Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz Internes Weiterbildungsprogramm der HsH Seminar am

Veröffentlicht von:Klaus Vogel Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz Internes Weiterbildungsprogramm der HsH Seminar am"—  Präsentation transkript:

1 Datenschutz Internes Weiterbildungsprogramm der HsH Seminar am 28. 09
Datenschutz Internes Weiterbildungsprogramm der HsH Seminar am (9-12 Uhr)

2 Ziele der Veranstaltung
Die Veranstaltung richtet sich an Beschäftigte der Hochschule, die Kenntnisse im Datenschutz erwerben oder auffrischen möchten. Besonderes Augenmerk wird hierbei auf die durch die Datenschutz-Grundverordnung erfolgten Änderungen und das neue niedersächsische Datenschutzgesetz gerichtet. Folgende Themen werden behandelt: Was sind personenbezogene oder personenbeziehbare Daten? Wann ist eine Verarbeitung solcher Daten zulässig? Was sind Grundsätze des Datenschutzes? Was ist bei einer automatisierten Verarbeitung personenbezogener Daten zu beachten? Worum handelt es sich bei Datenschutz-Folgenabschätzung, Darstellung einer Verarbeitungstätigkeit und Auftragsverarbeitung? Welche Meldepflichten gibt es? Über was ist der Betroffene zu informieren und was sind seine Rechte?

3 Der Datenschutzbeauftragte der HsH
Datenschutzsprechstunde: Ab sofort jeden 1. und 3. Dienstag im Monat von Uhr in Raum 1H.2.21 Datenschutzbeauftragter Stellv. Datenschutzbeauftragter Prof. Dr. Stephan König Fakultät IV Abt. Wirtschaftsinformatik Robin Ziert Justiziariat der Hochschule Hannover Juristin: Schwerpunkt Datenschutzrecht Vera Westermann Justiziariat der Hochschule Hannover Büro des Datenschutz-beauftragten Anja Obermann (vertritt derzeit Anke Hirte) Justiziariat der Hochschule Hannover

4 Kurzvorstellung Name OE Wo habe ich dienstlich mit Datenschutz zu tun?
Eine kurze(!) Frage, auf die ich heute eine Antwort erhoffe.

5 Informationen zum Datenschutz: DSB HsH
Quelle::

6 Informationen zum Datenschutz: LfD
Quelle:

7 Informationen zum Datenschutz: Zendas
Quelle: (aus dem Intranet der HsH)

8 Informationen zum Datenschutz: NDSG
Quelle::

9 EU DSGVO Inkrafttreten: 24. Mai 2016 Anzuwenden seit: 25. Mai 2018
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Inkrafttreten: Mai 2016 Anzuwenden seit: 25. Mai 2018 Quellen:: und de.wikipedia.org/wiki/Datenschutz-Grundverordnung

10 EU DSGVO Quelle:

11 Verhältnis NDSG - DSGVO (- BDSG)
Grundsätzlich gilt die DSGVO im Anwendungsbereich des Unionsrechts unmittelbar. Allerdings enthält sie sogenannte Öffnungsklauseln. Das bedeutet, dass die DSGVO den nationalen Gesetzgebern ausdrücklich gestattet - ggf. in einem jeweils vordefinierten Rahmen - von den Bestimmungen der DSGVO abzuweichen. In diesem Rahmen definiert das neue NDSG für die öffentliche Verwaltung in Niedersachsen Abweichungen von der DSGVO im Rahmen der Öffnungsklauseln. Für die HsH relevant sind insbesondere folgende Bereiche: Nicht automatisierte Verarbeitung pb Daten, die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen Videoüberwachung Forschungsdaten §1 Abs. 4 NDSG: Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen und dabei personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeiten => BDSG

12 Evolution oder Revolution?
Insgesamt gilt: Wer die letzten Jahre alle datenschutzrechtlichen Vorschriften beachtet hat, hat schon ganz viel erreicht und wird sich mit überschaubarem Aufwand an die neuen Vorschriften anpassen können. Wurden die datenschutzrechtlichen Vorschriften in den letzten Jahren allerdings nicht gebührend beachtet, stößt man jetzt, da man sich mit der neuen Rechtslage beschäftigt, auf etwaige Versäumnisse. Diese werden sich auch nicht innerhalb weniger Tage beheben lassen. Transparenz- und Dokumentationsregelungen führen zu Rechtsunsicherheit und gesteigertem bürokratischen Aufwand.

13 Agenda Was ist eigentlich Datenschutz Personenbezogene Daten
Die öffentliche Stelle/der Verantwortliche Der Datenschutzbeauftragte Rechtsgrundlagen für die Datenverarbeitung Datenschutzgrundsätze und Geheimhaltung Das Verzeichnis von Verarbeitungstätigkeiten Meldepflichten Informationsrechte und Auskunftspflichten Datenschutz-Folgenabschätzung und Auftragsverarbeitung

14 Was ist eigentlich Datenschutz?
Beim Datenschutz steht anders als der Begriff zunächst vermuten lässt, nicht der Schutz der Daten im Vordergrund, sondern die Personen, über die Informationen (Daten) verarbeitet werden. Rechtlicher Ausgangspunkt ist das Grundrecht auf informationelle Selbstbestimmung. Die Grundidee ist, dass der Einzelne die Möglichkeit haben soll, selbst zu bestimmen, wer bei welcher Gelegenheit welche Informationen über ihn erhält.

15 Was ist eigentlich Datenschutz?
Wichtig im Zusammenhang mit dem Datenschutz ist: Problembewusstsein schaffen Tägliche Abläufe regelmäßig hinterfragen Andere auf ihr Handeln ansprechen Gedankenaustausch mit Kollegen Es gibt oft keine klaren ja/nein Entscheidungen Den gesunden Menschenverstand walten lassen

16 Was ist eigentlich Datenschutz?
Art. 1 Abs. 1 und 2 DSGVO Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Art. 1 NDSG Nach Art. 1 NDSG werden für die Verarbeitung personenbezogener Daten durch Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen (öffentliche Stellen) u.a. des Landes durch das NDSG ergänzende Regelungen zur DSGVO getroffen.

17 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse, Ausleihdatum, Rückgabedatum, ausgeliehener Gegenstand, Ausleiher Ein Fall für den Datenschutz?

18 Exkurs: Ist Datenschutz auch IT-Sicherheit?
Abgrenzung zur IT-Sicherheit Quelle:: winfwiki.wi-fom.de/images/5/56/IT_-_Datenschutz.jpg

19 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse, Ausleihdatum, Rückgabedatum, ausgeliehener Gegenstand, Ausleiher Ein Fall für die IT-Sicherheit?

20 Personenbezogene Daten nach Art. 4 Nr. 1 DSGVO
Nach Art. 4 Nr.1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder eine identifizierbare natürliche Person beziehen. Als identifizierbar wird hierbei eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

21 Beispiele für personenbezogene Daten
Beispiele für Daten die einer bestimmten Person zugeordnet sind (bestimmte Person): Name, Geburtstag, Adresse, Kontaktdaten, Unterschriften, Aufenthaltsort oder sonstige Angaben, sofern Sie einer konkreten Person zugeordnet sind … Beispiele für Daten, die einer Person mit zusätzlichem Wissen zugeordnet werden können (bestimmbare Person): Weiserzeichen (J-Zie), KFZ-Kennzeichen, Matrikelnummern (wenn systematisch vergeben), Raumnummern (wenn diese ohne größeren Aufwand über das öffentliche Adressverzeichnis der Person zugeordnet werden können)

22 Anonyme Daten als personenbezogene Daten?
Kann eine Zuordnung von persönlichem oder sachlichem Verhältnis zur Person nicht erfolgen, so liegen anonyme bzw. anonymisierte Daten vor. Datenschutzvorschriften sind dann nicht einschlägig. Insbesondere bei der Erstellung von Umfragen sollte darauf geachtet werden, dass auch durch die Kombination der verschiedenen Antworten kein Personenbezug hergestellt werden kann. Ggf. sollten Antwortmöglichkeiten stärker pauschalisiert/aggregiert werden.

23 Personenbezogene Daten: Übung 1
Anlässlich einer elektronischen multiple-choice- Klausur mit 100 Prüflingen werden Prüfkennziffern vergeben, die allein der Prüfungsverwaltung, nicht jedoch dem Prüfer bekannt sind. Handelt es sich für die Prüfer um personenbezogene Daten? Handelt es sich für die Prüfungsverwaltung um personenbezogene Daten?

24 Personenbezogene Daten: Übung 2
Im Rahmen eines Forschungsprojektes werden die GPS-Daten eines Pedelec gespeichert. Über einen Tracker meldet das Pedelec seinen Standort sekündlich auf einen Meter genau an die datenverarbeitende OE. Diese kann aber lediglich die Geodaten einsehen, nicht jedoch, welche Person das Pedelec entliehen hat. Handelt es sich für die datenverarbeitende OE um personenbezogene Daten?

25 Personenbezogene Daten: Übung 3
Ein Mitarbeiter der Hochschule hat während seiner Tätigkeit für die Hochschule etwas erfunden. Er beschreibt den technischen Prozess sehr detailliert und möchte das Dokument anschließend im Internet veröffentlichen. Bestehen datenschutzrechtliche Bedenken gegen die Veröffentlichung dieses Geschäftsgeheimnisses?

26 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse, Ausleihdatum, Rückgabedatum, ausgeliehener Gegenstand, Ausleiher Welche personenbezogenen Daten sind relevant?

27 Der Verantwortliche/Die öffentliche Stelle
Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Gemäß § 1 des Nds. Datenschutzgesetzes (NDSG) gelten die ergänzenden Regelungen zur DSGVO für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen u.a. des Landes. Nach § 15 des Nds. Hochschulgesetzes (NHG) ist die Hochschule Hannover (HsH) eine Körperschaft des öffentlichen Rechts in Niedersachsen. Somit ist die HsH als öffentliche Stelle für die Einhaltung der Datenschutzvorschriften verantwortlich.

28 Die öffentliche Stelle - Verantwortlichkeiten
Grundsätzlich wird die Hochschule durch das Präsidium geleitet (§ 37 NHG). Das Präsidium ist grundsätzlich auch dafür verantwortlich, dass die Datenschutzvorschriften eingehalten werden. Das Präsidium hat diese Verantwortung teilweise auf die OE-Leitungen delegiert. Diese haben die Aufgaben teilweise an die Beschäftigten delegiert.

29 Der Datenschutzbeauftragte (DSB)
Regelungen zu Stellung und Aufgaben des Datenschutzbeauftragten finden sich in Art. 38 und 39 DSGVO. Datenschutzbeauftragte sind in dieser Eigenschaft weisungsfrei; sie können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Die wesentlichen Aufgaben des Datenschutzbeauftragten sind die Unterrichtung und Beratung sowie die Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien zum Schutz personenbezogener Daten, Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgeabschätzung sowie die Zusammenarbeit mit und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

30 Der Datenschutzbeauftragte (DSB)
Schutz der Rechte der Mitglieder und Angehörigen auf informationelle Selbstbestimmung. Beratung und Kontrolle der Organisationseinheiten, damit deren eigene Datenschutzverantwortung gewahrt werden kann. Bei der Durchführung von Datenschutz-Folgeabschätzungen nach Art. 35 hat der Verantwortliche den Rat des Datenschutzbeauftragten einzuholen. Das Verzeichnis der Verarbeitungstätigkeiten wird an der HsH weiterhin beim Datenschutzbeauftragten geführt.

31 Der Datenschutzbeauftragte (DSB) Die Die Beratung und Kontrolle der „öffentlichen Stelle“
Ausguck / DSB Mannschaft / Beschäftigte Kapitän / Verantwortlicher

32 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse, Ausleihdatum, Rückgabedatum, ausgeliehener Gegenstand, Ausleiher Wer ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich?

33 Merkblatt Datenschutz
Auf der Homepage des DSB sowie im jeweils aktuellen Flyer finden Sie ein Standard-Prüfschema, mit dessen Hilfe Sie die Zulässigkeit von Datenverarbeitungsvorgängen überprüfen können. Dieses Merkblatt befindet sich derzeit in Überarbeitung und wird auf die DSGVO angepasst.

34 Was bedeutet der Begriff der Verarbeitung?
Nach Art. 4 Nr.2 DSGVO bezeichnet der Begriff „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

35 Voraussetzungen für die Zulässigkeit der Datenverarbeitung
Voraussetzung für die Zulässigkeit der Datenverarbeitung ist zunächst: Es liegt eine Einwilligung der Betroffenen vor oder es gibt eine andere gesetzliche Grundlage, Die Grundsätze des Datenschutzes werden eingehalten.

36 Zu 1.: Gesetzliche Grundlagen nach Art. 6 DSGVO
Wann die Verarbeitung personenbezogener Daten rechtmäßig ist, wird maßgeblich durch Artikel 6 DSGVO bestimmt. Nach Art. 6 DSGVO kann die Datenverarbeitung aus mehreren Gründen rechtmäßig sein. An dieser Stelle daher nur die für die Hochschule wichtigsten Rechtsgrundlagen. Nach Art. 6 Abs. 1 ist eine Verarbeitung insbesondere dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (Buchst. a)) oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde und nach Art. 6 Abs. 2 und 3 DSGVO eine entsprechende Rechtsgrundlage vorliegt (Buchst. e)). .

37 Fortsetzung: Gesetzliche Grundlagen nach Art. 6 DSGVO
Sofern die Datenverarbeitung auf Grundlage von Einwilligungserklärungen der Betroffenen erfolgt, ist Artikel 6 Abs. 1 Buchst. a) i.V.m. der Einwilligungserklärung als Rechtsgrundlage anzugeben. In vielen anderen Fällen lautet die Rechtsvorschrift dann Artikel 6 Abs. 1 Buchst. e) i.V.m. der jeweiligen Ermächtigungsnorm.

38 Zu 2.: Datenschutzgrundsätze
Sollen personenbezogene Daten verarbeitet werden, müssen insbesondere die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 DSGVO einhalten werden: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht

39 Typische Ermächtigungsnormen im Hochschulbereich
Daten der Beschäftigten: Art. 88 DSGVO i.V.m. § 12 NDSG, § 50 Beamtenstatusgesetz (BeamtStG), §§ 88 bis 95 des Niedersächsischen Beamtengesetzes (NBG), Dienstvereinbarungen Daten bei Forschungsvorhaben: § 13 NDSG Daten bei der Beobachtung durch Bildübertragung (Videoüberwachung): § 14 NDSG Daten anlässlich der Evaluation: § 5 NHG i.V.m. der Ordnung zur internen Lehrevaluation Zentrale Bedeutung hat darüber hinaus § 17 Abs. 1 NHG. Hiernach dürfen die Hochschulen von Studienbewerberinnen und Studienbewerbern und Mitgliedern sowie Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis zu ihr stehen, diejenigen personenbezogenen Daten verarbeiten, die für die Einschreibung, die Teilnahme an Lehrveranstaltungen und Prüfungen, die Nutzung von Hochschuleinrichtungen sowie die Kontaktpflege mit ehemaligen Hochschulmitgliedern erforderlich und durch Ordnungen festgelegt sind.

40 Ordnungen im Sinne von § 17 NHG
Die zahlreichen Ordnungen der Hochschule wie Prüfungsordnungen, Praxisphasenordnungen, Stipendienordnungen oder etwa der Immatrikulationsordnung, sind im Verkündungsblatt der Hochschule zu finden. Existiert eine solche gesonderte Ordnung nicht, ist die Datenverarbeitung nach Maßgabe der Ordnung über die Verarbeitung personenbezogener Daten an der Hochschule Hannover zulässig, wenn das Präsidium das der Datenverarbeitung zu Grunde liegende Verfahren genehmigt hat.

41 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Keine Einwilligung; Ggf. Art. 6 Abs. 1 Buchst e) i.V.m. § 17 NHG + irgendeine Ordnung? Was ist die Rechtsgrundlage für die Datenerhebung?

42 Fallstudie § 17 Abs. 1 NHG Die Hochschulen dürfen von Studienbewerberinnen und Studienbewerbern und Mitgliedern sowie Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis zu ihr stehen, diejenigen personenbezogenen Daten verarbeiten, die für die Einschreibung, die Teilnahme an Lehrveranstaltungen und Prüfungen, die Nutzung von Hochschuleinrichtungen sowie die Kontaktpflege mit ehemaligen Hochschulmitgliedern erforderlich und durch Ordnungen festgelegt sind. Ausleihordnung? Wohl kaum. Also: Ordnung über die Verarbeitung personenbezogener Daten an der Hochschule Hannover Gibt es eine passende Ordnung der HsH?

43 Rechtsgrundlagen –Genehmigungsprozess nach der Ordnung über die Verarbeitung personenbezogener Daten an der Hochschule Hannover Genehmigungsprozess:

44 Die Einwilligung: Soweit mit einer Einwilligung gearbeitet wird, sind die Bedingungen der Artikel 4 Nr. 6, 11 und Artikel 7 DSGVO (Bedingungen für die Einwilligung) zu beachten. Voraussetzungen für die Einwilligung: Freiwillig, informiert und unmissverständlich. Auf einen bestimmten Zweck/mehrere bestimmte Zwecke bezogen. Was muss der Verantwortliche darüber hinaus beachten: Der Verantwortliche muss nachweisen können, dass die betroffene Person eingewilligt hat Ersuchen um Einwilligung in verständlicher, leicht zugänglicher Form und klarer einfacher Sprache Von anderen Sachverhalten klar zu unterscheiden Hinweis auf jederzeitige Widerrufsmöglichkeit (das widerrufen werden kann, wie widerrufen werden kann und was die Folgen des Widerrufs sind). Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.

45 Mustertext für ein Kontaktformular auf der Webpräsenz

46 Fortsetzung Mustertext für ein Kontaktformular

47 Weitere Mustertexte für Einwilligungen
Einwilligungen können bei einer Vielzahl unterschiedlicher Verarbeitungsvorgänge erforderlich werden, sodass eventuelle Mustertexte immer auf den individuellen Fall angepasst werden müssen. Hilfreich sind hier die bei ZENDAS zu Verfügung gestellten Mustertexte.

48 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Nein. Es gibt ja eine gesetzliche Grundlage. Ist eine Einwilligung der Studierenden erforderlich?

49 Merkblatt Datenschutz - Übung 4
Eine Studierende reicht im Rahmen ihres Studiums eine Abschlussarbeit ein. Sie versichert, die Hausarbeit eigenständig angefertigt zu haben. Eine Erklärung, wonach die Hochschule berechtigt sein soll, die Arbeit in einem elektronischen Archiv zu speichern, um später einen Abgleich mit Arbeiten anderer Studierender durchzuführen, möchte sie aber zunächst nicht unterzeichnen. Erst auf den Hinweis, dass die Behörde andernfalls die Arbeit um eine Note schlechter bewerten würde, willigt sie ein. Ist die Einwilligung wirksam? Nein, keine Freiwilligkeit

50 Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO: Überblick
Anstelle der bisherigen Verfahrensbeschreibung (VfB) tritt mit der DSGVO die Darstellung einer Verarbeitungstätigkeit (VT). Die Verantwortlichkeiten zur Erstellung sind durch einen Präsidiumsbeschluss vom 7. Mai 2018 analog zur VfB geregelt. Ein Formular und Ausfüllhinweise finden Sie auf den Seiten des Datenschutzbeauftragten. Für bestehende Verfahrensbeschreibungen gilt – soweit sie sich inhaltlich nicht geändert haben – eine Übergangsfrist von 3 Jahren. (Weitere Details siehe unten)

51 Verzeichnis von Verarbeitungstätigkeiten Allgemeines
Jeder Verantwortliche d.h. auch jede öffentliche Stelle ist gemäß Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dieses Verzeichnis stellt eine wesentliche Grundlage für eine strukturierte Datenschutzdokumentation dar und hilft den Verantwortlichen dabei, nach Artikel 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben der DSGVO eingehalten werden (sog. Rechenschaftspflicht). Mit dem Verzeichnis sind aber nicht alle Dokumentationspflichten der DSGVO erfüllt. Für jede einzelne Verarbeitungstätigkeit ist eine Darstellung nach Maßgabe des Artikel 30 DSGVO anzufertigen (bisher: Verfahrensbeschreibung), welche sodann in das Verzeichnis aller Verarbeitungstätigkeiten aufgenommen wird. Das Verzeichnis und damit auch jede Darstellung einer Verarbeitungstätigkeit betrifft alle ganz oder teilweise automatisierten Verarbeitungen, sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Außerhalb dieses Anwendungsbereichs ist eine Darstellung der Verarbeitungstätigkeit bei über die Ordnung über die Verarbeitung personenbezogener Daten genehmigten Verarbeitungstätigkeiten notwendig.

52 Verzeichnis von Verarbeitungstätigkeiten Zuständigkeiten
Das Präsidium der Hochschule Hannover hat mit Beschluss vom die Zuständigkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit wie folgt geregelt: Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit der Verwaltungseinheiten obliegt der Leitung der jeweiligen Organisationseinheit. Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit der Fakultäten obliegt dem jeweiligen Dekanat. Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit bei Forschungsvorhaben obliegt der jeweiligen Projektleitung. Die Darstellung einer Verarbeitungstätigkeit nach Artikel 30 DSGVO erfolgt auf Grundlage eines bereitgestellten Formulars. Das Verzeichnis aller Verarbeitungstätigkeiten wird beim Datenschutzbeauftragten geführt. Die vollständig ausgefüllte Darstellung ist zur Aufnahme in das Verzeichnis aller Verarbeitungstätigkeiten daher weiterhin dem Datenschutzbeauftragten zuzuleiten.

53 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Ja Ist für den obigen Verarbeitungsvorgang eine Darstellung der Verarbeitungstätigkeit erforderlich? Wer muss sie erstellen? Wie sieht der Genehmigungsprozess aus?

54 Verzeichnis der Verarbeitungstätigkeiten auf der Homepage des DSB

55 Darstellung der Verarbeitungstätigkeit: Formular & Ausfüllhinweise

56 Verzeichnis von Verarbeitungstätigkeiten Artikel 30 DSGVO

57

58

59 Risikobasierter Ansatz und Rechenschaftspflichten:
Stärker als bisher fordert die DSGVO einen risikobasierten Ansatz bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen. Diese Auswahl muss sich insbesondere an der Schutzbedürftigkeit der personenbezogenen Daten orientieren. Die Abwägungen sind zu dokumentieren und ggfs. der Aufsichtsbehörde zur Verfügung zu stellen. Genaueres finden Sie insbesondere in den Artikeln 5, 24 und 32 der DSGVO.

60 Fallstudie Eine Werkstatt der HsH, in der Studierende Geräte ausleihen können, führt eine elektronische Ausleihliste (Datenbank). Folgende Daten werden über den Studierenden gespeichert: Name, Matrikelnummer, Studiengang, Bild, Telefonnummer, Mailadresse. So können säumige Studierende angesprochen werden. Eine Einwilligung der Studierenden liegt nicht vor. Die Datenbank wird regelmäßig auf einem USB Stift gesichert. Zur Exmatrikulation benötigen die Studierenden eine Unterschrift der Werkstatt, dass alles zurückgegeben wurde. Die Daten werden nicht gelöscht, um Ausleihungen zwischen Unterschrift und Exmatrikulation zu verhindern. Zukünftig sollen über eine Schnittstelle, die Daten aller neuen Studierenden in die Datenbank eingetragen werden, um Rechtschreibfehler zu vermeiden. Ja Bitte füllen Sie für den obigen Verarbeitungsvorgang ein Formular „Darstellung der Verarbeitungstätigkeit“ aus.

61 Meldung der Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 DSGVO Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde gemeldet werden. Es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dazu wird aktuell eine Richtlinie „Behandlung von Datenschutz- und Informationssicherheitsvorfällen an der Hochschule Hannover“ entwickelt, die u.a. auch beschreibt, wie der Prozess zur Meldung von Datenschutzvorfällen an der HsH geregelt ist. Bis auf weiteres sollten Sie Datenschutzvorfälle in Ihrem Bereich direkt an das Präsidium melden. Unter den Voraussetzungen des Art. 34 DSGVO ist die betroffene Person von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.

62 Betroffenenrechte und Informationspflichten:
Betroffene, deren Daten Sie verarbeiten, haben das Recht zu wissen, wer welche Daten zu welchem Zweck über sie erhebt. Betroffene müssen in der Lage sein, die Datenerhebung und -verarbeitung nachzuvollziehen und überprüfen zu können. Der Verantwortliche muss auskunftsfähig sein und seinen Informationspflichten nach Artikel 13 und 14 DSGVO nachkommen. Das bedeutet insbesondere, dass Sie eine DSGVO-konforme Datenschutzerklärung auf den von Ihnen verantworteten Webseiten haben. dass Sie, soweit es sich nicht um die Datenerhebung über Online-Formulare handelt, die nach Art. 13 und 14 DSGVO erforderlichen Informationen auch in Papierform vorhalten. Rechnen Sie damit, dass z.B. Kunden verlangen, alle über sie gespeicherten Informationen, zu bekommen. Diesem Auskunftsrecht müssen Sie im Rahmen von Artikel 15 DSGVO unverzüglich jedenfalls innerhalb eines Monats nachkommen.

63 Beispiel Informationspflichten nach Art. 13 DSGVO

64 Fortsetzung: Beispiel Informationspflichten nach Art. 13 DSGVO

65 Beispiel Auskunftsrecht nach Art. 15 DSGVO
Art. 15 DSGVO gibt der betroffenen Person zunächst ein Recht, eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies nicht der Fall, wäre die Anfrage mit der schlichten Antwort erledigt. Falls jedoch personenbezogene Daten verarbeitet werden, besteht ein Recht auf Auskunft über die personenbezogenen Daten, ein Recht auf die weiteren in Art. 15 Abs. 1 Lit. a) bis h) und in Abs. 2 genannten Informationen, nach Art. 15 Abs. 3 ein Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, soweit nicht Abs. 4 (Beeinträchtigung von Rechten und Freiheiten anderer Personen) einschlägig ist. Die meisten der in Art. 15 Abs. 1 angeführten Informationen können schnell gegeben werden, wenn eine Darstellung der Verarbeitungstätigkeit erstellt wurde, in der die Angaben bereits einmal gemacht wurden. Für die darüber hinaus geforderten allgemeinen Informationen kann ein Muster genutzt werden, welches auf Anfrage zur Verfügung gestellt wird.

66 Weitere Betroffenenrechte und allgemeine Vorschriften
Die weiteren Betroffenenrechte ergeben sich aus Art. 16 bis 22 DSGVO. Für alle Betroffenenrechte der Art. 13 bis 22 DSGVO sowie für das Recht auf Benachrichtigung bei der Verletzung personenbezogener Daten nach Art. 34 DSGVO werden in Art. 12 DSGVO allgemeine Regelungen getroffen. Besonders wichtig sind in diesem Zusammenhang die in Art. 12 Abs. 3 und 4 DSGVO benannten Fristen.

67 Datenschutz-Folgenabschätzung (ersetzt die frühere Vorabkontrolle)
Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist dann durchzuführen, wenn die Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Die Datenschutz-Folgenabschätzung ist durch den Verantwortlichen zu erstellen. Der Datenschutzbeauftragte hat eine beratende Funktion. Sie dient dazu, in einem systematischen Vorgang die geplanten Verarbeitungsvorgänge zu beschreiben, die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und zur Bewältigung der Risiken vorab Abhilfemaßnahmen festzulegen. Hierbei sind insbesondere die Eintrittswahrscheinlichkeit und die Schwere der möglichen Risiken zu bewerten sowie Maßnahmen zur Eindämmung der Risiken zu prüfen. Gegebenenfalls muss der Verantwortliche nach Art. 36 DSGVO zuvor die Aufsichtsbehörde zu Rate ziehen. Hilfestellungen und Informationen zur Durchführung einer Datenschutz-Folgenabschätzung insb. zur in Art. 35 Abs. 4 benannten Liste von Verarbeitungsvorgängen finden sich auf der Seite der Landesbeauftragten für den Datenschutz.

68 Auftragsdatenverarbeitung nach Art. 28 DSGVO
Wenn die Hochschule externe Dritte mit der Verarbeitung von Daten beauftragt, so liegt in der Regel eine Auftragsdatenverarbeitung vor. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Bei der Gestaltung des Vertrages empfiehlt es sich bis auf Weiteres entweder die Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO der Landesbeauftragten für Datenschutz zu verwenden oder auf das entsprechende Muster bei ZENDAS zurückzugreifen.

69 Fragen?

70 Vielen Dank für Ihre Aufmerksamkeit!

Herunterladen ppt "Datenschutz Internes Weiterbildungsprogramm der HsH Seminar am"

Ähnliche Präsentationen

Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.

Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.
1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.

1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.
Die Europäische Bürgerinitiative Europäische Kommission Generalsekretariat Referat G.4 Allgemeine institutionelle Angelegenheiten Rechtsrahmen Vorschriften.

Die Europäische Bürgerinitiative Europäische Kommission Generalsekretariat Referat G.4 Allgemeine institutionelle Angelegenheiten Rechtsrahmen Vorschriften.
Datenschutz Quelle: 18.04.2016 10.56h Holger Pick, Telefon: +49 871 9753722,

Datenschutz Quelle: h Holger Pick, Telefon: ,
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Dublinassoziierung und Freizügigkeit Grundsätze und Rechtswirkungen.

Dublinassoziierung und Freizügigkeit Grundsätze und Rechtswirkungen.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Umweltinformationsgesetz Das neue Umweltinformationsgesetz (UIG) Oktober 2005.

Umweltinformationsgesetz Das neue Umweltinformationsgesetz (UIG) Oktober 2005.
Urheberrecht und Hochschule.

Urheberrecht und Hochschule.
EU-DATENSCHUTZGRUNDVERORDNUNG am 5. OKTOBER 2017

EU-DATENSCHUTZGRUNDVERORDNUNG am 5. OKTOBER 2017
Übersicht der Vorgehensweise bei der Einrichtung von Kleiderspendencontainern

Übersicht der Vorgehensweise bei der Einrichtung von Kleiderspendencontainern
Rettungspunkte in der Gemeinde Simmerath

Rettungspunkte in der Gemeinde Simmerath
Abrechnungslegung allgemein, Dokumente, IWBecos

Abrechnungslegung allgemein, Dokumente, IWBecos
Herzlich Willkommen zur

Herzlich Willkommen zur
2. Treffen der FAG Flucht und Migration

2. Treffen der FAG Flucht und Migration
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
für anerkannte Flüchtlinge Regelungen für die Umsetzung

für anerkannte Flüchtlinge Regelungen für die Umsetzung
7. Tag der freien Berufsbetreuer

7. Tag der freien Berufsbetreuer
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO

Ähnliche Präsentationen

Google-Anzeigen