In publica commoda

Datenschutzbeauftragter der Universität

Hinweis!

Aus gegebenem Anlass:

  • Empfängeradressen von Massen-E-Mails sind grundsätzlich in Bcc. zu setzen!
    Nur bei zwingendem dienstlichen Erfordernis kann davon abgewichen werden.
    Im Zweifelsfall fragen Sie gern bei uns nach.

  • Dropbox, WhatsApp, Doodle, die kostenlose Version von Skype und Mailserver außerhalb von Outlook sind im Dienstkontext für personenbezogene Daten nicht zugelassen!,
    da u.a. keine Auftragsverarbeitungsverträge bestehen.
    Auch andere Produkte solcher Arten sind an der Universität Göttingen grundsätzlich unzulässig, solange kein Auftragsverarbeitungsvertrag geschlossen werden kann, der frei verhandelt ist und allen Voraussetzungen des Art. 28 DSGVO gerecht wird. Zudem muss ein angemessenes Datenschutzniveau im Anbieterland sichergestellt sein. Ohne Auftragsverarbeitungsvertrag ist aber beispielsweise trotz Mitgliedschaft Googles im EU-US Privacy Shield ein Einsatz untersagt.
    Dies entspricht auch den Anordnungen der Aufsichtsbehörde.
    Bitte nutzen Sie daher statt Dropbox OwnCloud.
    Wenn unbedingt erforderlich, nehmen Sie als Messenger Threema (nur auf dem Diensthandy!) und halten dienstliche und private Kontakte getrennt. Vorzuziehen ist der GWDG Rocket Chat.
    Nutzen Sie bitte weder Google Forms noch Google Docs oder Google Drive für personenbezogene Daten!
    Für Terminumfragen und Videokonferenzen stehen DFN-Terminplaner ("Foodle") und die DFN-Konferenzsoftware ("DFNConf") bereit.
    Statt Skype sollte der GWDG Rocket Chat verwendet werden. In bestimmten Fällen kann die Nutzung von Skype for Business durch die zuständige Leitung Ihrer Einrichtung genehmigt werden.
    Dienstliche E-Mails dürfen nicht an private Mailaccounts gesendet oder auf privaten Endgeräten gespeichert werden. Nutzen Sie bitte die Outlook-Web-App (OWA, https://email.gwdg.de).



    Information für Externe: Handreichung zum Datenschutz an der Georg-August-Universität Göttingen (ohne UMG)

    Der Datenschutzbeauftragte der Universität unterstützt Sie bei folgenden Aufgaben:

    • Erstellung der Verzeichnisse über Verarbeitungstätigkeiten
    • Durchführung der Datenschutz-Folgenabschätzung
    • Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO
    • Wahrnehmung von Betroffenenrechten
    • Prüfung, ob die technischen Maßnahmen nach dem jeweiligen Stand der Technik getroffen sind, um eine den Vorschriften der DSGVO entsprechende Verarbeitung personenbezogener Daten sicherzustellen
    • Beteiligung bei der Vorbereitung von Dienstanweisungen oder Dienstvereinbarungen mit datenschutzrechtlichen Bezug einschließlich der Überwachung der Einhaltung dieser Bestimmungen
    • Schulung der bei der Verarbeitung personenbezogener Daten tätigen Personen in Grundfragen des Datenschutzes
    • Mitwirkung bei der Festlegung von Anforderungsprofilen für Arbeitsplätze, auf denen sensible personenbezogene Daten verarbeitet oder genutzt werden
    • Beratung in den Fragen der sicheren Aktenverwaltung, der informierenden und klaren Formulargestaltung, der datenschutzgerechten Vernichtung von Akten sowie der datenschutzgerechten Löschung von Dateien
    • Beratung und Kontrolle des Datenschutzes bei Forschungsvorhaben auf Anfrage
    • Mitwirkung in der Arbeitsgruppe IT-Sicherheit (AGITSI)
    • Mitwirkung gemäß verschiedener Dienstvereinbarungen zwischen Dienststelle und Personalrat (SAP/R3; Videoüberwachung etc.)




    Was ändert sich durch die Datenschutz-Grundverordnung zum 25.5.2018?

    Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
    An die Stelle der Verfahrensbeschreibung tritt die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. In dem Verzeichnis müssen sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein, also aus Forschung, Lehre, Studienverwaltung und allgemeiner Verwaltung. Auch Verfahren, die der Unterstützung der allgemeinen Bürotätigkeit dienen (Verfahren der Textverarbeitung, Führung von Adress- und Telefonverzeichnissen, etc.), sind zu dokumentieren.


    Datenschutz-Folgenabschätzung
    Die bisherige Vorabkontrolle wird durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) abgelöst. Diese ist durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogene Daten verursacht, insbesondere bei neuartigen Technologien. Zwingend vorgeschrieben ist eine Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 3 DSGVO z.B. bei Videoüberwachungsanlagen oder der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Daten über die ethnische Herkunft und Gewerkschaftszugehörigkeit).


    Informationspflichten der DSGVO
    Grundlegendes Prinzip der in der DSGVO verankerten Betroffenenrechte ist, dass die Betroffenen wissen, wer welche Daten zu welchem Zweck über sie erhebt und sie dadurch in die Lage versetzt werden, die Datenerhebung und -verarbeitung nachzuvollziehen und überprüfen zu können.

    Die neu aufgestellten Informationspflichten der Art. 13 und 14 DSGVO beinhalten:

    • Identität der/des Verantwortlichen
    • Kontaktdaten des Datenschutzbeauftragten
    • Verarbeitungszwecke und Rechtsgrundlage
    • Potenzielle Datenempfängerinnen und -empfänger
    • Ggf. Übermittlung in Drittstaaten
    • Dauer der Speicherung
    • Rechte der Betroffenen, vgl. Art. 15 – 21 DSGVO
    • Widerrufbarkeit von Einwilligungen
    • Beschwerderecht bei der Aufsichtsbehörde, vgl. Art. 77 DSGVO
    • Verpflichtung zur Bereitstellung personenbezogener Daten


    Bei Erhebung von personenbezogenen Daten aus anderen Quellen nach Art. 14 DSGVO muss die/der Verantwortliche auch die Quelle angeben, aus welcher die personenbezogenen Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt.

    Bei einer Direkterhebung ist die/der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung zu informieren. Diese Informationspflicht entfällt gem. Art. 13 Abs. 4 DSGVO, wenn die/der Betroffene bereits informiert wurde. Werden die Daten nicht bei der/dem Betroffenen erhoben, sind die Informationen nach Art. 14 Abs. 3 DSGVO innerhalb einer angemessenen Frist, spätestens nach einem Monat, zu erteilen.

    Die konkreten Verfahren zur Information sind noch differenziert auszuarbeiten. Als erster Schritt soll eine Mustererklärung erstellt werden, die über die Website des Datenschutzbeauftragten abrufbar ist.

    Hinweisblatt zu Art. 13 DSGVO


    Wahrnehmung von Betroffenenrechten
    Nach Art. 15 Abs. 1 DSGVO kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, welche Daten dies genau sind. Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Anfragen sind unverzüglich an den Datenschutzbeauftragten weiterzuleiten.

    Nach Art. 17 DSGVO müssen personenbezogene Daten auf Verlangen der betroffenen Person und/oder unter bestimmten Voraussetzungen ohne Verlangen der betroffenen Person eigenständig durch den Verantwortlichen unverzüglich gelöscht werden. Dies gilt insbesondere, wenn die Notwendigkeit der Verarbeitung zur Zweckerreichung entfallen ist und keine gesetzliche Aufbewahrungsfrist greift.

    Bei jeder Verarbeitung personenbezogener Daten ist zu eruieren, zu welchem Zweck die Datenverarbeitung erfolgt, welche Aufbewahrungsfrist zur Zweckerreichung notwendig ist und ob gesetzliche Aufbewahrungsfristen der Löschung nach Zweckerreichung entgegenstehen. Dies soll in einem Löschkonzept schriftlich festgehalten werden.


    Prozess für die Meldung von Datenschutzverstößen
    Nach Art. 33 Abs. 1 DSGVO ist die Universität Göttingen verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, die Verletzung binnen 72 Stunden nach ihrem Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden. Selbst wenn kein Risiko für die Rechte und Freiheiten von natürlichen Personen durch den Datenschutzverstoß zu erwarten ist, besteht eine Dokumentationspflicht für sämtliche Verletzungen des Schutzes personenbezogener Daten.

    Sämtliche Datenschutzverstöße und Sicherheitsvorfälle, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, sind unverzüglich dem Datenschutzbeauftragten und der Abteilung IT der Zentralverwaltung mitzuteilen. Hierfür soll eine zentrale E-Mail-Adresse eingerichtet werden: datenschutzvorfall@uni-goettingen.de

    Der Datenschutzbeauftragte wird dann im Zusammenwirken mit der Abteilung IT bewerten, welches Risiko für die Rechte und Freiheiten von Betroffenen vorliegt und welche Maßnahmen und Meldepflichten zu ergreifen sind.


    Technisch-organisatorischer Datenschutz und Nachweis der Datensicherheit
    Nach Art. 5 Abs. 2 DSGVO ist die Universität Göttingen verpflichtet, die technischen und organisatorischen Datensicherheitsmaßnahmen zu dokumentieren und nachzuweisen. Nach Art. 38 Abs. 1 DSGVO ist der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen" einzubinden. Bei der Entwicklung von IT-Systemen sind neben der Einbindung des Datenschutzbeauftragten ebenfalls die Grundsätze „data protection by design" (Datenschutz durch Technik) und „data protection by default" (datenschutzfreundliche Voreinstellungen) zwingend einzuhalten (Art. 25 DSGVO). Bei Fragen zum technischen Datenschutz ist daher der Datenschutzbeauftragte zu beteiligen. Die Kommunikation der IT-Sicherheit obliegt weiterhin dem zentralen IT-Sicherheitsbeauftragten der Universität Göttingen.