Datenschutz an

der Uni Graz

Dr. Birgit Strauß-Koscher

Aufgaben Datenschutzbeauftragte

 Beratung hinsichtlich der datenschutzrechtlichen

Verpflichtungen

 Überwachung der Einhaltung der

Datenschutzvorschriften

 Auf Anfrage Beratung bei Datenschutz-

Folgenabschätzung

 Zusammenarbeit mit der Aufsichtsbehörde

2
 Rechtliche Grundlagen
ab 25.5.2018

 Datenschutz-Grundverordnung (DS-GVO)

 DS-Anpassungsgesetz 2018 (DSG)

 Datenschutz-Deregulierungs-Gesetz 2018 – kundgemacht 15.5.2018, BGBl I 24/2018
 DS-Anpassungsgesetz Wissenschaft und Forschung
(insbesondere FOG!) – kundgemacht am 16.5.2018, BGBl I 31/2018
 Entwurf DS-Anpassungsgesetz Bildung? ->Materien-
Datenschutz-Anpassungsgesetz 2018 (Änderung
Bildungsdokumentationsgesetz) - nicht kundgemacht

3
 Rechtliche Grundlagen
ab 25.5.2018
 DS-Anpassungsgesetz Wissenschaft und Forschung (insbesondere FOG!)

 Ausnahmen von einigen Grundsätzen der Datenverarbeitung (zB Datenminimierung – BIG DATA,
Zweckbindung, Speicherbegrenzung)
 Konkret vorgegebene technische und organisatorische Maßnahmen (Zugriffe auf personenbezogene
Daten sind lückenlos zu protokollieren, Aufgabenteilung bei der Verarbeitung ausdrücklich
festzulegen, jede/n MitarbeiterIn über die innorganisatorischen Datenschutzvorschriften und
Datensicherheitsmaßnahmen zu belehren, Zutrittsberechtigungen zu Räumlichkeiten zu regeln,
Zugriffsberechtigungen auf Daten zu regeln etc. – und das alles zu dokumentieren)
 Ausnahme bei Einwilligungen – broad consent
 Recht auf bereichsspezifische Personenkennzeichen
 Registerforschung – Verordnung des Bundesminister/in
 Ausschluss von Betroffenenrechten (unter bestimmten Voraussetzungen)
 Förderverwaltung
 …

4
DS-GVO

Schutz natürlicher Personen bei der

Verarbeitung personenbezogener
Daten =>

Schutz der Privatsphäre und der

Grundrechte der betroffenen
Personen

5
Allgemeines

 Anwendungsbereich (sachlich)
- ganz oder teilweise automatisierte
Verarbeitung personenbezogener
Daten
- nicht automatisierte Verarbeitung
personenbezogener Daten in einem
Dateisystem
Begriffsbestimmungen

 Personenbezogene Daten
- bezieht sich die Information auf einen Menschen?

- ist die konkrete Person identifiziert oder

identifizierbar?

 Auch pseudonymisierte Daten

 Anonyme Daten – fallen nicht unter die DS-GVO

Personenbezogene Daten
Name Konto-, Kreditkartennummer
Geburtsort Arbeitgeber
Geburtsdatum Kulturelle Aktivitäten
Adresse Gesundheitsdaten
Staatszugehörigkeit Einkommen/Schulden
Augen- Haarfarbe etc Vorstrafen
Familienstand Genetische Daten
Matrikelnummer Werturteile (Zeugnisse)
Telefonnummer Standortdaten
Sozialversicherungsnummer Cookies
E-Mail-Adressen IP-Adresse
Fotos usw
Begriffsbestimmungen

 Besondere Kategorien
personenbezogener Daten (sensible
Daten)
unter anderen:
- rassische/ethnische Herkunft
- Gesundheitsdaten (auch SV-Nummer)
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Zulässigkeit der
Datenverarbeitung

Jede Verarbeitung personenbezogener

Daten ist grundsätzlich verboten!!
Zulässigkeit der
Datenverarbeitung

Es sei denn …
Zulässigkeit der
Datenverarbeitung
… es gibt

 Einen Rechtfertigungsgrund (Art

6,9,10)
und
 Grundsätze (Art 5) eingehalten
Zulässigkeit der
Datenverarbeitung
 Grundsätze (Art 5) – Nachweis an Behörde!!

 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,

Transparenz
Rechtmäßigkeit = Rechtfertigungsgrund (nicht sensible Daten) ua, wenn
- Einwilligung der betroffenen Person (bei sensiblen Daten: ausdrückliche Einwilligung!!)
- Vertrag mit Betroffenen
- Erfüllung rechtlicher Verpflichtungen (zB Bildungsdokumentationsgesetz, Sozialversicherungsgesetz)
- Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern die Interessen des Betroffenen
nicht überwiegen
Beachte: Eigene Rechtfertigungsgründe für sensible (= besondere Kategorie) Daten !

Treu und Glauben: Womit muss der Betroffene bei rechtmäßiger Verarbeitung redlicherweise rechnen?

Transparenz: Informationspflichten erfüllen - DATENSCHUTZERKLÄRUNGEN

Zulässigkeit der
Datenverarbeitung
 Grundsätze (Art 5) – Nachweis an Behörde!!

 Zweckbindung
Festlegung eines eindeutigen und legitimen Zwecks; Ausnahme Forschung: broad consent

 Datenminimierung
Nur für die Verarbeitung notwendige Daten erheben!, Ausnahme Forschung: Big Data

 Richtigkeit
Daten sachlich richtig und auf neuestem Stand
Zulässigkeit der
Datenverarbeitung
 Grundsätze (Art 5) – Nachweis an Behörde!!

 Speicherbegrenzung
Speicherung solange wie für die Zweckerreichung notwendig (gesetzliche Aufbewahrungsfristen, internes Berichtswesen
Archivwürdigkeit etc beachten)
Ausnahme Forschung: soweit keine zeitlichen Begrenzungen vorgesehen sind – unbeschränkte Speicherung

 Integrität und Vertraulichkeit

Sicherheit der Daten gewährleisten – durch geeignete technische und organisatorische Maßnahmen (Zutrittskontrolle,
Zugangskontrolle, Zugriffskontrolle ...); Schulungen der MitarbeiterInnen!
Ausnahme Forschung: sehr genau vorgegebene technische und organisatorische Maßnahmen!
Begriffsbestimmungen

 Verantwortlicher

 Auftragsverarbeiter

 Gemeinsame Verantwortliche
Begriffsbestimmungen

 Verantwortlicher

Derjenige, der über Mittel und Zweck der Verarbeitung

personenbezogener Daten entscheidet!

Universität -> Rektorat

dem Rektorat zugerechnet: MitarbeiterInnen, die im

Rahmen ihrer Funktion personenbezogene Daten
verarbeiten

Freiheit der Wissenschaft und Forschung?

Begriffsbestimmungen

 Auftragsverarbeiter

Verarbeitet personenbezogene Daten im Auftrag des

Verantwortlichen

zB: Cloud-Anbieter
Rechenzentren
Uni – Lehramt Zulassung

 Auftragsverarbeitungsverträge abschließen!
Begriffsbestimmungen

 Gemeinsame Verantwortliche

gemeinsame Festlegung von Zwecken und Mitteln

zB: WIKI Plattform – Anerkennungen

 Solidarische Haftung!

 Vereinbarungen abschließen!
Verantwortlichkeit -
Betroffenenrechte

© Uni Graz/Eklaude

© Uni Graz

© WIKI/Janisch

© Foto Fischer
© Uni Graz

Berichtigung
© Uni Graz © Uni Graz
Einschränkung der
Verarbeitung Datenübertragbarkeit
Quelle: Bilderpool der Pressestelle_Uni Graz
Verpflichtungen des
Verantwortlichen
 Zulässigkeit der Datenverarbeitung
 Informationspflichten
 Datensicherheitsmaßnahmen
 Schriftliche Vereinbarungen mit
Auftragsverarbeitern
 Meldung/Benachrichtigung bei
Datenmissbrauch
 Betroffenenrechte wahrnehmen
Verpflichtungen des
Verantwortlichen
NEU: unter anderem

 Verzeichnis von Verarbeitungstätigkeiten

 Datenschutz-Folgenabschätzung
 Benennung einer/s
Datenschutzbeauftragten
Datenschutz an
der Uni Graz

Mag. Nadine Probst

Verzeichnis von
Verarbeitungstätigkeiten (VdV)
– Allgemeines I

 neue Pflicht
 Verantwortlicher
 Auftragsverarbeiter (= weniger umfangreich)

 dient dem Nachweis der Einhaltung

der DS-GVO
Verzeichnis von
Verarbeitungstätigkeiten (VdV)
– Allgemeines II
 schriftliche oder elektronische
Führung

 „Ablöse“ des
Datenverarbeitungsregisters (DVR)

 = „internes“ Dokument →
Vorweisen auf Anfrage der DSB
Verzeichnis von
Verarbeitungstätigkeiten (VdV)
– Allgemeines III
(Mindest-)Inhalt des VdV eines
Verantwortlichen:
 Namen und Kontaktdaten des Verantwortlichen, ggf des Vertreters
sowie eines etwaigen Datenschutzbeauftragten
 Kategorien betroffener Personen (zB MitarbeiterInnen, Kunden,…)
 Kategorien persbez Daten (zB Personendaten, Kontaktdaten)
 Empfängerkategorien, denen die persbez Daten offengelegt werden
(zB Finanzamt, Sozialversicherung)
 Ggf Übermittlung an Drittländer oder IOs + Dokumentierung
geeigneter Garantien
 Löschfristen und Beschreibung der technischen & organisatorischen
Maßnahmen („TOMs“)
Das VdV an der Uni Graz I
 „Mehr“ an Inhalt
VdV → Basis für Entsprechung der Informationspflichten und
Betroffenenrechte

 elektronische Führung

Quelle: https://www.phoenix-management.net/phoenix-als-datenschutz-management-system-dsms/
 Das VdV an der Uni Graz II

„DS-Kontaktperson“

Quelle: Pixabay-Bilderpool (CC0): https://pixabay.com/de/bipr-datenschutz-regulierung-3178218/, https://pixabay.com/de/silhouette-sch%C3%BCtteln-h%C3%A4nde-gesch%C3%A4ft-3186564/,

https://pixabay.com/de/offen-vorh%C3%A4ngeschloss-sperre-159121/, https://pixabay.com/de/redner-sprecher-schulung-training-414562/, https://pixabay.com/de/hände-halten-stab-kraft-arbeiten-294323/;
Das VdV an der Uni Graz III

 Weitere Vorgangsweise:

JEDE Verwaltungs- bzw Organisationseinheit:

Benennung einer DS-Kontaktperson
Überlegung, ob nur DS-Kontaktperson Eingabe
in Phoenix durchführt bzw wer noch +
Bekanntgabe dieser Entscheidung
Eruierung der Verarbeitungstätigkeiten
Erfassung der Verarbeitungstätigkeiten in
Phoenix
Verarbeitungstätigkeit
Verarbeitungstätigkeit ≠ System

 = Bündel von Verarbeitungen, die

über eine Zweckbestimmung
verbunden sind

 „Lebenzyklus“ personenbezogener
Daten
 Erheben, Erfassen, Organisation, Ordnen,
Speichern, Anpassung oder Veränderung, Auslesen,
Abfragen, Löschen, Vernichten
 Studienprüfungsabteilung:
Immatrikulation
Erhebung/Erfassung der
Studierendendaten
Löschung Dekanate:
Anmerkung: für jeden beteiligten
ua Evidenzhaltung
Bereich zu überlegen Studierende,
(Prüfungsprotokolle etc; für
gewisse Datenkategorien 80
Lehrveranstaltungsanmeld
Jahre) ungen

UNIGRAZOnline

elektronischer
Moodle
Studierendenakt

Institute:
Studienprüfungsabteilung: nach LV-Anmeldungen: Zuordnung von
Studierenden zu einzelnen LV´s bei
Abschluss des Studiums - Verleihung Überbelegungen etc;
akademischer Grade Verarbeitung pb Daten für LV-
Koordination

Perception Excellisten

Papierablage

Lehrende:
Dekanate:
Durchführung der LV´s; Prüfungen,
Ausstellung des Diplomprüfungs-
Verarbeitung von pb Daten im Rahmen
Bachelor- Masterzeugnisses
der zB Anwesenheitskontrolle, Mitarbeit

Institute:
Ablage von Prüfungsprotokollen

Vereinfachte Darstellung einer Verarbeitungstätigkeit

Sanktionen
 Geldbußen
- bis 10 Millionen oder 2 % des Jahresumsatzes (zB kein
Verzeichnis)
- bis 20 Millionen oder 4 % des Jahresumsatzes (zB Verstoß gegen
Grundprinzipien, Verletzung von Betroffenenrechten)
 Warnung/Verwarnung/Anweisung durch
Datenschutzbehörde

 Schadenersatz (immaterieller Schadenersatz!)

 DSG (neu): Verwaltungsstrafen

Imageschaden
Verantwortlichkeit

Die Uni hat viele personenbezogene Daten

von Studierenden, MitarbeiterInnen etc,

aber

wir dürfen damit nicht machen, was wir

wollen!
Weitere Informationen

Homepage: datenschutz.uni-graz.at

Intranet: Organisation > weitere Organe >

Datenschutzbeauftragte
 Danke für Ihre
Aufmerksamkeit!