• Sie dienen der Erstellung eines internen Verzeichnisses der Verarbeitungstätigkeiten. Dieses Verzeichnis soll die Erfüllung materieller Anforderungen der Datenschutz-Grundverordnung (DSGVO) verfahrensrechtlich absichern (Datenschutz durch Verfahren). Es dient dem Landesdatenschutzbeauftragten als Ausgangspunkt seiner Kontrollmaßnahmen und soll eine vorläufige Rechtmäßigkeitsprüfung ermöglichen. Daneben soll es auch Transparenz herstellen und erhöhen, indem einzelne Schritte oder (Fehl-)Entwicklungen des Verarbeitungsvorgangs und seiner Steuerung nachvollziehbar gemacht werden.

• Sie ist nur für personenbezogene Daten erforderlich.
• Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
• Beispiele: Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Foto, Semesterzahl, Studiengang, Foto, Kontonummer.
• Auch pseudonymisierte Daten, z.B. Kennziffern, aus denen die betroffenen Personen indirekt bestimmbar werden, wie bspw. die Matrikelnummer gelten als personenbezogener Daten. Entsprechendes gilt für IP-Adressen.

• Anzugeben sind alle Verarbeitungstätigkeiten personenbezogener Daten, die ganz oder teilweise elektronisch (z.B. mit dem Rechner am Arbeitsplatz) erfolgen (z.B. Anlegen einer EXCEL-Liste, Einstellen von Fotos auf die Homepage).
• Auch händische Verarbeitungstätigkeiten sind anzugeben, soweit die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Diese Voraussetzung wird regelmäßig vorliegen, wenn eine strukturierte Verarbeitungstätigkeit schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird. Insbesondere die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwaltungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbeitungsverzeichnis.

• Nein. Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungstätigkeiten ausreichend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der „Verarbeitungstätigkeit“ umfasst also alle Verarbeitungsschritte, Vorgänge und Vorgangsreihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht erforderlich, zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe einen eigenen Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Verzeichniseintrag für die durch den Zweck gleichsam „verklammerte“ Verarbeitungstätigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur untergeordnete Hilfsfunktion haben und damit keinem eigenen neuen Zweck, sondern letztlich nur dem Zweck der eigentlichen Verarbeitungstätigkeit dienen, nicht gesondert aufgeführt werden.

• Es handelt sich um ein interaktives Formular mit zeilenbezogenen flexiblen Schreibfeldern. Die einzelnen Zeilen verbreitern sich automatisch entsprechend der Länge der Eintragungen.
• Bei den Schreibfeldern mit den laufenden Nummern (1. Spalte „Lfd. Nr.)“ ordnen Sie, beginnend mit 1, den entsprechenden Text der Nummer auf der Höhe der jeweiligen Textzeile zu.

• Das ausgefüllte Formular ist zu speichern und dann dem Datenschutz-Team zu übermitteln.

• Das Formular ist rechtzeitig vor Beginn der Verarbeitungstätigkeit oder deren wesentlicher Änderung zu übermitteln.
• Dies gilt entsprechend für den Einsatz einer Videoüberwachung.

• Das Formular ist per E-Mail ( datenschutz@uni-augsburg.de) zu übermitteln.
• Sie können hierfür den Hyperlink auf Seite 1 oben rechts des Formulars nutzen, müssen aber die Datei vorher lokal speichern.

• Das Datenschutz-Team wird zu der beschriebenen Verarbeitungstätigkeit Stellung nehmen.

• Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein und den jeweiligen Zweck erkennen lassen.
• Das Aktenzeichen in Zeile 1 wird vom Datenschutz-Team vergeben. In Zeile 2 ist das Aktenzeichen der ursprünglichen Verarbeitungstätigkeit anzugeben. Bei mehreren wesentlichen Änderungen ist die zeitlich letzte Änderung in Bezug zu nehmen.
• Mit „Stand“ ist der Tag der Übermittlung des Formulars an das Datenschutz-Team gemeint. Bei wesentlich geänderten Verarbeitungstätigkeiten ist in Zeile 2 zusätzlich der Tag der Übermittlung des die ursprüngliche (bzw. die letzte wesentlich geänderte) Verarbeitungstätigkeit betreffenden Formulars an das Datenschutz-Team anzugeben.
• Unter „Beginn“ ist der geplante oder tatsächliche Beginn der Verarbeitung personenbezogener Daten oder der wesentlichen Änderung der Verarbeitungstätigkeit zu verstehen. Dabei ist schon die erstmalige Erhebung (bzw. Übertragung oder Speicherung) personenbezogener Daten relevant. Bei wesentlich geänderten Verarbeitungstätigkeiten ist in Zeile 2 zusätzlich der bei der ursprünglichen (bzw. der letzten geänderten) Verarbeitungstätigkeit angegebene Tag einzutragen.
• Als Verantwortlicher ist die Universität Augsburg voreingetragen. Das ist der Regelfall. Die Universität Augsburg ist auch verantwortlich, wenn z.B. eine Studentin oder ein Student personenbezogene Daten im Rahmen einer Studienarbeit erhebt oder ein Lehrstuhl eine Cloudlösung zum internen Dateiaustausch und zur Teamarbeit einsetzt. Denn der einzelne Lehrstuhl ist nicht rechtlich selbstständig. Anders verhält es sich z.B. dann, wenn eine Professorin oder ein Professor in Nebentätigkeit ohne öffentliches Interesse entgeltlich für einen Dritten arbeitet. Dann ist die Professorin oder der Professor als Selbstständige oder Selbstständiger verantwortliche Stelle. Die Organisationseinheit (Lehrstuhl, Referat usw.), innerhalb derer die Daten verantwortlich verarbeitet werden, ist unter Nr. 9 des Formulars anzugeben.
• „Weitere für die Verarbeitung Verantwortliche“ liegen vor, wenn weitere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Das ist z.B. der Fall, wenn Lehrstühle unterschiedlicher Hochschulen ein Projekt gemeinsam verfolgen. Ggfs. sind Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer des oder der weiteren Verantwortlichen anzugeben. Außerdem ist ein Kooperationsvertrag über die Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de) abzuschließen

• Der Zweck bzw. die Zwecke müssen möglichst genau beschrieben werden.
• Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4 Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbestände nach Art. 6 – bei besonderen Kategorien personenbezogener Daten i.V.m. Art. 9 DSGVO und Art. 8 BayDSG – in Betracht.
• Praktisch von besonderer Bedeutung als Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung der betroffenen Person). Die Willensbekundung muss freiwillig, in informierter Weise und unmissverständlich sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erfolgen. Die im Einzelfall relevanten Daten und Zwecke sind genau zu bezeichnen. Nur positive Einwilligungen („Ich willige darin ein, dass ....“) sind gültig. Ein „Opt out“ reicht nicht.
• Ebenso bedeutsam ist die Datenverarbeitung für die Erfüllung eines Vertrags einschließlich der Durchführung vorvertraglicher Maßnahmen, soweit diese erforderlich ist (Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO). Dies gilt z.B. für Beschäftigungsverhältnisse und deren Anbahnung durch Bewerbungsverfahren.
• Eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle wie die Universität Augsburg ist nach Art 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 S. 1 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG auch dann zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Nach Art. 2 Abs. 1 S. 2 Bayerisches Hochschulinnovationsgesetz (BayHIG), dienen Hochschulen wie die Universität Augsburg der Pflege und Entwicklung von Wissenschaft und Kunst durch Forschung, künstlerisches Schaffen, Lehre, Studium und Weiterbildung. Eine auf diese Bestimmungen gestützte Datenverarbeitung darf aber die Grundrechte der Betroffenen nicht in einem Maße einschränken, das über das absolut Notwendige hinausgeht (Grundsatz der Erforderlichkeit). Dabei ist auch zu prüfen, inwieweit Maßnahmen vorstellbar sind, die die Grundrechte weniger stark beeinträchtigen, den Zielen des Art. 2 Abs. 1 S. 2 BayHIG aber in ebenso wirksamer Weise dienen.

• Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vorname“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme auf beigefügte Beschreibungen von Datensätzen ist zulässig, wenn aus diesen die personenbezogenen Daten eindeutig hervorgehen.

• Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen sind, z.B. Bewerber um einen Studienplatz, Vertragspartner der Universität. Anzugeben sind auch Personengruppen innerhalb der öffentlichen Stellen, deren Daten verarbeitet werden, z.B. Beschäftigte der Universitätsverwaltung, Studierende der Rechtswissenschaft.

• Empfänger ist grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.
• Hierzu gehören inneruniversitäre Empfänger grundsätzlich nicht.
• Dagegen sind Personalrat und Studierendenvertretung als Empfänger anzusehen.
• Zu den Empfängern gehören daher auch Auftragsverarbeiter. Sollten Sie bei Ihrer Verarbeitung einen Auftragsverarbeiter einsetzen wollen, halten Sie bitte Rücksprache mit der Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de).

• Als Drittländer werden alle Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes bezeichnet. Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation sind die geeigneten Garantien in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf ergänzende Dokumente verwiesen werden.

• Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der „Speicherbegrenzung“). Gespeicherte Daten sind daher unverzüglich zu löschen, sobald sie für die Aufgabenerfüllung der Universität Augsburg nicht mehr erforderlich sind.
• Vorrangig sind fachgesetzliche Regelungen zu beachten (z.B. haushaltsrechtliche Aufbewahrungszeiten für die Buchführung, die Belege usw. gem. VV zu Art. 71 Bayerische Haushaltsordnung (BayHO); Art. 14 Abs. 1 i.V.m. Art. 13 Abs. 2 i.V.m. Art. 6 Abs. 1 S. 2 Bayerisches Archivgesetz (BayArchivG)).
• Über den eigentlichen Speicherungsanlass hinaus kann eine Speicherung auch zur Erfüllung von Dokumentationspflichten erforderlich sein.
• Anzugeben ist auch der Beginn der Löschungsfrist. Vor einer Löschung von Daten sind die archivrechtlichen Anbietungspflichten zu beachten.

• Hier geht es um Angaben zur Datensicherheit.
• Technische und organisatorische Maßnahmen (TOM) sollen die Vertraulichkeit, Integrität und Verfügbarkeit der bei der Datenverarbeitung eingesetzten Systeme und Dienste sicherstellen.
• Hierzu gehören z.B. die Sicherung des Zugangs zum Arbeitsplatzrechner durch Passwort, die Speicherung der Daten auf einem Netzlaufwerk (also nicht auf der Festplatte des Rechners) verbunden mit einem Hinweis auf die TOM unseres Rechenzentrums oder ein eigenes IT-Sicherheitskonzept.

• Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der Universität anzugeben, in der die Verarbeitungstätigkeit erfolgt (z.B. Lehrstuhl Professor Dr. X, Mail-Adresse, Telefonnummer).

• Eine Datenschutz-Folgenabschätzung wird nur bei sehr wenigen Verarbeitungstätigkeiten erforderlich sein.

• Die Kompetenz, etwas zu genehmigen, steht dem Datenschutz-Team von Gesetzes wegen nicht zu, es gibt allein eine Stellungnahme zur Verarbeitungstätigkeit ab.

Rechtsgrundlage

• Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO (Einwilligung)
• Die Kategorien der verarbeiteten personenbezogenen Daten in der Beschreibung der Verarbeitungstätigkeit, der Einwilligungserklärung und den Datenschutzhinweisen müssen übereinstimmen.

Führen des Interviews

• Wird das Interview über Videokonferenzplattformen (z.B. Zoom) geführt, muss bei den Kategorien der verarbeiteten personenbezogenen Daten auch die IP-Adresse angegeben werden (Rechtsprechung des EuGH: IP-Adresse als personenbezogenes Datum).
• Soll das Interview über eine Videokonferenzplattformen durchgeführt werden, empfiehlt sich Zoom, da die Universität mit Zoom bereits einen Auftragsverarbeitungsvertrag abgeschlossen hat.

Transkription

• Wird das Interview mit einer Software transkribiert, muss darauf geachtet werden, dass die Universität Augsburg mit dem Anbieter der Software einen Auftragsverarbeitungsvertrag abgeschlossen hat.
• Ansonsten empfiehlt es sich, die Transkription lokal auf dem eigenen PC durchführen zu lassen (z.B. mit der kostenlosen Software NoScribe oder aTrain).