Prakt­ische Um­set­zung

Jede Verarbeitung personenbezogener Daten ist zunächst verboten. Es muss eine gesetzliche Erlaubnisregelung vorliegen oder es muss eine Einwilligung der betroffenen Personen eingeholt werden (v. a. gemäß Art. 6 und 9 DS-GVO, § 3 DSG NRW; Art. 88 DS-GVO i. V. .m. § 18 DSG NRW). um personenbezogene Daten verarbeiten zu dürfen (sog. „Verbot mit Erlaubnisvorbehalt“).

Bestimmte personenbezogene Daten sind mit einem besonderen Schutzbedürfnis und daher mit weiteren spezifischen Anforderungen verbunden. Diese personenbezogenen Daten werden als besondere Kategorien personenbezogener Daten bzw. als sensible Daten (Erwägungsgrund 10 der DS-GVO) benannt und werden in Art. 9 Abs. 1 DS-GVO geregelt.

Es dürfen ferner nur die für die jeweiligen Zwecke erforderlichen personenbezogenen Daten verarbeitet werden. Der Zweck oder die Zwecke einer Verarbeitung müssen vor einer Datenverarbeitung festgelegt werden. Sie müssen eindeutig und legitim sein. Unter Einhaltung von besonderen Voraussetzungen, gibt es einige Ausnahmen von dem Grundsatz der Zweckbindung. Beispiele sind Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke gemäß Art. 89 Abs. 1 DS-GVO sowie die Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen (§ 9 Abs. 1 DSG NRW). Beschäftigte dürfen nur die zur Erfüllung des Zwecks erforderlichen Daten verarbeiten. Die Verarbeitung erfolgt im Rahmen der Vorgaben der Universität (Art. 29 DS-GVO).

Sonderthema: Datenübermittlung außerhalb der EU:

Für jede Datenübermittlung außerhalb der EU ist nicht nur eine wirksame Rechtsgrundlage, sondern zusätzlich die Einhaltung bestimmter Anforderungen für den Drittlandtransfer erforderlich. In der für das Datenschutzrecht einschlägigen Datenschutzgrundverordnung (DS-GVO) sind dazu unterschiedliche Möglichkeiten geregelt (Art. 44 ff. DS-GVO). Datenübermittlungen außerhalb der EU sind v. a. zulässig, wenn:

  • für ein Drittland ein sog. Angemessenheitsbeschluss vorliegt (= Bestätigung für ein Drittland hinsichtlich der Sicherstellung eines angemessenen Datenschutzniveaus durch die EU-Kommission);
  • Vorliegen geeigneter Garantien (Art. 46 DSGVO);
    • bspw. Standardvertragsklauseln (= vorgefertigte vertragliche Regelungen der Europäischen Kommission) abgeschlossen werden oder
    • Binding Corporate Rules (= verbindliche interne Datenschutzvorschriften eines Unternehmens) vorliegen
  • Ausnahmen in bestimmten Fällen nach Maßgabe von Art. 49 DS-GVO.

Sonderthema: Verarbeitung personenbezogener Daten mit anderen Verantwortlichen oder Verarbeitung personenbezogener Daten unter Rückgriff auf externe Dienstleister

Die Universität Paderborn ist für alle Verarbeitungen personenbezogener Daten verantwortlich, bei denen sie die Zwecke und Mittel bestimmt.

Gemeinsame Verantwortung: Es kommt aber auch vor, dass die Universität mit anderen Verantwortlichen (z.B. eine andere Hochschule) zusammenarbeitet und dabei gemeinsam über Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt wird. Beispiele dafür sind etwa die gemeinsame Verwaltung bestimmter Datenkategorien oder die gemeinsame Errichtung und/oder Nutzung einer Infrastruktur (bspw. Forschungsplattform verschiedener Kooperationspartner). In diesem Fall ist eine besondere vertragliche Vereinbarung nach Maßgabe des Art. 26 DS-GVO abzuschließen. Dazu steht ein Vertragsmuster für eine Vereinbarung über die gemeinsame Verantwortung mit Hinweisen zur Verfügung. Dieses Vertragsmuster muss an die konkrete Verarbeitung angepasst werden. In die Vertragsverhandlungen ist stets der*die Datenschutzbeauftragte der Universität Paderborn einzubeziehen.

Auftragsverarbeitung: Häufig werden personenbezogene Daten auch durch externe Dienstleister (mit) verarbeitet. Sofern der externe Dienstleister im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) erforderlich. Beispiele dafür sind:

  • Befragungen durch einen externen Dienstleister
  • (Fern-)Wartungslösungen
  • Organisation einer Tagung durch durch einen kommerziellen Anbieter (Teilnehmeranmeldung, Abrechnung, ...)
  • Datenverarbeitung mit Hilfe eines externen Cloud-Dienstes
  • Fremdhosting
  • Newsletterdienste
  • etc.

Art. 28 DS-GVO enthält Regelungen, die zwischen der Universität Paderborn und dem Auftragsverarbeiter vertraglich vereinbart werden müssen. Dazu steht ein Vertragsmuster für Auftragsverarbeitungsverträge mit Hinweisen zur Verfügung. Dieses Vertragsmuster muss an die konkrete Verarbeitung angepasst werden. Der Vertrag muss von der*dem Vizepräsident*in für Wirtschafts- und Personalangelegenheiten der Universität Paderborn mit dem Auftragsverarbeiter geschlossen werden. In die Vertragsverhandlungen ist stets der*die Datenschutzbeauftragte der Universität Paderborn einzubeziehen.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art (Verarbeitung personenbezogener Daten steht nicht im Vordergrund) stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar (bspw. Zahlungsdienstleister, Wirtschaftsprüfung, Übersetzungen (ohne Nutzung von Cloudservice) etc. Eine individuelle Überprüfung im Einzelfall ist jedoch unverzichtbar.

Insbesondere innerhalb der Verwaltung werden personenbezogene Daten regelmäßig auf Basis gesetzlicher Regelungen (hoheitliche Aufgabenerfüllung) verarbeitet. Teilweise können Verarbeitungen personenbezogener allerdings nur auf Grundlage einer Einwilligung der betroffenen Person stattfinden. Beispiele sind die Nutzung freiwilliger Dienste, Fotoaufnahmen und -veröffentlichungen die Teilnahme an Umfragen/Studien etc. Vor allem im Forschungsbereich spielt die Einwilligung eine zentrale Rolle.

Sofern die Einwilligung betroffener Personen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten maßgeblich ist, sind bestimmte Anforderungen zu erfüllen. Eine Einwilligung von Betroffenen zur Verarbeitung ihrer personenbezogenen Daten muss gemäß Art. 4 Nr. 11, Art. 7 DS-GVO wie folgt erteilt werden:

  • freiwillig,
  • in informierter Weise nach den Regelungen der Art. 12 ff. DS-GVO
  • in Form einer unmissverständlichen Erklärung oder sonstigen eindeutigen bestätigenden Handlung
  • für den konkreten Fall (Pauschaleinwilligungen sind nicht zulässig!)
  • nachweisbar (mind. wird die Textform empfohlen; im Beschäftigtendatenschutz kann die Schriftform maßgeblich sein) und
  • jederzeit widerruflich

Hinweis zu Alt-Einwilligungen: Einwilligungen die vor dem Geltungsbeginn der DS-GVO (25. Mai 2018) erteilt wurden, werden nicht automatisch ungültig. Sie können weiterhin als Grundlage für die Verarbeitung personenbezogener Daten dienen, sofern die Art der bereits erteilten Einwilligung den Bedingungen der DS-GVO entspricht. (ErwGr. 171, Satz 3 DSGVO). Im Zweifel sollten Alt-Einwilligungen überprüft werden, es sei denn die Verarbeitung findet nicht mehr statt.

Sonderfall Einwilligungen und Zweckbindung in der Forschung: Da es bei wissenschaftlichen Vorhaben nicht immer möglich ist, bereits zum Zeitpunkt der Erhebung den genauen Zweck der Verarbeitung zu benennen, kann hier der Zweck etwas weiter gefasst werden. Der Zweck soll aber nur so weit gefasst sein, wie unbedingt nötig. So sind pauschale Zweckangaben, man erhebe die Daten z. B. „zu Forschungszwecken", rechtlich nicht hinreichend. Es sollte der betroffenen Person die Möglichkeit gegeben werden, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teilprojekte zu erteilen, für die die Daten tatsächlich erforderlich sind. (vgl. ErwG 33 DS-GVO).

Dazu stehen Musterformulare für Einwilligungserklärungen mit Hinweisen zur Verfügung. Diese Musterformulare müssen aber an die konkrete Verarbeitung angepasst werden. Angesichts der Vielzahl unterschiedlichster Sachverhalte ist es nicht möglich, eine allgemeingültige Mustereinwilligung zu erstellen.

Über jede Verarbeitung personenbezogener Daten muss (bei der Erhebung/vor der Verarbeitung!) informiert werden. Die Art und der Umfang dieser Informationspflicht ist gesetzlich vorgeschrieben. Grundsätzlich sind die Informationen nach Maßgabe des Art. 13 DS-GVO zu erteilen. Für den Fall, dass personenbezogene Informationen nicht bei der betroffenen Peron, sondern bei Dritten erhoben wurden, haben sich die Informationen hinsichtlich der jeweiligen Verarbeitung personenbezogener Daten nach Maßgabe des Art. 14 DS-GVO zu richten. Die Betroffenen sind mit den Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form aufzuklären (Art. 12, Art. 13, Art. 14 DS-GVO).

Dazu stehen Musterformulare für eine Datenschutzerklärung mit Hinweisen sowie einige Muster-Beispiele zur Verfügung. Dies Musterformulare müssen aber an die konkrete Verarbeitung angepasst werden. Angesichts der Vielzahl unterschiedlichster Sachverhalte ist es nicht möglich, eine allgemeingültige Datenschutzerklärung zu erstellen.

Alle Verarbeitungstätigkeiten personenbezogener Daten (bspw. Personalverwaltung, Studierendenverwaltung oder empirische Forschungsvorhaben mit personenbezogenen Daten) sind im sog. Verzeichnis der Verarbeitungstätigkeiten (VVT) zu dokumentieren (Art. 30 DS-GVO). Alle Bereiche der Universität Paderborn sind dafür zuständig, die bei ihnen stattfindenden Verarbeitungstätigkeiten im VVT zu dokumentieren und die Aktualität der Dokumentation regelmäßig zu überprüfen.

Hinweis: Die nach alter Rechtslage erstellten Verfahrensverzeichnisse sind entsprechend umzustellen.

Dazu stehen ein Musterformular und eine Ausfüllhilfe für das Erstellen der Dokumentation zur Verfügung. Bei Fragen zum Ausfüllen des VVT können die Datenschutzkoordinator*innen der einzelnen Bereiche der Universität weiterhelfen. Ihr ausgefülltes Verzeichnis von Verarbeitungstätigkeiten (VVT) stellen Sie bitte über die Datenschutzkoordinator*innen dem*der zentralen Datenschutzkoordinator*in sowie der Datenschutzbeauftragten zur Verfügung.

Die Verarbeitung personenbezogener Daten ist durch geeignete technische und organisatorische Maßnahmen (TOMs) gegen Bedrohungen und Gefahren zu schützen. Es ist ein dem Risiko angemessenes Schutzniveau zu gewährleisten. (Art. 32 DS-GVO). Gemäß Erwägungsgrund 39 DS-GVO gilt es zu verhindern, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie die Daten verarbeiten werden. Der Schutz bezieht sich nicht nur auf gezielte Eingriffe, sondern auch auf unbeabsichtigten Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung personenbezogener Daten. Die Festlegung der für eine Verarbeitung erforderlichen technische und organisatorischen sollte in enger Abstimmung mit der Informationssicherheit erfolgen, dazu gibt es wichtige Informationen zum Thema technische und organisatorische Maßnahmen (TOMs).

Auch eine rechtmäßige Verarbeitung personenbezogener Daten ist i. d. R. mit Risiken für die Betroffenen verbunden. Der Begriff des Risikos wird in der DS-GVO nicht definiert. Bezüge zum Begriff finden sich in den Erwägungsgründen 75 und 94 Satz 2 DS-GVO. Die deutschen Aufsichtsbehörden haben danach folgende Definition hergeleitet:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten“

Mögliche Schäden sind insbesondere:

Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung wirtschaftliche oder gesellschaftliche Nachteile, Erschwerung der Rechtsausübung und Ver-hinderung der Kontrolle durch betroffene Personen, Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten, Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte; körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten.

Ereignisse, die zu einer Verwirklichung des Schadens führen können, sind insbesondere:

Unbefugte oder unrechtmäßige Verarbeitung, Verarbeitung wider Treu und Glauben, für den Betroffenen intransparente Verarbeitung, unbefugte Offenlegung von und Zugang zu Daten, unbeabsichtigter Verlust, Zerstörung oder Schädigung von Daten, Verweigerung der Betroffenenrechte, Verwendung der Daten durch den Verantwortlichen zu inkompatiblen Zwecken, Verarbeitung nicht vorhergesehener Daten, Verarbeitung nicht richtiger Daten, Verarbeitung über die Speicherfrist hinaus

Für jede Verarbeitung sind Risiken:

  • zu identifizieren
  • Die Eintrittswahrscheinlichkeiten und Schwere möglicher Schäden abzuschätzen und
  • Eine Zuordnung zu Risikoabstufungen vorzunehmen

Wichtig: Eine Risikobeurteilung verlangt eine vollständige Beschreibung des der Datenverarbeitung zugrundeliegenden Sachverhalts.

Quelle: Der auf dieser Seite unter „Risikoorientierte Betrachtung der Verarbeitungsvorgänge“ vorangestellte Inhalt entspricht weitgehend dem DSK-Kurzpapier Nr. 18 („Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0).)

Risiken sind durch geeignete technische und organisatorische Maßnahmen einzudämmen. Bei sämtlichen Verarbeitungsvorgängen personenbezogener Daten ist zu prüfen, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Ist dies der Fall, muss die Universität eine sog. Datenschutz-Folgenabschätzung (DSFA) durchführen. Mit Hilfe der DSFA werden Risiken für die Rechte und Freiheiten natürlicher Personen nach einer spezifischen Vorgehensweise beschrieben, bewertet und eingedämmt werden sollen. Die Durchführung erfolgt durch die Universität und Heranziehung der*des Datenschutzbeauftragten und der Einbindung der betroffenen Person und ggf. einschlägigen Gremien.

Umgang mit hohen Restrisiken: Ergibt sich aus der Datenschutz-Folgenabschätzung für die Verarbeitung ein hohes Risiko und kann der Verarbeiter keine Maßnahmen zu Eindämmung dieses Risikos treffen, so ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 DS-GVO).

Die Richtigkeit der verarbeiteten personenbezogenen Daten ist für die betroffene Person von großer Bedeutung, da diese Grundlage für Entscheidungen im Zusammenhang mit der Datenverarbeitung ist. Bei jeder Ersterhebung und ggf. Speicherung von personenbezogenen Daten, ist zu prüfen, ob es Anhaltspunkte gibt, die gegen die Richtigkeit der personenbezogenen Daten sprechen. Unrichtigkeiten ist nachzugehen. Durch geeignete technische und organisatorische Maßnahmen ist außerdem sicherzustellen, dass auch Unrichtigkeiten auch später erkannt werden können. Betroffene Personen haben unterschiedliche Rechte die Richtigkeit zu kontrollieren und sicherzustellen (vgl. insb. Art. 15, 16, 17, 18, 21 DS-GVO).

Die Dauer der Speicherung personenbezogener Daten bemisst sich grundsätzlich nach der Zweckbindung der jeweiligen Datenverarbeitung. Sind die Daten zur Zweckerreichung nicht mehr notwendig, sind diese nach Maßgabe des Art. 17 DS-GVO zu löschen oder ggf. zu anonymisieren. Betroffene haben außerdem unterschiedliche Möglichkeiten, vom Recht auf Löschung nach Maßgabe des Art. 17 DS-GVO Gebrauch zu machen (bspw. Widerruf einer Einwilligungerklärung). Ob und inwieweit personenbezogene Daten aufzubewahren und tatsächlich zu löschen sind, ist abhängig von einer Einzelfallbeurteilung. Zu beachten sind vor allem gesetzliche Aufbewahrungspflichten, Vorgaben bspw. zur guten wissenschaftlichen Praxis sowie wie ggf. eine (anschließende) Abgabe an Archive. Archive sind gesondert gesetzlich geregelt. Über die konkreten Rahmenbedingungen zur Speicherung ist im Rahmen der Verarbeitung über die Datenschutzerklärung zu informieren. Auch datenschutzrechtliche Nachweise sind aufzubewahren (bspw. Einwilligungserklärungen, Geltendmachung von Rechten etc.). Grundsätzlich sind Nachweise solange aufzubewahren, wie personenbezogene Daten verarbeitet werden. Darüber hinaus bestehende unterschiedliche Gründe Nachweise noch eine Zeit lang aufzubewahren, um der Rechenschaftspflicht aus Art. 5 Abs. 2 der DS-GVO nachzukommen. Bitte beachten Sie die Vorgaben über Aufbewahrungsfristen der Universität Paderborn.

Die Universität muss gewährleisten, dass die von einer Verarbeitung ihrer personenbezogenen Daten betroffenen Personen ihre Rechte aus der DS-GVO wahrnehmen können, dies sind insbesondere:

Die Geltendmachung der unterschiedlichen Rechte unterliegt der Maßgabe der einzelnen Voraussetzungen der jeweiligen Vorschriften und ist damit hinsichtlich der Umsetzung abhängig von den jeweiligen Umständen des Einzelfalls.

Beschäftige haben auf alle Anfragen zur Rechtewahrnehmung von Betroffenen zu reagieren. Anfragen sind über die*den Vorgesetzte*n sowie den*die zentralen Datenschutzkoordinator*in und die*den Datenschutzbeauftragte*n zu beantworten.

Sowohl im Grundgesetz für die Bundesrepublik Deutschland (Art. 5 Abs. 3) als auch in der Charta der Grundrechte der Europäischen Union (Art. 13) wird die Freiheit der Forschung garantiert. Wissenschaftler*innen sind demnach frei in ihrer forschenden Fragestellung, im methodischen Vorgehen sowie in der Bewertung und Verbreitung der Forschungsergebnisse. Diese Freiheiten sind jedoch nur soweit garantiert, wie sie nicht mit anderen Grundrechten kollidieren oder gegen Gesetze verstoßen.

Werden im Rahmen der Forschung personenbezogene Daten verarbeitet, so können die grundrechtlich geschützten Interessen der Forschenden mit den grundrechtlich geschützten Interessen der Forschungsprobanden (Recht auf informationelle Selbstbestimmung aus Art. 2 Abs.1 i. V. m. Art. 1 Abs. 1 Grundgesetz und Recht auf Schutz personenbezogener Daten aus Art. 8 Grundrechtecharta) in Konflikt stehen. Mit spezifischen Regelungen zum Forschungsdatenschutz schafft der Gesetzgeber einen Ausgleich zu kollidierenden Grundrechten.

Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken wird dabei in Teilen privilegiert. Der Forschungsdatenschutz ist leider an keiner Stelle im Gesetz abschließend geregelt und insgesamt ein komplexes Thema.