Auf dieser Seite möchten wir Sie für das Thema Datenschutz sensibilisieren und Sie über die verschiedenen Aspekte des Datenschutzes und der rechtlichen Bestimmungen aufklären. Wann immer Sie webbasierte Systeme betreiben (Webseiten, Blogs, Online-Formulare) müssen Sie auch die nachfolgenden Themen berücksichtigen.
Allgemeine Erläuterung zur EU-DSGVO
Ziel der DSGVO ist zum einen die Vereinheitlichung der bisherigen Datenschutzgesetze und zum anderen die Verstärkung des Schutzes personenbezogener Daten. Neue Regelungen wurden nur im Bereich von Transparenz und Betroffenenrechten getroffen.
Sie regelt die Erhebung, Speicherung, Verarbeitung und Löschung von personenbezogenen Daten, das Recht einer natürlichen Person auf Bestimmung der Nutzung ihrer personenbezogenen Daten und den Schutz dieser.
Die EU-DSGVO ist bereits am 25.05.2016 in Kraft getreten. Allerdings tritt sie erst jetzt, nach zweijähriger Übergangsfrist, am 25.05.2018 in Anwendung.
Was sind personenbezogene Daten?
Art.4 Nr.1 EU-DSGVO
Personenbezogene Daten sind alle Informationen mit deren Hilfe eine natürliche Person identifiziert werden kann, oder durch die sie identifizierbar wird. Eine natürliche Person ist direkt oder indirekt identifizierbar, wenn Sie mittels Zuordnung zu einer Kennung (z.B. Matrikelnummer) identifiziert werden kann.
Beispiel: Vorname, Nachname, Kleidergröße, Kontaktdaten, usw.
Was sind unsere rechtlichen Grundlagen?
Unsere rechtlichen Grundlagen sind:
- Europäische Datenschutzgrundverordnung (EU-DSGVO)
- Bundesdatenschutzgesetz – neue Fassung (BDSGneu)
- Berliner Datenschutzgesetz (BlnDSG)
- Berliner Hochschulgesetz (BerlHG)
- Archivgesetz Berlin (ArchGB)
- Studierendendatenverordnung (StudDatVO)
- Datenverarbeitungssatzung der HWR Berlin (DVS HWR Berlin)
Was versteht man unter Zweckbindung?
Art.5 Abs.1 lit.b EU-DSGVO
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht zu einem anderen Zweck weiterverarbeitet werden.
Wer sind Ansprechpersonen für den Datenschutz?
Unser Datenschutzbeauftragter ist derzeit wie folgt zu erreichen:
Klaus Hoogestraat (ITM Management & Consulting GmbH)
datenschutz[at]hwr-berlin.de
Sie finden zusätzlich in den Datenschutzhinweisen von Webdiensten auch die Verfahrensverantwortlichen und deren Kontaktmöglichkeiten.
Was sind die Betroffenenrechte?
Art.15 ff. EU-DSGVO
Die EU-DSGVO räumt den Betroffenen folgende Rechte ein:
- Informationsrecht
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Vergessen werden(Löschung)
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Wo findet man die Informationen zu dem jeweiligen System?
Detaillierte Informationen zu den Datenverarbeitungen der einzelnen Systeme können unserem Verarbeitungsverzeichnis auf Anfrage entnommen werden.
Des Weiteren finden Sie auf jedem unserer Webauftritte Hinweise zum Datenschutz, unter anderem werden Sie dort über die Erhebung von personenbezogenen Daten sowie Ihr Widerspruchsrecht in Kenntnis gesetzt.
Nach Art.15 EU-DSGVO haben Sie das Recht auf Auskunft über folgende Informationen bezüglich Ihrer personenbezogenen Daten:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
- geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
- Hinweis auf Ihr Widerspruchsrecht gegen diese Verarbeitung
- Hinweis auf Ihr Beschwerderecht bei der Aufsichtsbehörde
- Herkunft der Daten, soweit diese nicht bei Ihnen selbst erhoben wurden
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren
- werden personenbezogene Daten in Drittländer übermittelt, müssen die geeigneten Garantien in Zusammenhang mit der Übermittlung angegeben werden
Was macht das Verzeichnis über Verarbeitungstätigkeit?
Art. 30 EU-DSGVO
Es ist eine Sammlung aller Verarbeitungstätigkeiten eines Verantwortlichen mit mindestens folgenden Angaben:
- Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Kategorien der Betroffenen und der personenbezogenen Daten
- Kategorien von Empfängern (wenn vorhanden)
- Übersicht über Datenübermittlungen
- Löschfristen
- Technisch organisatorische Maßnahmen
Was ist Datensicherheit und wie wird sie gewährleistet?
Datensicherheit beschreibt den Schutz von allen analogen und digitalen Daten vor Sicherheitsrisiken wie z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme. Gewährleistung erfolgt durch geeignete technische und organisatorische Maßnahmen.
Beispiel: Wie sorge ich dafür, dass nur befugte Mitarbeitende an die Daten über den Familienstand der Studierenden gelangen?
Antwort: durch Benutzerkennung und Passwort, Rechtevergabe für entsprechende Laufwerke, Verschlüsselungen, Backups, etc.
Technische und organisatorische Maßnahmen (kurz: TOM’s) sind Bestimmungen zur Gewährleistung eines angemessenen Schutzniveaus der Rechte und Freiheiten natürlicher Personen in Bezug auf ihre verarbeiteten Daten, wie zum Beispiel Pseudonymisierung oder Evaluationen.
Was mache ich, wenn eine neue Software eingeführt werden soll?
Zunächst ist zu beurteilen, ob eine Verarbeitung von personenbezogenen Daten durchgeführt wird und die Zweckbindung gegeben ist. Sollte dies der Fall sein, ist vorab eine Datenschutzfolgeabschätzung durchzuführen. Dabei ist der Rat der/s Datenschutzbeauftragten einzuholen.
Sollte dies nicht der Fall sein ist der gängige Verfahrensweg einzuschlagen.
Was ist eine Datenschutzfolgeabschätzung?
Art. 35 Abs.1 EU-DSGVO
Sie dient der Abschätzung von Risiken vorgesehener Verarbeitungsvorgänge für den Schutz personenbezogener Daten. So sollen Eingriffe in die Rechte des Betroffenen schon vorab verhindert werden.