Datenschutz und Veranstaltungen 14.1.2019

Grundrecht auf Datenschutz Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten Alles was nicht erlaubt ist, ist verboten 14.1.2019

Rechtliche Grundlagen Datenschutz ab dem 25.05.2018 Datenschutzgrundverordnung – DSGVO (EU-weit) Datenschutzgesetz – DSG (Österreich) Forschungsorganisationsgesetz FOG (Österreich) 14.1.2019

Verarbeitung …..das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung…… Beispiele: Erstellung einer Kundendatei, Aufnahme von Daten zur Erstellung einer Rechnung, Mitarbeiterdatenbank, Einscannen eines Aktes, Erfassen der Ausleihe eines Buches, Änderung eines Datensatzes 14.1.2019

Personenbezogene Daten ….alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen…. Beispiele : Name, Adresse, Geburtsdatum, Standortdaten, Kennnummer, Bankdatum, Aufzeichnung von Arbeitszeiten, Kfz-Kennzeichen, Aussehen, Gang, IP-Adresse 14.1.2019

Grundsätze für die Verarbeitung von personenbezogenen Daten Rechtmäßigkeit, Fairness (nach „Treu und Glauben“) und Transparenz Zweckbindung – festgelegte, eindeutige und rechtmäßige Zwecke Datenminimierung Speicherbegrenzung – nur solange Speicherung wie für den Zweck erforderlich Integrität und Vertraulichkeit – organisatorische und technische Maßnahmen zum Schutz der Daten Richtigkeit – sachrichtig und aktuell Rechenschaftspflicht – diese Grundsätze müssen eingehalten werden, muss auch nachgewiesen werden können 14.1.2019

Informationspflichten Dem_der Betroffenen sind gewisse Informationen über die Datenverarbeitung zukommen zu lassen 14.1.2019

Datenschutzinformation 14.1.2019

Akteure Verantwortliche_r: die natürliche oder juristische Person oder Behörde, die über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Auftragsverarbeiter_in: eine natürliche oder juristische Person die personenbezogene Daten im Auftrag des_der Verantwortlichen verarbeitet Betroffene_r: identifizierte oder identifizierbare Person auf die sich Informationen beziehen 14.1.2019

Betroffenenrechte Auskunftsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht 14.1.2019

Data Breach / Datenschutzvorfall Verletzung des Schutzes personenbezogener Daten Ist zu melden bei Aufsichtsbehörden und bei Betroffenen – es gelten dabei strenge Fristen Meldung durch / in enger Abstimmung mit dem_der Datenschutzbeauftragten 14.1.2019

Data Breach / Datenschutzvorfall 14.1.2019

Data Breach / Datenschutzvorfall Sofort an TU.it melden unter phishing@tuwien.ac.at bzw. security@tuwien.ac.at plus: Meldung an datenschutz@tuwien.ac.at mit der Info, ob durch Passworteingabe auch Zugang zu anderen Daten möglich war (Mailbox, Cloud,..!, ev. Meldepflicht an Behörde oder Betroffene) 14.1.2019

Veranstaltungen Konferenzen, Tagungen Seminare (für TU Mitarbeiter_innen, für externe Teilnehmer_innen) Sponsionen, Promotionen, Emeritierungsfeiern, goldenes Diplom Ehrungen diverse TU interne Veranstaltungen Exkursionen im Rahmen von Lehrveranstaltungen 14.1.2019

Personebezogene Daten???? Was? Wofür? Wer? Wie lange? Warum? 14.1.2019

Was? Welche Daten werden benötigt? Werden besondere (sensible) Daten erhoben? Name, E-Mail, wiss. Einrichtung, … Nahrungsunverträglichkeiten, … 14.1.2019

Wofür? Wofür werden die Daten benötigt? Werden Kontaktdaten nur einmalig benötigt oder auch für Folgeveranstaltungen? Gibt es nur eine Veranstaltung oder auch noch begleitende Veranstaltungen? Sollen Kontaktdaten für weitere Zwecke erhoben werden? 14.1.2019

Wie lange? Wie lange werden die Daten benötigt? Aufbewahrungsfristen Löschfristen 14.1.2019

Wer? Wer hat Zugang zu den Daten, wer arbeitet mit den Daten, wer benötigt die Daten? Wird die Veranstaltung im Haus organisiert oder mit externer Unterstützung? „Dritte“ (nicht TU) benötigen in der Regel einen Auftragsverarbeitervertrag Möglichst keine Übermittlung an Empfänger_innen außerhalb der EU   14.1.2019

Warum? Warum werden die Daten verarbeitet? Grundlage für die Datenverarbeitung Rechtliche Verpflichtung? Vertragserfüllung? Berechtigtes Interesse? Einwilligung?   14.1.2019

Warum? Beispiele für rechtliche Verpflichtung § 2 UG: Leitende Grundsätze Zusammenwirken der Universitätsangehörigen Nationale und internationale Mobilität der Studierenden, der Absolvent_innen, des wiss. und künst. Universitätspersonals § 3 UG: Aufgaben: Unterstützung der nationalen und internationalen Zusammenarbeit im Bereich der wiss. Forschung und Lehre sowie der Kunst Pflege der Kontakte zu den Absolvent_innen Information der Öffentlichkeit über die Erfüllung der Aufgaben der Universität 14.1.2019

Warum? Beispiele für vertragliche Verpflichtung / Vertragserfüllung Anmeldung zu einer Konferenz: Vertrag mit den Teilnehmer_innen, auf dieser Rechtsgrundlage dürfen dann sämtliche Daten verarbeitet werden, die notwendig sind. Z.B. Verwendung der Kontodaten für Bankeinzüge, Verwendung der Kontaktdaten für Hotelbuchungen, Verwendung von Gesundheitsdaten (Lebensmittelunverträglichkeit!) für Cateringbestellungen Vortragende bei Konferenz: Mit diesen wird ein Vertrag abgeschlossen (muss nicht schriftlich erfolgen) im Vertrag sind die Daten zu erwähnen, die verarbeitet werden (z.B. Name und Foto für Konferenzeinladung und Programm) 14.1.2019

Warum? Beispiele für Einwilligung z.B. Versand eines Newsletter, Auswertung der Daten für bestimmte Zwecke Muss ausdrücklich erfolgen, Einwilligende müssen klar erkennen können, wozu die Einwilligung erfolgt. Kann jederzeit widerrufen werden. Darf nicht an „notwendige“ Dinge gekoppelt werden (Kopplungsverbot). Immer schriftlich, immer nachweislich Für Newsletter siehe Handout, TU bietet Mailinglisten-Service an 14.1.2019

Warum? Beispiele für berechtigtes Interesse Kann z.B. bei der Veröffentlichung von Bildern der Fall sein, z.B. das Foto eines Vortragende während seines Vortrags wird gezeigt 14.1.2019

Transparenz? Informationspflichten? Ist die Datenverarbeitung transparent? (Datenschutzinformation, siehe Handout, mit der Einladung/Bewerbung der Veranstaltung verschicken, verlinken)? Ist die Datenverarbeitung geregelt (Wer darf Was? Wer erhält welche Daten?)? 14.1.2019

Bilder Wird bei der Veranstaltung gefilmt / fotografiert? Wofür sollen die Fotos verwendet werden? Verwendung kann durch rechtliche Verpflichtung, Vertrag, berechtigtes Interesse, Einwilligung gerechtfertigt sein 14.1.2019

Empfohlene IT Anwendungen Mailinglisten: Service der TU.it: https://www.it.tuwien.ac.at/uptudate/list/ Tool zur gemeinsamen Bearbeitung von Dateien mit externen Projektpartner_innen: https://www.it.tuwien.ac.at/tuprocloud/ Tool zur gemeinsamen Bearbeitung von Dateien mit TU-Mitarbeiter_innen: https://www.it.tuwien.ac.at/owncloud/ Tool zur Terminabstimmung: https://www.termino.gv.at/meet/de Unterstützungs-Software für die Organisation von Konferenzen: https://www.conftool.net/en/index.html Unternehmen, welches die Organisation der gesamten Konferenz übernimmt: http://www.mondial-congress.com/de/ 14.1.2019

Empfohlene IT Anwendungen Zur Verschlüsselung von E-Mails stellt die TU.it folgendes Services zur Verfügung: https://www.it.tuwien.ac.at/smime/ Zum Streamen von Veranstaltungen bietet das Teaching Support Center TU Wien folgendes Services an: https://teachingsupport.tuwien.ac.at/lecturetube/ 14.1.2019

Mag. iur. Christina Thirsfeld Tel: 58801-41000 christina Mag.iur. Christina Thirsfeld Tel: 58801-41000 christina.thirsfeld@tuwien.ac.at http://www.tuwien.ac.at/dle/datenschutz und dokumentenmanagement/ 14.1.2019