?Bei einem Versto? droht Schadenersatz gegenüber den Betroffenen“
Foto: Pixabay.com
Ab 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung der Europ?ischen Union (EU-DSGVO). Sowohl für Beh?rden und Unternehmen als auch für Privatpersonen bringt sie viele ?nderungen im Vergleich zur bisherigen Rechtslage mit sich. Ziel der 99 Artikel ist ein einheitliches Datenschutzrecht innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollm?glichkeiten derjenigen gest?rkt werden, deren personenbezogene Daten verarbeitet werden (Betroffene). Die Auswirkungen für die Mitglieder der Humboldt-Universit?t zu Berlin (HU) erkl?rt die beh?rdliche Datenschutzbeauftragte, Gesine Hoffmann-Holland.
Was ist die DSGVO genau?
Die DSGVO entwickelt den Datenschutz fort und stützt sich dabei auf? bew?hrte Grundprinzipien. So bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Diese kann auch in der Einwilligung der Betroffenen bestehen. Die Prinzipien der Datenminimierung, der Erforderlichkeit, der Zweckbindung und der Transparenz sind ma?geblich. Die DSGVO bringt umfassende Informations- und Nachweispflichten mit sich. Die Verantwortlichen müssen nicht nur sicherstellen, dass sie alle Vorgaben der DSGVO erfüllen, sondern dies zudem auch nachweisen k?nnen. Das ist die sogenannte Rechenschaftspflicht.
Welche Abteilungen der HU sind betroffen?
Von der DSGVO sind alle Stellen der HU betroffen, die personenbezogene Daten verarbeiten.
Was sind personenbezogene Daten?
Nach Art. 4 Nr. 1 DSGVO sind ?personenbezogene Daten“ ?alle 三亿体育·(中国)官方网站, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit?t dieser natürlichen Person sind, identifiziert werden kann.“
Was hei?t das genau?
Ein personenbezogenes Datum ist im Prinzip jede Information, die einer identifizierten oder identifizierbaren Person zugeordnet werden kann, das hei?t,? es muss nicht zwangsl?ufig ein k?rperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt. Eine Person kann ohne Namensangabe identifizierbar sein. Auch Daten, über die sich ein Personenbezug herstellen l?sst, sind als personenbezogene Daten anzusehen, beispielsweise Kfz-Kennzeichen, Kontonummern, Rentenversicherungsnummern oder Matrikelnummern.
Wie kann man das feststellen?
Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten nach Erw?gungsgrund 26 DSGVO alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei kommt es darauf an, ob es wahrscheinlich ist, dass die Daten mit den zur Verfügung stehenden Mitteln und unter Berücksichtigung verfügbarer Technologie und technologischer Entwicklungen sowie von Zeit- und Kostenaufwand einer bestimmten Person zugeordnet werden k?nnen.
Welche Probleme, Anforderungen ergeben sich in der Praxis einer Universit?t?
Die Probleme und Anforderungen sind vielschichtig. Vordringlich ist, dass jede Stelle der HU, die personenbezogene Daten verarbeitet, ihre jeweiligen Verarbeitungst?tigkeiten listet und dafür das entsprechende Formular für das Verzeichnis von Verarbeitungst?tigkeiten ausfüllt. Dies gilt für Auftragsverarbeiter entsprechend.
Die DSGVO st?rkt die Betroffenenrechte. Kernstück sind dabei Transparenz und Information. Stillschweigen, vorab angekreuzte K?stchen oder Unt?tigkeit der betroffenen Person k?nnen in Zukunft keine Einwilligung mehr darstellen, sogenannte opt-out-L?sungen sind nicht mehr zul?ssig, sie müssen durch opt-in-L?sungen ersetzt werden. Die Einwilligung muss durch eine ?eindeutige best?tigende Handlung“ erkl?rt werden und darf jederzeit für die Zukunft widerrufen werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Die Information einschlie?lich Verantwortlichkeiten und Ansprechpartner für die Betroffenenrechte muss klar und umfassend sein. Mindestangaben zur DSGVO-konformen Einwilligung im Hochschulbereich sind auf unseren Internetseiten aufgelistet. Verletzungen des Schutzes personenbezogener Daten, wie etwa Datenlecks oder andere ?Datenschutz-Unf?lle“, sind unverzüglich und m?glichst binnen 72 Stunden der Aufsichtsbeh?rde und der betroffenen Person mitzuteilen.
Wer kontrolliert die Umsetzung der Verordnung?
Neben der Kontrollt?tigkeit der internen Datenschutzbeauftragten kontrollieren die Aufsichtsbeh?rden die Umsetzung der Verordnung. Für die Berliner Universit?ten ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit zust?ndig.
Was droht bei einem Versto??
Bei einem Versto? gegen die DSGVO drohen – neben dem ?ffentlichen Ansehensverlust – Schadenersatz gegenüber den Betroffenen und zudem Verwarnungen, Anweisungen, Verarbeitungsverbote und Anordnungen sowie die Verh?ngung von Geldbu?en seitens der Aufsichtsbeh?rde.
Wie unterstützen die Datenschutzbeauftragten der HU bei der Umsetzung?
Die Datenschutzbeauftragten stehen den Verantwortlichen und Betroffenen in allen Fragen des Datenschutzes beratend zur Seite. So beraten wir bei der Erstellung von Datenschutzkonzepten, Informationsschriften und Einwilligungserkl?rungen, leisten Hilfestellungen zur Anfertigung des Verfahrensverzeichnisses, informieren über Rechtsgrundlagen und geeignete Ma?nahmen zum Datenschutz. Darüber hinaus bieten wir im Rahmen der beruflichen Weiterbildung auch Fortbildungen im Bereich Datenschutz an.
Die Fragen stellte Ljiljana Nikolic