Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam geworden. Zum einen sollen mit ihrer Hilfe die Datenschutzstandards EU-weit harmonisiert werden, zum anderen erfordert die zunehmende Digitalisierung der Gesellschaft eine Modernisierung der Gesetzeslage. Mit Geltungsbeginn der DSGVO sind sämtliche zuvor geltende Datenschutzregelungen in den EU-Mitgliedsstaaten, auch das Bundes- und die Landesdatenschutzgesetze, obsolet geworden. Die DSGVO bietet allerdings dem nationalen Gesetzgeber die Möglichkeit, sie, mittels sog. Öffnungsklauseln, an bestimmten Stellen zu ergänzen. Diesem Zweck dient das neukonzipierte Bundesdatenschutzgesetz (BDSG). Weitere ergänzende Regelungen, speziell für NRW, finden sich im neuen Datenschutzgesetz NRW (DSG NRW).
Die Datenschutz-Grundverordnung baut auf den bereits vorhandenen Datenschutzprinzipien auf, bringt aber auch viele Neurungen mit sich. Die für den Hochschulbereich relevanten Neuerungen werden im Folgenden erläutert.
Informationspflicht besteht auch in dem Fall, wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben wurden ("Dritterhebung"). Eine ausführliche Liste mit allen Informationen finden Sie im entsprechenden Infotext unter Informationspflichten.
Ausführlichere Informationen zur Datenschutzfolgenabschätzung finden Sie hier und hier.
Für die Verarbeitung von personenbezogenen Daten, etwa für Forschungszwecke oder für den Versand von Newslettern (soweit sie einer Einwilligung bedurften, mehr dazu: hier) muss im Vorfeld, spätestens aber bei der Datenerhebung, eine Einwilligung der betroffenen Person eingeholt werden. Damit eine Einwilligung rechtskräftig ist, muss sie u.a.:
Zu beachten sind auch die Informations- sowie die Nachweispflicht des Verantwortlichen:
Die Informationspflichten werden im entsprechenden Abschnitt behandelt. Da sie durchaus umfangreich sind, empfiehlt es sich sie entweder auf einem gesonderten Blatt oder, bei einer elektronischen Einwilligung, auf einer gesonderten Webseite, auf die in der Einwilligung verlinkt wird, unterzubringen.
Der Verantwortliche muss der Kontrollbehörde bei Bedarf nachweisen können, dass die Datenverarbeitung DSGVO-konform geschieht. Auch wenn die DSGVO eine schriftliche Erteilung der Einwilligung nicht explizit fordert, empfiehlt es sich ausdrücklich diese u.a. zu Dokumentationszwecken schriftlich einzuholen.
Sonderfall Forschung:
Die Verarbeitung von personenbezogenen Daten zu Forschungszwecken genießt in der DSGVO eine privilegierte Position. Da es bei wissenschaftlichen Vorhaben nicht immer möglich ist, bereits zum Zeitpunkt der Erhebung den genauen Zweck der Verarbeitung zu benennen, kann hier der Zweck etwas weiter gefasst werden. Der Zweck soll aber nur so weit gefasst sein, wie unbedingt nötig. So sind pauschale Zweckangaben, man erhebe die Daten z.B. "zu Forschungszwecken" nicht rechtens. Es sollte der betroffenen Person die Möglichkeit gegeben werden, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teilprojekte zu erteilen, für die die Daten tatsächlich erforderlich sind. (vgl. ErwGr. 33 DSGVO).
Fortgeltung bisher geltender Einwilligung:
Einwilligungen die vor dem Geltungsbeginn der DSGVO (25. Mai 2018) erteilt wurden verlieren nicht automatisch an ihrer Kraft. Sie können weiterhin als Grundlage für die Verarbeitung personenbezogener Daten dienen, sofern "die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung [-DSGVO] entspricht" (ErwGr. 171, Satz 3 DSGVO) - Ansonsten muss die Einwilligung erneut eingeholt werden. Mehr dazu hier.
Weitere Informationen:
Diese Übersicht bietet erste Informationen zum Thema Einwilligung. Da es angesichts der Vielzahl unterschiedlichster Forschungsvorhaben nicht möglich ist eine allgemeingültige Mustereinwilligung zu erstellen, finden Sie unten weiterführende Links, mit deren Hilfe sich eine rechtskonforme informierte Einwilligung erstellen lässt:
Eine der wichtigen Neuerungen der DSGVO sind die proaktiven Informationspflichten des Verantwortlichen, die in Artt. 13 und 14 geregelt sind. Diesen zufolge muss der Verantwortliche spätestens bei der Erhebung personenbezogener Daten der betroffenen Person mindestens folgende Informationen mitteilen:
Falls personenbezogene Daten an ein Drittland/internationale Organisation übermittelt werden sollen:
Zusätzlich dazu muss der Verantwortliche die betroffene Person zum Zeitpunkt der Datenerhebung über Folgendes informieren:
Darüber hinaus muss der Verantwortliche die betroffene Person über ihre Rechte informieren:
Falls die personenbezogenen Daten für einen anderen Zweck als erhoben verarbeitet werden sollen, hat der Verantwortliche der betroffenen Person, und zwar vor der Weiterverarbeitung, Informationen über diesen anderen Zweck zur Verfügung zu stellen.
Alle diese Informationen müssen jedoch der betroffenen Person nicht mitgeteilt werden, falls sie diese bereits hat.