaltet sein können. Sollten Sie sich gleichwohl für diese Variante entscheiden, prüfen wir den Entwurf gern innerhalb einer angemessenen Frist. Dies gilt jedoch nur, sofern wir neben der Erfüllung unserer originären Aufgaben noch über freie Kapazitäten verfügen.
- Sofern Ihre Zusammenarbeit mit den/dem Externen dagegen durch ein gleichberechtigtes Miteinander gekennzeichnet ist, liegt die Situation einer gemeinsamen Verantwortlichkeit vor. Sie und Ihre externen Partner legen gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest; Sie teilen sich die Aufgaben und sind für die ordnungsgemäße Verarbeitung gleichermaßen verantwortlich.
Beispiele für eine Auftragsverarbeitungssituation:
1. Sie geben bei einem externen Anbieter eine Umfrage in Auftrag, bei der (auch) personenbezogene Daten verarbeitet werden. Dabei haben Sie vollständig das Konzept der Umfrage erarbeitet (Frage, Auswahkriterien etc.); der Externe soll sich auf die reine Durchführung der Umfrage beschränken.
2. Eine externe Firma führt an Ihrer IT-Infrastruktur (Fern)Wartungsarbeiten aus; während der Wartungsarbeiten können die Mitarbeiter der Firma auf personebezogene Daten zugreifen.
Beispiele für gemeinsame Verantwortlichkeit:
1. In einem Forschungsvorhaben schließen Sie sich mit Forschern anderer Universitäten oder aber mit privaten Unternehmen zusammen. Im Rahmen Ihrer Kooperation greifen Sie auf einen gemeinsamen Bestand personenbezogener Daten zu.
2. Die Universität unterhält eine Fanpage bei einem sozialen Netzwerk (bspw. Facebook).
Mit der Datenschutzfolgenabschätzung (DSFA) sollen besonders datenschutzkritische Verarbeitungstätigkeiten identifiziert und bewertet werden, um diese schon im Vorfeld effektiv zu minimieren. Unsere Datenschutzaufsichtsbehörde, der Beauftragte für Datenschutz und Informationsfreiheit des Landes M-V, kann sie jederzeit anfragen.
Besteht für die betroffenen Personen durch die beabsichtigten Datenverarbeitungsvorgänge voraussichtlich ein hohes Risiko, sind Sie nach Art. 35 Abs. 1 DS-GVO verpflichtet, eine DSFA durchzuführen. Vor Aufnahme der Verarbeitungstätigkeit haben Sie also zu prüfen, ob diese Voraussetzungen in Ihrem Falle vorliegen. Die Prüfung ist zu dokumentieren. Der Begriff des Risikos ist sehr weit gefasst und kann jegliche Risiken wirtschaftlicher oder gesellschaftlicher Art betreffen.
In den in Art. 35 Abs. 3 DS-GVO genannten Fällen gibt der Gesetzgeber unmittelbar vor, dass eine DSFA durchzuführen ist, nämlich bei:
1. Bewertung persönlicher Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung wie Profiling, die als Grundlage für rechtlich relevante oder sonst erhebliche Entscheidungen dient,
2. umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DS- GVO wie etwa Gesundheitsdaten oder Daten über Strafdaten oder
3. systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Um Ihnen die Einschätzung, ob eine Pflicht zur Durchführung einer DSFA vorliegt, weiter zu erleichtern, stellt unsere Datenschutzaufsichtsbehörde eine Liste von Verarbeitungstätigkeitenzur Verfügung, bei denen auf jeden Fall eine DSFA durchzuführen ist. Wird Ihre Verarbeitungstätigkeit in dieser Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Für die dann nötige Beantwortung der Frage, ob eine Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt, bieten die Leitlinie des Europäischen Datenschutzausschusses zur DSFA und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Nr. 5 und Nr. 18 nähere Hinweise.
Eine DSFA gliedert sich in vier Schritte.
Zunächst werden die geplanten Datenverarbeitungs-vorgänge sowie die Verarbeitungszwecke systematisch beschrieben (I.). Sodann wird eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit (II.) vorgenommen. Darauf aufbauend schließt sich eine Risikoanalyse (III.) hinsichtlich der Rechte und Freiheiten der betroffenen Personen und die Festlegung passender Abhilfemaßnahmen in Form der technisch-organisatorischen Maßnahmen (TOM) an.
Eine DSFA lässt sich methodisch gut mit dem sog. PIA-Tool durchführen. Dabei handelt es sich um eine von der französischen Datenschutzaufsichtsbehörde bereitgestellte Software, die kontinuierlich weiterentwickelt wird. Die deutsche Übersetzung wurde in Abstimmung mit dem Bayrischen Landesbeauftragten für Datenschutz erarbeitet. Die PIA-Software kann unter der Open-Source Lizenz GPL v3.0 (Erläuterungen unter https://www.gnu.org/licenses/gpl-3.0.de.html) in Windows (32/64 Bit) kostenfrei verwendet werden. Der Quelltext des PIA-Tools ist im GitHub-Repository unter https://github.com/kosmas58/pia-app/releases hinterlegt.
Ausführliche Informationen zu den Arbeitsschritten sowie zu den (technischen) Hilfsmitteln, die verwendet werden können (z.B das PIA-Tool und ergänzende Werkzeuge) sowie weitere Informationen zum Thema DSFA inklusive eines Beispiels bietet diese Orientierungshilfe.
Sobald Sie sämtliche der in Ihrem Falle notwendigen Dokumente erstellt haben, reichen Sie diese bitte gebündelt bei der Datenschutzbeauftragten ein. Die Prüfung beginnt mit einer ersten Sichtung der Unterlagen.
Sofern Sie personenbezogene Informationen mit Hilfe von Software/(Audio-/Video)Technik verarbeiten, wird der IT-Sicherheitsbeauftragte einbezogen.
Nach einer ersten Sichtung der Unterlagen werden wir uns mit Ihnen in Verbindung setzen, um Rückfragen zu klären und das weitere Vorgehen zu besprechen. Im Rahmen dieses Dialogs werden wir Ihnen mitteilen, ob und welche Ergänzungen Sie in den Dokumenten vornehmen sollten und ob und welche weiteren Dokumente ggf. noch erstellt werden müssten, um eine datenschutzkonforme und it-sicherheitsgerechte Verarbeitung zu erreichen.
Je nach Umfang Ihres Vorhabens, Qualität der von Ihnen zur Prüfung eingereichten Unterlagen und Kapazitäten der Stabsstelle Datenschutz und Informationssicherheit (SStDuI) dauert dieser Abstimmungs- und Prüfprozess in der Regel zwischen vier Wochen und sechs Monaten.
Die Prüfung Ihres Vorhabens durch die Datenschutzbeauftragte und i.d.R den IT-Sicherheitsbeauftragten (=Stabsstelle Datenschutz und Informationssicherheit, SStDuI) endet mit einer Stellungnahme, die empfehlenden Charakter hat und die die SStDuI an den Kanzler weiterleitet. Der Kanzler als das für Datenschutzfragen zuständige Rektoratsmitglied trifft auf der Basis unserer Empfehlung die Entscheidung, ob Ihr Vorhaben - ggf. unter (Datenschutz-/IT-Sicherheits-)Auflagen - durchgeführt werden kann.
Kontakt und Beratung
Die Datenschutzbeauftragte
Dr. Katja Fröhlich
Stabsstelle Datenschutz und Informationssicherheit
Albert-Einstein-Str. 22 (Konrad-Zuse-Haus), Raum 104
18059 Rostock
Tel.: +49 (0) 381/ 498 8333
Mobil: + 49 (0) 151/ 4425 4645
E-Mail: datenschutzbeauftragteuni-rostockde