Ab dem 25. Mai 2018 ist im Bereich der Europäischen Union für datenschutzrechtliche Belange die Europäische Datenschutz-Grundverordnung (DSGVO) einschlägig, im folgenden erhalten Sie einen Überblick über die wichtigsten Bergriffe.

Bei Fragen hierzu wenden Sie sich an Stefan Wettengel.

An die Stelle der Verfahrensbeschreibung tritt die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. In dem Verzeichnis müssen sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein, also aus Forschung, Lehre, Studienverwaltung und allgemeiner Verwaltung.

Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) abgelöst. Diese ist durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogene Daten verursacht, insbesondere bei neuartigen Technologien. Zwingend vorgeschrieben ist eine Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 3 DSGVO z.B. bei Videoüberwachungsanlagen oder der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten.

Klaus Baumann

Datenschutzbeauftragter

Rechts- und Grundsatzangelegenheiten des Datenschutzes

Büro: Sanderring 2, Zimmer 102 (EG)

Tel. 0931/31-88131 oder 0931/31-85856
Fax 0931/31-86880

datenschutz@uni-wuerzburg.de

siehe auch: Justiziariat

Grundlegendes Prinzip der in der DSGVO verankerten Betroffenenrechte ist, dass die Betroffenen wissen, wer welche Daten zu welchem Zweck über sie erhebt und sie dadurch in die Lage versetzt werden, die Datenerhebung und -verarbeitung nachzuvollziehen und überprüfen zu können.

Die neu aufgestellten Informationspflichten der Art. 13 und 14 DSGVO beinhalten:

• Identität der/des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Verarbeitungszwecke und Rechtsgrundlage
• Potenzielle Datenempfängerinnen und -empfänger
• Ggf. Übermittlung in Drittstaaten
• Dauer der Speicherung
• Rechte der Betroffenen, vgl. Art. 15 – 21 DSGVO
• Widerrufbarkeit von Einwilligungen
• Beschwerderecht bei der Aufsichtsbehörde, vgl. Art. 77 DSGVO
• Verpflichtung zur Bereitstellung personenbezogener Daten

Bei Erhebung von personenbezogenen Daten aus anderen Quellen nach Art. 14 DSGVO muss die/der Verantwortliche auch die Quelle angeben, aus welcher die personenbezogenen Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt.

Bei einer Direkterhebung ist die/der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung zu informieren. Diese Informationspflicht entfällt gem. Art. 13 Abs. 4 DSGVO, wenn die/der Betroffene bereits informiert wurde. Werden die Daten nicht bei der/dem Betroffenen erhoben, sind die Informationen nach Art. 14 Abs. 3 DSGVO innerhalb einer angemessenen Frist, spätestens nach einem Monat, zu erteilen.

Die konkreten Verfahren zur Information sind noch differenziert auszuarbeiten. Als erster Schritt soll eine Mustererklärung erstellt werden, die über die Website des Datenschutzbeauftragten abrufbar ist.

Nach Art. 15 Abs. 1 DSGVO kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, welche Daten dies genau sind. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Anfragen sind unverzüglich an den Datenschutzbeauftragten weiterzuleiten.

Nach Art. 17 DSGVO müssen personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden. Dies gilt insbesondere, wenn die Notwendigkeit der Verarbeitung zur Zweckerreichung entfallen ist und keine gesetzliche Aufbewahrungsfrist greift.

Bei jeder Verarbeitung personenbezogener Daten ist zu eruieren, zu welchem Zweck die Datenverarbeitung erfolgt, welche Aufbewahrungsfrist zur Zweckerreichung notwendig ist und ob gesetzliche Aufbewahrungsfristen der Löschung nach Zweckerreichung entgegenstehen. Dies soll in einem Löschkonzept schriftlich festgehalten werden.

Nach Art. 33 Abs. 1 DSGVO ist die Universität Würzburg verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, die Verletzung binnen 72 Stunden nach ihrem Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden. Selbst wenn kein Risiko für die Rechte und Freiheiten von natürlichen Personen durch den Datenschutzverstoß zu erwarten ist, besteht eine Dokumentationspflicht für sämtliche Verletzungen des Schutzes personenbezogener Daten.

Sämtliche Datenschutzverstöße und Sicherheitsvorfälle, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, sind unverzüglich dem Datenschutzbeauftragten  mitzuteilen.

Der Datenschutzbeauftragte wird dann im Zusammenwirken mit den Abteilungen bewerten, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt und welche Maßnahmen und Meldepflichten zu ergreifen sind.

Nach Art. 5 Abs. 2 DSGVO ist die Universität Würzburg verpflichtet, die technischen und organisatorischen Datensicherheitsmaßnahmen zu dokumentieren und nachzuweisen. Nach Art. 38 Abs. 1 DSGVO ist der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen" einzubinden. Bei der Entwicklung von IT-Systemen sind neben der Einbindung des Datenschutzbeauftragten ebenfalls die Grundsätze „data protection by design" (Datenschutz durch Technik) und „data protection by default" (datenschutzfreundliche Voreinstellungen) zwingend einzuhalten (Art. 25 DSGVO). Bei Fragen zum technischen Datenschutz ist daher der Datenschutzbeauftragte zu beteiligen.

• Informationen zur Video-Überwachung
• Prüfschema "Videoüberwachung" zur Vorlage beim Datenschutzbeauftragung

Der 26. Bericht über die Tätigkeit des Landesbeauftragten für den Datenschutz für den Zeitraum 2013/2014 kann in der Datenschutzstelle während der üblichen Öffnungszeiten eingesehen werden.