zum Hauptinhalt wechseln zum Hauptmenü wechseln zum Fußbereich wechseln Universität Bielefeld Play Search

Portal der Datenschutzbeauftragten

© Universität Bielefeld

DSGVO

Zum Hauptinhalt der Sektion wechseln
© Universität Bielefeld

Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) wirksam geworden. Zum einen sollen mit ihrer Hilfe die Datenschutzstandards EU-weit harmonisiert werden, zum anderen erfordert die zunehmende Digitalisierung der Gesellschaft eine Modernisierung der Gesetzeslage. Mit Geltungsbeginn der DSGVO sind sämtliche zuvor geltende Datenschutzregelungen in den EU-Mitgliedsstaaten, auch das Bundes- und die Landesdatenschutzgesetze, obsolet geworden. Die DSGVO bietet allerdings dem nationalen Gesetzgeber die Möglichkeit, sie, mittels sog. Öffnungsklauseln, an bestimmten Stellen zu ergänzen. Diesem Zweck dient das neukonzipierte Bundesdatenschutzgesetz (BDSG). Weitere ergänzende Regelungen, speziell für NRW, finden sich im neuen Datenschutzgesetz NRW (DSG NRW).

Die Datenschutz-Grundverordnung baut auf den bereits vorhandenen Datenschutzprinzipien auf, bringt aber auch viele Neurungen mit sich. Die für den Hochschulbereich relevanten Neuerungen werden im Folgenden erläutert.

  1. Rechenschaftspflichten (Artt. 5 II, 24 I DSGVO): Der Verantwortliche ist für die Einhaltung der Grundprinzipien der DSGVO (Art. 5 I) verantwortlich und muss diese, ggf. durch ausführliche Dokumentation, nachweisen können. Als Verantwortlicher gilt eine Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit den anderen über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. (DSGVO Art 4, 7)
  1. (proaktive) Informationspflichten (Artt. 13, 14 DSGVO): Den betroffenen Personen muss spätestens zum Zeitpunkt der Datenerhebung (am besten bereits bei der Einwilligung) u.a. folgende Informationen mitgeteilt werden:
    • Identität des Verantwortlichen
    • Kontaktdaten des Datenschutzbeauftragten
    • Verarbeitungszwecke und Rechtsgrundlage
    • Empfänger
    • Übermittlung an Drittstaaten
    • Dauer der Speicherung
    • Rechte der Betroffenen
    • Widerrufbarkeit von Einwilligungen
    • Beschwerderecht bei der Aufsichtsbehörde

    Informationspflicht besteht auch in dem Fall, wenn die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben wurden ("Dritterhebung"). Eine ausführliche Liste mit allen Informationen finden Sie im entsprechenden Infotext unter Informationspflichten.

  1. Auskunftsrecht mit dem Recht auf Datenkopie (Art 15, DSGVO): Die betroffene Person hat das Recht vom Verantwortlichen eine Auskunft darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten bei diesem gespeichert bzw. verarbeitet werden. Der Verantwortliche ist verpflichtet der betroffenen Person im Laufe eines Monats eine Datenkopie zur Verfügung zu stellen. Für weitere Informationen siehe: Kurzpapier Nr. 6 der Datenschutzkonferenz
  1. Verzeichnis von Verarbeitungstätigkeiten (Art. 30, DSGVO): Die bisherigen Verfahrensverzeichnisse werden durch das Verzeichnis von Verarbeitungstätigkeiten abgelöst. Im Gegensatz zum alten Recht ist dieses nicht mehr von dem/der Datenschutzbeauftragten, sondern vom Verantwortlichen und ggf. Auftragsverarbeiter, zu führen. Das Verzeichnis der Verarbeitungstätigkeiten enthält sämtliche Informationen zu Verarbeitungstätigkeiten mit personenbezogenen Daten und dient dem Nachweis der Einhaltung der DSGVO bei Kontrolle der Aufsichtsbehörde. Musterverzeichnisse der Verarbeitungstätigkeiten finden Sie hier
  1. Datenschutzfolgenabschätzung (Art. 35, DSGVO): Die obligatorische Vorabkontrolle des alten Rechts wird durch eine Datenschutz-Folgenabschätzung (DSFA) ersetzt. Im Gegensatz zu der Vorabkontrolle, wird die DSFA vom Verantwortlichen und nicht von der/dem Datenschutzbeauftragten vorgenommen. Sie soll allerdings nur für solche Verarbeitungen vorgenommen werden, bei denen ein hohes Risiko für Rechte und Freiheiten der Betroffenen zu erwarten ist. Solche Verarbeitungen sind z.B.:
    • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
    • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

    Ausführlichere Informationen zur Datenschutzfolgenabschätzung finden Sie hier und hier.

  1. Meldepflichten mit Fristen (Artt. 33, 34 DSGVO): Bei einer Datenschutzpanne hat der Verantwortliche unverzüglich und spätestens binnen 72 Stunden sowohl die Aufsichtsbehörde als auch die betroffene Person darüber zu informieren, falls durch diese ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Der Verantwortliche muss dabei die Datenschutzverletzung, ihre Folgen, sowie Abhilfemaßnahmen dokumentieren. Die Meldepflicht entfällt, falls durch die Datenschutzpanne kein Risiko für Rechte und Freiheiten der natürlichen Person entsteht. Dies ist z.B. dann der Fall, wenn die personenbezogenen Daten, etwa durch Verschlüsslung, für Unbefugte unzugänglich gemacht worden sind. Das unieigene Portal zur Meldung von Datenpannen wird in Kürze in Betrieb genommen.

Für die Verarbeitung von personenbezogenen Daten, etwa für Forschungszwecke oder für den Versand von Newslettern (soweit sie einer Einwilligung bedurften, mehr dazu: hier) muss im Vorfeld, spätestens aber bei der Datenerhebung, eine Einwilligung der betroffenen Person eingeholt werden. Damit eine Einwilligung rechtskräftig ist, muss sie u.a.:

  • Freiwillig erteilt werden
  • Über die Zwecke der Datenverarbeitung informieren (es gilt das Prinzip der Zweckbindung - siehe aber Sonderfall: Forschung weiter unten)
  • In Form einer eindeutig bestätigenden Handlung erfolgen
  • In einer klaren und einfachen Sprache formuliert und vom Rest des Schreibens (Z.B. durch Kursiv, Fettschrift, farbige Hervorhebung usw.) klar abgetrennt werden
  • Genauso einfach zu wiederrufen, wie zu erteilen sein, wobei auf die Widerrufbarkeit zum beliebigen Zeitpunkt der Erhebung/Verarbeitung hingewiesen werden muss

Zu beachten sind auch die Informations- sowie die Nachweispflicht des Verantwortlichen:
Die Informationspflichten werden im entsprechenden Abschnitt behandelt. Da sie durchaus umfangreich sind, empfiehlt es sich sie entweder auf einem gesonderten Blatt oder, bei einer elektronischen Einwilligung, auf einer gesonderten Webseite, auf die in der Einwilligung verlinkt wird, unterzubringen.

Der Verantwortliche muss der Kontrollbehörde bei Bedarf nachweisen können, dass die Datenverarbeitung DSGVO-konform geschieht. Auch wenn die DSGVO eine schriftliche Erteilung der Einwilligung nicht explizit fordert, empfiehlt es sich ausdrücklich diese u.a. zu Dokumentationszwecken schriftlich einzuholen.

Sonderfall Forschung:
Die Verarbeitung von personenbezogenen Daten zu Forschungszwecken genießt in der DSGVO eine privilegierte Position. Da es bei wissenschaftlichen Vorhaben nicht immer möglich ist, bereits zum Zeitpunkt der Erhebung den genauen Zweck der Verarbeitung zu benennen, kann hier der Zweck etwas weiter gefasst werden. Der Zweck soll aber nur so weit gefasst sein, wie unbedingt nötig. So sind pauschale Zweckangaben, man erhebe die Daten z.B. "zu Forschungszwecken" nicht rechtens. Es sollte der betroffenen Person die Möglichkeit gegeben werden, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teilprojekte zu erteilen, für die die Daten tatsächlich erforderlich sind. (vgl. ErwGr. 33 DSGVO).

Fortgeltung bisher geltender Einwilligung:
Einwilligungen die vor dem Geltungsbeginn der DSGVO (25. Mai 2018) erteilt wurden verlieren nicht automatisch an ihrer Kraft. Sie können weiterhin als Grundlage für die Verarbeitung personenbezogener Daten dienen, sofern "die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung [-DSGVO] entspricht" (ErwGr. 171, Satz 3 DSGVO) - Ansonsten muss die Einwilligung erneut eingeholt werden. Mehr dazu hier.

Weitere Informationen:
Diese Übersicht bietet erste Informationen zum Thema Einwilligung. Da es angesichts der Vielzahl unterschiedlichster Forschungsvorhaben nicht möglich ist eine allgemeingültige Mustereinwilligung zu erstellen, finden Sie unten weiterführende Links, mit deren Hilfe sich eine rechtskonforme informierte Einwilligung erstellen lässt:

Eine der wichtigen Neuerungen der DSGVO sind die proaktiven Informationspflichten des Verantwortlichen, die in Artt. 13 und 14 geregelt sind. Diesen zufolge muss der Verantwortliche spätestens bei der Erhebung personenbezogener Daten der betroffenen Person mindestens folgende Informationen mitteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • gegebenenfalls die Empfänger (oder Kategorien von Empfängern) der personenbezogenen Daten;

Falls personenbezogene Daten an ein Drittland/internationale Organisation übermittelt werden sollen:

  • Die Absicht sie zu übermitteln;
  • Das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission;
  • (Oder) im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich dazu muss der Verantwortliche die betroffene Person zum Zeitpunkt der Datenerhebung über Folgendes informieren:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;
  • Bei automatisierter Entscheidungsfindung einschließlich Profiling (Artikel 22 Absätze 1 und 4) müssen, zumindest in diesen Fällen, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person mitgeteilt werden.

Darüber hinaus muss der Verantwortliche die betroffene Person über ihre Rechte informieren:

  • Recht auf Auskunft (bei dem Verantwortlichen) über die betreffenden personenbezogenen Daten;
  • Rechte auf Berichtigung, Löschung und auf Einschränkung der Verarbeitung;
  • Recht auf einen Widerspruch gegen die Verarbeitung;
  • Recht auf Datenübertragbarkeit;
  • Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • Recht auf Beschwerde bei einer Aufsichtsbehörde;

Falls die personenbezogenen Daten für einen anderen Zweck als erhoben verarbeitet werden sollen, hat der Verantwortliche der betroffenen Person, und zwar vor der Weiterverarbeitung, Informationen über diesen anderen Zweck zur Verfügung zu stellen.

Alle diese Informationen müssen jedoch der betroffenen Person nicht mitgeteilt werden, falls sie diese bereits hat.

Zum Seitenanfang