Datenschutz-Team
Sehr geehrte Damen und Herren,
zu unseren Aufgaben als Datenschutz-Team (Datenschutzbeauftragter und Datenschutzreferent) gehören nach Art. 39 Abs. 1 Datenschutzgrundverordnung (DSGVO) u.a.
- die Unterrichtung und Beratung der Universität und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten,
- die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Strategien der Universität für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen und
- die Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO.
Nach Art. 12 Abs. 1 S. 1 Nr. 2 Bayerisches Datenschutzgesetz (BayDSG) soll das Datenschutz-Team Gelegenheit zur Stellungnahme erhalten, wenn es zum erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden, kommt. Um diese Gelegenheit zur Stellungnahme wahrnehmen zu können, sind wir auf eine rechtzeitige Zusendung der entsprechenden Unterlagen angewiesen. Bitte beachten Sie für Beschreibungen Ihrer Verarbeitungstätigkeiten die auf dieser Seite angebotenen Downloads und Hinweise.
Sie erreichen uns am besten per E-Mail an datenschutz@uni-augsburg.de. Beachten Sie aber bitte, dass E-Mails grundsätzlich unsicher sind. Schutzwürdige Nachrichten an uns sollten Sie daher verschlüsseln.
Grundlage unsererTätigkeit sind die Datenschutz-Grundverordnung (DSGVO) und das Bayerische Datenschutzgesetz (BayDSG). Wichtige bereichsspezifische Bestimmungen enthält das Bayerische Hochschulinnovationsgesetz (BayHIG).
Anregungen zur Verbesserung des Datenschutzes an der Universität Augsburg sind uns stets willkommen.
Mit freundlichen Grüßen
Ihr
Datenschutz-Team
Datenschutzvorfall
Wenn Sie uns einen Datenschutzvorfall melden möchten, schreiben Sie bitte eine Nachricht an datenschutzvorfall@uni-augsburg.de.
Downloads
Allgemeine Hinweise zur Beschreibung einer Verarbeitungstätigkeit
- Sie dienen der Erstellung eines internen Verzeichnisses der Verarbeitungstätigkeiten. Dieses Verzeichnis soll die Erfüllung materieller Anforderungen der Datenschutz-Grundverordnung (DSGVO) verfahrensrechtlich absichern (Datenschutz durch Verfahren). Es dient dem Landesdatenschutzbeauftragten als Ausgangspunkt seiner Kontrollmaßnahmen und soll eine vorläufige Rechtmäßigkeitsprüfung ermöglichen. Daneben soll es auch Transparenz herstellen und erhöhen, indem einzelne Schritte oder (Fehl-)Entwicklungen des Verarbeitungsvorgangs und seiner Steuerung nachvollziehbar gemacht werden.
- Sie ist nur für personenbezogene Daten erforderlich.
- Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
- Beispiele: Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Foto, Semesterzahl, Studiengang, Foto, Kontonummer.
- Auch pseudonymisierte Daten, z.B. Kennziffern, aus denen die betroffenen Personen indirekt bestimmbar werden, wie bspw. die Matrikelnummer gelten als personenbezogener Daten. Entsprechendes gilt für IP-Adressen.
- Anzugeben sind alle Verarbeitungstätigkeiten personenbezogener Daten, die ganz oder teilweise elektronisch (z.B. mit dem Rechner am Arbeitsplatz) erfolgen (z.B. Anlegen einer EXCEL-Liste, Einstellen von Fotos auf die Homepage).
- Auch händische Verarbeitungstätigkeiten sind anzugeben, soweit die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Diese Voraussetzung wird regelmäßig vorliegen, wenn eine strukturierte Verarbeitungstätigkeit schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird. Insbesondere die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwaltungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbeitungsverzeichnis.
- Nein. Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungstätigkeiten ausreichend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der „Verarbeitungstätigkeit“ umfasst also alle Verarbeitungsschritte, Vorgänge und Vorgangsreihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht erforderlich, zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe einen eigenen Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Verzeichniseintrag für die durch den Zweck gleichsam „verklammerte“ Verarbeitungstätigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur untergeordnete Hilfsfunktion haben und damit keinem eigenen neuen Zweck, sondern letztlich nur dem Zweck der eigentlichen Verarbeitungstätigkeit dienen, nicht gesondert aufgeführt werden.
- Es handelt sich um ein interaktives Formular mit zeilenbezogenen flexiblen Schreibfeldern. Die einzelnen Zeilen verbreitern sich automatisch entsprechend der Länge der Eintragungen.
- Bei den Schreibfeldern mit den laufenden Nummern (1. Spalte „Lfd. Nr.)“ ordnen Sie, beginnend mit 1, den entsprechenden Text der Nummer auf der Höhe der jeweiligen Textzeile zu.
- Das ausgefüllte Formular ist zu speichern und dann dem Datenschutz-Team zu übermitteln.
- Das Formular ist rechtzeitig vor Beginn der Verarbeitungstätigkeit oder deren wesentlicher Änderung zu übermitteln.
- Dies gilt entsprechend für den Einsatz einer Videoüberwachung.
- Das Formular ist per E-Mail ( datenschutz@uni-augsburg.de) zu übermitteln.
- Sie können hierfür den Hyperlink auf Seite 1 oben rechts des Formulars nutzen, müssen aber die Datei vorher lokal speichern.
- Das Datenschutz-Team hat nun die Gelegenheit, zu der beschriebenen Verarbeitungstätigkeit Stellung zu nehmen.
Konkrete Hinweise zur Beschreibung einer Verarbeitungstätigkeit
- Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein und den jeweiligen Zweck erkennen lassen.
- Das Aktenzeichen in Zeile 1 wird vom Datenschutz-Team vergeben. In Zeile 2 ist das Aktenzeichen der ursprünglichen Verarbeitungstätigkeit anzugeben. Bei mehreren wesentlichen Änderungen ist die zeitlich letzte Änderung in Bezug zu nehmen.
- Mit „Stand“ ist der Tag der Übermittlung des Formulars an das Datenschutz-Team gemeint. Bei wesentlich geänderten Verarbeitungstätigkeiten ist in Zeile 2 zusätzlich der Tag der Übermittlung des die ursprüngliche (bzw. die letzte wesentlich geänderte) Verarbeitungstätigkeit betreffenden Formulars an das Datenschutz-Team anzugeben.
- Unter „Beginn“ ist der geplante oder tatsächliche Beginn der Verarbeitung personenbezogener Daten oder der wesentlichen Änderung der Verarbeitungstätigkeit zu verstehen. Dabei ist schon die erstmalige Erhebung (bzw. Übertragung oder Speicherung) personenbezogener Daten relevant. Bei wesentlich geänderten Verarbeitungstätigkeiten ist in Zeile 2 zusätzlich der bei der ursprünglichen (bzw. der letzten geänderten) Verarbeitungstätigkeit angegebene Tag einzutragen.
- Als Verantwortlicher ist die Universität Augsburg voreingetragen. Das ist der Regelfall. Die Universität Augsburg ist auch verantwortlich, wenn z.B. ein Lehrstuhl eine Cloudlösung zum internen Dateiaustausch und zur Teamarbeit einsetzt. Denn der einzelne Lehrstuhl ist nicht rechtlich selbstständig. Anders verhält es sich z.B. dann, wenn eine Professorin oder ein Professor in Nebentätigkeit ohne öffentliches Interesse entgeltlich für einen Dritten arbeitet. Dann ist die Professorin oder der Professor als Selbstständige oder Selbstständiger verantwortliche Stelle. Die Organisationseinheit (Lehrstuhl, Referat usw.), innerhalb derer die Daten verantwortlich verarbeitet werden, ist unter Nr. 9 des Formulars anzugeben.
- „Weitere für die Verarbeitung Verantwortliche“ liegen vor, wenn weitere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Das ist z.B. der Fall, wenn Lehrstühle unterschiedlicher Hochschulen ein Projekt gemeinsam verfolgen. Ggfs. sind Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer des oder der weiteren Verantwortlichen anzugeben. Außerdem ist ein Kooperationsvertrag über die Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de) abzuschließen
- Der Zweck bzw. die Zwecke müssen möglichst genau beschrieben werden.
- Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4 Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbestände nach Art. 6 – bei besonderen Kategorien personenbezogener Daten i.V.m. Art. 9 DSGVO und Art. 8 BayDSG – in Betracht.
- Praktisch von besonderer Bedeutung als Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung der betroffenen Person). Die Willensbekundung muss freiwillig, in informierter Weise und unmissverständlich sowie durch Erklärung oder eine sonstige eindeutige bestätigende Handlung erfolgen. Die im Einzelfall relevanten Daten und Zwecke sind genau zu bezeichnen. Nur positive Einwilligungen („Ich willige darin ein, dass ....“) sind gültig. Ein „Opt out“ reicht nicht.
- Ebenso bedeutsam ist die Datenverarbeitung für die Erfüllung eines Vertrags einschließlich der Durchführung vorvertraglicher Maßnahmen, soweit diese erforderlich ist (Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO). Dies gilt z.B. für Beschäftigungsverhältnisse und deren Anbahnung durch Bewerbungsverfahren.
- Eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle wie die Universität Augsburg ist nach Art 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 S. 1 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG auch dann zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Nach Art. 2 Abs. 1 S. 2 Bayerisches Hochschulinnovationsgesetz (BayHIG), dienen Hochschulen wie die Universität Augsburg der Pflege und Entwicklung von Wissenschaft und Kunst durch Forschung, künstlerisches Schaffen, Lehre, Studium und Weiterbildung. Eine auf diese Bestimmungen gestützte Datenverarbeitung darf aber die Grundrechte der Betroffenen nicht in einem Maße einschränken, das über das absolut Notwendige hinausgeht (Grundsatz der Erforderlichkeit). Dabei ist auch zu prüfen, inwieweit Maßnahmen vorstellbar sind, die die Grundrechte weniger stark beeinträchtigen, den Zielen des Art. 2 Abs. 1 S. 2 BayHIG aber in ebenso wirksamer Weise dienen.
- Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vorname“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme auf beigefügte Beschreibungen von Datensätzen ist zulässig, wenn aus diesen die personenbezogenen Daten eindeutig hervorgehen.
- Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen sind, z.B. Bewerber um einen Studienplatz, Vertragspartner der Universität. Anzugeben sind auch Personengruppen innerhalb der öffentlichen Stellen, deren Daten verarbeitet werden, z.B. Beschäftigte der Universitätsverwaltung, Studierende der Rechtswissenschaft.
- Empfänger ist grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.
- Hierzu gehören inneruniversitäre Empfänger grundsätzlich nicht.
- Dagegen sind Personalrat und Studierendenvertretung als Empfänger anzusehen.
- Zu den Empfängern gehören daher auch Auftragsverarbeiter. Sollten Sie bei Ihrer Verarbeitung einen Auftragsverarbeiter einsetzen wollen, halten Sie bitte Rücksprache mit der Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de).
- Als Drittländer werden alle Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes bezeichnet. Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation sind die geeigneten Garantien in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf ergänzende Dokumente verwiesen werden.
- Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der „Speicherbegrenzung“). Gespeicherte Daten sind daher unverzüglich zu löschen, sobald sie für die Aufgabenerfüllung der Universität Augsburg nicht mehr erforderlich sind.
- Vorrangig sind fachgesetzliche Regelungen zu beachten (z.B. haushaltsrechtliche Aufbewahrungszeiten für die Buchführung, die Belege usw. gem. VV zu Art. 71 Bayerische Haushaltsordnung (BayHO); Art. 14 Abs. 1 i.V.m. Art. 13 Abs. 2 i.V.m. Art. 6 Abs. 1 S. 2 Bayerisches Archivgesetz (BayArchivG)).
- Über den eigentlichen Speicherungsanlass hinaus kann eine Speicherung auch zur Erfüllung von Dokumentationspflichten erforderlich sein.
- Anzugeben ist auch der Beginn der Löschungsfrist. Vor einer Löschung von Daten sind die archivrechtlichen Anbietungspflichten zu beachten.
- Hier geht es um Angaben zur Datensicherheit.
- Technische und organisatorische Maßnahmen (TOM) sollen die Vertraulichkeit, Integrität und Verfügbarkeit der bei der Datenverarbeitung eingesetzten Systeme und Dienste sicherstellen.
- Hierzu gehören z.B. die Sicherung des Zugangs zum Arbeitsplatzrechner durch Passwort, die Speicherung der Daten auf einem Netzlaufwerk (also nicht auf der Festplatte des Rechners) verbunden mit einem Hinweis auf die TOM unseres Rechenzentrums oder ein eigenes IT-Sicherheitskonzept.
- Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der Universität anzugeben, in der die Verarbeitungstätigkeit erfolgt (z.B. Lehrstuhl Professor Dr. X, Mail-Adresse, Telefonnummer).
- Eine Datenschutz-Folgenabschätzung wird nur bei sehr wenigen Verarbeitungstätigkeiten erforderlich sein.
- Die Kompetenz, etwas zu genehmigen, steht dem Datenschutz-Team von Gesetzes wegen nicht zu, es gibt allein eine Stellungnahme zur Verarbeitungstätigkeit ab.
Hinweise zu konkreten Verarbeitungstätigkeiten
Rechtsgrundlage
- Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO (Einwilligung)
- Die Kategorien der verarbeiteten personenbezogenen Daten in der Beschreibung der Verarbeitungstätigkeit, der Einwilligungserklärung und den Datenschutzhinweisen müssen übereinstimmen.
Führen des Interviews
- Wird das Interview über Videokonferenzplattformen (z.B. Zoom) geführt, muss bei den Kategorien der verarbeiteten personenbezogenen Daten auch die IP-Adresse angegeben werden (Rechtsprechung des EuGH: IP-Adresse als personenbezogenes Datum).
- Soll das Interview über eine Videokonferenzplattformen durchgeführt werden, empfiehlt sich Zoom, da die Universität mit Zoom bereits einen Auftragsverarbeitungsvertrag abgeschlossen hat.
Transkription
- Wird das Interview mit einer Software transkribiert, muss darauf geachtet werden, dass die Universität Augsburg mit dem Anbieter der Software einen Auftragsverarbeitungsvertrag abgeschlossen hat.
- Ansonsten empfiehlt es sich, die Transkription lokal auf dem eigenen PC durchführen zu lassen (z.B. mit der kostenlosen Software NoScribe oder aTrain).
Hinweis
- Die Frage, ob bei wissenschaftlichen Arbeiten – wie einer Seminar-, Bachelor-, Master-, Magister- oder Promotionsarbeitarbeit – auch der Datenschutzbeauftragte der Universität eingebunden werden muss, ist schon seit längerem Gegenstand eines internen Abstimmungsprozesses hier an der Universität. Unser Vorgänger im Amt, Herr Professor Gassner, hatte früher noch dahingehend informiert, dass eine Beteiligung des Datenschutzbeauftragten erforderlich ist. Nach weiteren Gesprächen mit der Rechtsstelle der Universität hat sich mittlerweile jedoch die Auffassung durchgesetzt, dass Sie selbst als Studierende beim Anfertigen von wissenschaftlichen Arbeiten für eine damit einhergehende Datenverarbeitung im datenschutzrechtlichen Sinne verantwortlich sind. Geboten ist diese Sichtweise schon deshalb, weil Studierende ihre wissenschaftlichen Arbeiten eigenständig schreiben müssen und daher auch die damit einhergehenden Arbeitsprozesse (wie etwa eine Datenverarbeitung) eigenverantwortlich durchführen müssen.
- Vor diesem Hintergrund muss uns auch keine Gelegenheit zu einer datenschutzrechtlichen Stellungnahme gegeben werden, da nicht die Universität, sondern Sie selbst für die Verarbeitungstätigkeiten im Zuge einer wissenschaftlichen Arbeit verantwortlich sind – und daher auch wir als Datenschutzteam der Universität nicht eingebunden werden müssen.
- Bitte beachten Sie aber, dass Sie selbst als datenschutzrechtlich Verantwortlicher im Rahmen des Anfertigens Ihrer wissenschaftlichen Arbeit das geltende Datenschutzrecht beachten und einhalten müssen.
- In Kürze werden wir auf unserer Webseite Hilfestellung geben, worauf man als für die Verarbeitung Verantwortlicher beim Anfertigen einer wissenschaftlichen Arbeit achten sollten.