Antworten auf Fragen zur Datenschutzgrundverordnung (DSGVO)

Wozu gibt's die neue Datenschutzgrundverordnung der EU?

Die Datenschutzgrundverordnung der EU (DSGVO) ist seit dem 25.05.2018 wirksam. Sie dient einer Vereinheitlichung des Datenschutzrechts in der europäischen Union. Da in vielen Grundsätzen das bisherige deutsche Datenschutzrecht als Vorlage für die DSGVO diente, ändert sich für uns als Universität nicht allzu viel. Bisher schon benötigte „Verfahrensbeschreibungen“ heißen nun „Verarbeitungstätigkeitsbeschreibungen“ und sind nur in einigen Punkten zu ändern oder zu ergänzen. Wer bisher schon die Vorgaben des Datenschutzrechts beachtet hat, muss nur wenig tun. Ansonsten sollte die DSGVO als Ansporn genommen werden, das für uns alle wichtige Thema Datenschutz zukünftig ernster zu nehmen.

Die EU plant, die DSGVO in 2019 durch eine E-Privacy-Verordnung zu ergänzen, um damit eine vollständige rechtliche Grundlage zur Gewährleistung des Grundrechts auf informationelle Selbstbestimmung zu schaffen.

Was kann passieren?

Mittlerweile ist die DSGVO in Landesrecht umgesetzt worden (Bayerisches Datenschutzgesetz). Der Freistaat hat die von der EU für Teile der DSGVO den Ländern überlassenen Gestaltungsspielräume in für uns wichtigen Bereichen genutzt. So sind öffentliche Stellen, soweit sie nicht kommerziell tätig sind, von den in der Presse breitgetretenen horrenden Bußgeldern nicht betroffen.

Auch die befürchtete Abmahnwelle bedroht uns nicht direkt, da es für eine Abmahnung die Geltendmachung eines Schadens braucht. Konkurrierende Firmen können sich bspw. auf das Gesetz gegen den unlauteren Wettbewerb berufen.

Ein konkretes Risiko für uns als Universität entsteht durch die in der DSGVO verankerten Auskunftsansprüche von Betroffenen. Diese gab es zwar bisher schon. Durch die öffentliche Aufmerksamkeit ist aber eine Zunahme derartiger Anfragen zu befürchten. Die Beantwortung ist zum einen aufwändig. Außerdem lässt sich kaum sicherstellen, dass wirklich alle über eine Person gespeicherten Daten berücksichtigt werden. Es ist nicht bekannt, wo vielleicht zusätzlich zu den zentral im Identity Management System verwalteten Daten noch Informationen über die betroffene Person gespeichert wurden.

Für welche Systeme muss etwas getan werden?

Es ist auch unter Datenschützern noch strittig, wann eine separat zu behandelnde Verarbeitungstätigkeit im Sinne der DSGVO vorliegt. Die Spanne reicht von „jede Excel- oder Word-Datei, in der personenbezogene Daten stehen, ist eine eigene Verarbeitungstätigkeit“ bis „alle Daten, die zum gleichen Zweck und auf gleicher rechtlicher Grundlage erhoben wurden, brauchen nur einmal behandelt werden“. Aufgrund dieser unklaren Situation gehen wir bis auf Weiteres davon aus, dass Tätigkeiten, die schon bisher eine Verfahrensbeschreibung gebraucht haben oder hätten, als eigene Verarbeitungstätigkeiten im Sinne der DSGVO zu betrachten sind. Auch dafür gab es zwar keine eindeutige Definition. Es war aber bisher Konsens, dass separate Anwendungen, separate Projekte oder unterschiedlichen Zwecken dienende IT-Systeme als jeweils eigene Verarbeitungstätigkeiten zu verstehen sind. Beispiele sind WWW-Seiten, Systeme zur Lehr- und Lernunterstützung, Fotosammlungen, Online-Umfragesysteme, Wikis, projektbezogene Kollaborationssysteme, dezentral organisierte Mailverteiler, Forschungsdaten mit Personenbezug usw.

Die zentralen IT-Betreiber kümmern sich um die datenschutzrechtlichen Belange für die im Rahmen der Studierendenverwaltung bzw. einer Beschäftigung erhobenen und gespeicherten Daten sowie um die zentralen Systeme wie WWW, VC, Flexnow, Mittelbewirtschaftung, allgemeine Bürokommunikation mit Daten auf Netzlaufwerken, E-Mail usw.

Ich bin kein Jurist! Woher soll ich die Paragrafen kennen?

Für alle Verarbeitungstätigkeiten müssen insbesondere der Zweck der Verarbeitung und die Rechtsgrundlage, auf der die Verarbeitung erfolgt, dokumentiert und den Betroffenen transparent gemacht werden. Einschlägige Zwecke und Rechtsgrundlagen für eine Universität sind:

  • BayHSchG Art. 2: Aufgabenerfüllung gemäß Bayerischem Hochschulgesetz, speziell
    • BayHSchG Art. 2 Abs. 1: Forschung, Lehre und Vorbereitung auf berufliche Tätigkeit
    • BayHSchG Art. 2 Abs. 5: Wissens- und Technologietransfer
    • BayHSchG Art. 2 Abs. 6: Öffentlichkeitsarbeit
  • BayEGovG Art. 4 Abs. 1: Bereitstellung von Diensten in elektronischer Form
  • DSGVO Art. 6 Abs. 1a: Einwilligung liegt vor
  • DSGVO Art. 6 Abs. 1c: Erfüllung einer rechtlichen Verpflichtung erforderlich
  • DSGVO Art. 6 Abs. 1e: Wahrnehmung eines öffentlichen Interesses
  • DSGVO Art. 6 Abs. 1f: Wahrung eines berechtigten Interesses

Diese Angaben können für Datenschutzerklärungen und Verarbeitungstätigkeitsbeschreibungen übernommen werden.

Was ist konkret zu tun?

Folgende Vorgaben müssen für alle Verarbeitungstätigkeiten erfüllt werden:

  1. Informationspflicht: Die DSGVO fordert, dass den Betroffenen transparent gemacht wird, wozu ihre Daten erhoben werden und was damit geschieht. Dies erfolgt am besten in Form einer Datenschutzerklärung. Es folgen Datenschutzerklärungen, auf die verwiesen werden kann, falls Zweck, Rechtsgrundlage und weitere Informationen zutreffen, oder die als Vorlage für bestimmte Zwecke angepasst werden können:
  2. Verarbeitungstätigkeitsbeschreibung: Für jede Verarbeitungstätigkeit sind bestimmte Informationen zwingend zu erfassen. Dies sind insbesondere Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung, Kategorien der Daten und betroffenen Personen, ggf. beteiligte externe Stellen sowie technische und organisatorische Maßnahmen zum Schutz der Daten.
    Formular Verarbeitungstätigkeit
    Für zentral betriebene oder im Rechenzentrum gehostete Systeme werden angemessene technische und organisatorische Maßnahmen auf Betriebsebene zentral gewährleistet.
  3. Auftragsdatenverarbeitungsvereinbarung: Falls Leistungen Dritter in Anspruch genommen werden, muss eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden. Vom Bayerischen Landesamt für Datenschutzaufsicht wird ein entsprechendes Formular bereitgestellt. Für weitere Fragen können Sie sich an das Rechenzentrum wenden.
  4. Datenpannen: Falls eine Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Person führt, muss binnen 72h eine Meldung an die Aufsichtsbehörde und eine Information der Betroffenen erfolgen. Melden Sie gravierende Datenpannen daher bitte unverzüglich an den Datenschutzbeauftragten oder an das Rechenzentrum. Bitte verwenden Sie zur Erfassung aller relevanten Informationen über die Datenpanne das bereitgestellte Formular(126.5 KB).
  5. Datenschutz-Folgenabschätzung: Bei Verarbeitungstätigkeiten mit einem hohen Risiko für Rechte und Freiheiten natürlicher Personen muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn Sie derartige Daten verarbeiten oder sich dbzgl. unsicher sind, wenden Sie sich an den Datenschutzbeauftragten oder das Rechenzentrum. Zur Durchführung einer Datenschutz-Folgenabschätzung kann das PIA-Tool des Bayerischen Landesamts für den Datenschutz verwendet werden.

Wo gilt besondere Vorsicht?

Aufgrund der erhöhten öffentlichen Aufmerksamkeit für das Thema Datenschutz besteht das Risiko, dass Beschwerden über oder Anfragen zur Verwendung von personenbezogenen Daten zunehmen. Ein besonderes Risiko besteht, wenn Externe im Rahmen von Forschungsprojekten oder über Mailverteiler kontaktiert werden oder Informationen zugeschickt bekommen. Streng genommen waren hierfür auch schon nach altem Datenschutzrecht Einwilligungen erforderlich. Falls diese vorliegen, können sie auch nach Inkrafttreten der DSGVO weiterverwendet werden.

Eine ähnliche Problematik besteht bei Sammlungen von Fotos. Nach DSGVO muss bis auf wenige Ausnahmen eine Einwilligung aller identifizierbaren Personen vorliegen. Dies gilt auch für Fotos, die im öffentlichen Raum aufgenommen wurden.

Falls neue Daten erhoben werden oder neue Personen bei einem bestehenden Projekt hinzukommen oder auf eine Mailingliste genommen werden, muss zukünftig immer eine Einwilligung eingeholt und dokumentiert werden.

Für bestehende Sammlungen personenbezogener Daten und insbesondere von Adresslisten sind folgende Vorgehensweisen denkbar:

  1. Eine Einwilligung liegt nachweislich vor. Es muss nichts weiter getan werden.
  2. Opt-In: Alle Betroffenen werden (am besten mit Hinweis auf die Datenschutzerklärung) informiert. Wer nicht aktiv bestätigt, dass er weiter kontaktiert werden möchte, dessen Daten werden gelöscht. Diese Vorgehensweise empfiehlt sich, wenn völlig unklar ist, wie die Daten ursprünglich erhoben wurden, oder wenn Beschwerden nicht auszuschließen sind.
  3. Opt-Out: Alle Betroffenen werden (am besten mit Hinweis auf die Datenschutzerklärung) informiert. Falls sie keine Rückmeldung geben, wird von einer „schlüssigen Einwilligung“ ausgegangen und der Datensatz weiterverwendet. Diese Vorgehensweis empfiehlt sich, wenn davon ausgegangen werden kann, dass Betroffene ein großes Interesse an einer Weiterführung des bisherigen Vorgehens haben.
  4. Bestehende Daten werden unverändert weiterverwendet, ohne dass eine Einwilligung vorliegt. Betroffene werden nicht kontaktiert. Dieses Vorgehen kommt überhaupt nur infrage, wenn sehr starke Argumente für das Vorliegen einer „schlüssigen Einwilligung“ schriftlich dokumentiert werden können.
  5. Bestehende Daten werden vollständig gelöscht und von Grund auf unter Einholung einer Einwilligung neu erhoben.

Nicht personenbezogene Adressen beispielsweise in Form von Kontaktadressen von Firmen sind grundsätzlich unproblematisch.

Der andere Bereich, für den es sich empfiehlt zu prüfen, ob die Vorgaben der DSGVO eingehalten sind, betrifft öffentliche im Internet erreichbare Web-, Portal- oder Projektseiten. Auf derartigen Seiten sollten Datenschutzerklärungen eingebaut oder aktualisiert werden.

Empfehlungen für Mailinglisten

Einige wichtige Punkte für eine datenschutzkonforme Mailingliste sind die folgenden:

  • Eine Mailingliste, die als Newsletter verwendet wird, muss so konfiguriert sein, dass das Subscribe nur mit Double-Opt-In möglich ist.
  • Das bedeutet, dass die Teilnehmerin oder der Teilnehmer sich aktiv in die Liste einträgt und im Nachgang die Identität durch eine Bestätigungsmail überprüft wird. War die Teilnehmerin oder der Teilnehmer bereits auf der Website authentifiziert, erübrigt sich der zweite Schritt, da die Identität bereits bestätigt worden ist.
  • Die E-Mail-Adressen der Abonnenten und der Eigentümer und Moderatoren dürfen nicht öffentlich sichtbar sein und sollten bei Newslettern auch nur für die Eigentümer der Liste sichtbar sein.
  • Die Archive der Mailingliste dürfen nicht öffentlich sichtbar sein.
  • Das Abbestellen der Liste (Unsubscribe) muss für jeden Benutzer möglich sein.
  • Ein Newsletter muss einen Footer (Nachrichtenfuß) enthalten, in dem Informationen zum Verlassen der Listen enthalten sind und ein Link auf das Impressum.
    Für unsignierte E-Mails kann dazu auf der Webseite der Mailingliste die Vorlage für den Footer bearbeitet werden, der dann automatisch an die Antwort angehängt wird.
    Bei signierten E-Mails muss der Text des Footers aus technischen Gründen jeweils vor dem Versand der E-Mail vom Benutzer selbst direkt an den Text der E-Mail angehängt werden.

Wenn die Empfänger schon vor Geltung der DSGVO in den Erhalt eines Newsletters eingewilligt haben, besteht diese Einwilligung fort. Sie können die Mailingliste also weiterverwenden. Wichtig ist, dass die betroffenen Personen nicht ungewünscht zur Liste hinzugefügt wurden.

Was kann jede/jeder Einzelne tun?

  • Verwenden Sie dienstliche Geräte, denn personenbezogene Daten gehören nicht auf private Smartphones, Laptops, Tablets etc.
  • Verschlüsseln Sie Ihre tragbaren Geräte, denn Daten, die Sie unterwegs verlieren könnten, müssen Sie vor Missbrauch schützen.
  • Halten Sie Systemsoftware immer aktuell, denn mit regelmäßigen Updates
    können Sie Sicherheitslücken vermeiden.
  • Verfahren Sie gemäß Clean Desk Policy, d.h. wenn Sie Ihren Schreibtisch verlassen, schließen Sie Fenster und Türen, schalten Sie den PC aus oder verwenden Sie für kurze Pausen die Bildschirmsperre. Damit verhindern Sie Datenlecks im Alltag.
  • Nutzen Sie die Netzlaufwerke (Fileserver), die Ihnen das Rechenzentrum zur Verfügung stellt, denn sensible Daten sind auf den Servern des Rechenzentrums besser aufgehoben als auf dem lokalen Rechner mit Internetzugang.
  • Verwenden Sie einen Passwort-Manager, um Ihre Kennwörter elektronisch zu speichern und zu verwalten.
  • Melden Sie Datenschutzvorfälle und IT-Sicherheitsprobleme, d.h. Datenschutzprobleme zeigen Sie bitte gegenüber der/dem Vorgesetzten und dem Datenschutzbeauftragten an; IT-Sicherheitsprobleme sollten Sie dem Systemverantwortlichen melden (wenden Sie sich dazu bitte an den IT-Support).

Quelle: Unter Verwendung von Informationen der Stabsstelle IT-Recht der bayerischen staatlichen Hochschulen, Herrn Johannes Nehlsen, sowie der Deutschen Universitätszeitschrift (duz), Ausgabe 05/2018

Das ist alles viel zu kompliziert! Wo soll ich anfangen?

Verarbeiten Sie eigenständig (bspw. im Rahmen eines Forschungsprojekts) personenbezogene Daten? Dann tun Sie Folgendes:

  1. Füllen Sie das Formular zur Beschreibung einer Verarbeitungstätigkeit5 unter Angabe der am besten passenden Rechtsgrundlage gemäß Abschnitt 4 aus. Melden Sie die Tätigkeit an den Datenschutzbeauftragten.
  2. Nehmen Sie die am besten passende Datenschutzerklärung aus Abschnitt 5 als Vorlage und passen Sie sie an Ihre Gegebenheiten an.
  3. Machen Sie den Betroffenen die Datenschutzerklärung zugänglich, bspw. indem Sie sie allen Betroffenen zuschicken oder indem Sie sie an den für Betroffene passenden Stellen verlinken, siehe Abschnitt 6.
  4. Im Falle einer schwerwiegenden Datenpanne oder eines Auskunftsersuchens, wenden Sie sich an den Datenschutzbeauftragten oder das Rechenzentrum.