Beruflich Dokumente
Kultur Dokumente
Datenschutz-Grundverordnung (DS-GVO)
3
Rechtliche Grundlagen
ab 25.5.2018
DS-Anpassungsgesetz Wissenschaft und Forschung (insbesondere FOG!)
Ausnahmen von einigen Grundsätzen der Datenverarbeitung (zB Datenminimierung – BIG DATA,
Zweckbindung, Speicherbegrenzung)
Konkret vorgegebene technische und organisatorische Maßnahmen (Zugriffe auf personenbezogene
Daten sind lückenlos zu protokollieren, Aufgabenteilung bei der Verarbeitung ausdrücklich
festzulegen, jede/n MitarbeiterIn über die innorganisatorischen Datenschutzvorschriften und
Datensicherheitsmaßnahmen zu belehren, Zutrittsberechtigungen zu Räumlichkeiten zu regeln,
Zugriffsberechtigungen auf Daten zu regeln etc. – und das alles zu dokumentieren)
Ausnahme bei Einwilligungen – broad consent
Recht auf bereichsspezifische Personenkennzeichen
Registerforschung – Verordnung des Bundesminister/in
Ausschluss von Betroffenenrechten (unter bestimmten Voraussetzungen)
Förderverwaltung
…
4
DS-GVO
5
Allgemeines
Anwendungsbereich (sachlich)
- ganz oder teilweise automatisierte
Verarbeitung personenbezogener
Daten
- nicht automatisierte Verarbeitung
personenbezogener Daten in einem
Dateisystem
Begriffsbestimmungen
Personenbezogene Daten
- bezieht sich die Information auf einen Menschen?
Besondere Kategorien
personenbezogener Daten (sensible
Daten)
unter anderen:
- rassische/ethnische Herkunft
- Gesundheitsdaten (auch SV-Nummer)
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Zulässigkeit der
Datenverarbeitung
Es sei denn …
Zulässigkeit der
Datenverarbeitung
… es gibt
Treu und Glauben: Womit muss der Betroffene bei rechtmäßiger Verarbeitung redlicherweise rechnen?
Zweckbindung
Festlegung eines eindeutigen und legitimen Zwecks; Ausnahme Forschung: broad consent
Datenminimierung
Nur für die Verarbeitung notwendige Daten erheben!, Ausnahme Forschung: Big Data
Richtigkeit
Daten sachlich richtig und auf neuestem Stand
Zulässigkeit der
Datenverarbeitung
Grundsätze (Art 5) – Nachweis an Behörde!!
Speicherbegrenzung
Speicherung solange wie für die Zweckerreichung notwendig (gesetzliche Aufbewahrungsfristen, internes Berichtswesen
Archivwürdigkeit etc beachten)
Ausnahme Forschung: soweit keine zeitlichen Begrenzungen vorgesehen sind – unbeschränkte Speicherung
Verantwortlicher
Auftragsverarbeiter
Gemeinsame Verantwortliche
Begriffsbestimmungen
Verantwortlicher
Auftragsverarbeiter
zB: Cloud-Anbieter
Rechenzentren
Uni – Lehramt Zulassung
Auftragsverarbeitungsverträge abschließen!
Begriffsbestimmungen
Gemeinsame Verantwortliche
Solidarische Haftung!
Vereinbarungen abschließen!
Verantwortlichkeit -
Betroffenenrechte
© Uni Graz/Eklaude
© Uni Graz
© WIKI/Janisch
© Foto Fischer
© Uni Graz
Berichtigung
© Uni Graz © Uni Graz
Einschränkung der
Verarbeitung Datenübertragbarkeit
Quelle: Bilderpool der Pressestelle_Uni Graz
Verpflichtungen des
Verantwortlichen
Zulässigkeit der Datenverarbeitung
Informationspflichten
Datensicherheitsmaßnahmen
Schriftliche Vereinbarungen mit
Auftragsverarbeitern
Meldung/Benachrichtigung bei
Datenmissbrauch
Betroffenenrechte wahrnehmen
Verpflichtungen des
Verantwortlichen
NEU: unter anderem
neue Pflicht
Verantwortlicher
Auftragsverarbeiter (= weniger umfangreich)
„Ablöse“ des
Datenverarbeitungsregisters (DVR)
= „internes“ Dokument →
Vorweisen auf Anfrage der DSB
Verzeichnis von
Verarbeitungstätigkeiten (VdV)
– Allgemeines III
(Mindest-)Inhalt des VdV eines
Verantwortlichen:
Namen und Kontaktdaten des Verantwortlichen, ggf des Vertreters
sowie eines etwaigen Datenschutzbeauftragten
Kategorien betroffener Personen (zB MitarbeiterInnen, Kunden,…)
Kategorien persbez Daten (zB Personendaten, Kontaktdaten)
Empfängerkategorien, denen die persbez Daten offengelegt werden
(zB Finanzamt, Sozialversicherung)
Ggf Übermittlung an Drittländer oder IOs + Dokumentierung
geeigneter Garantien
Löschfristen und Beschreibung der technischen & organisatorischen
Maßnahmen („TOMs“)
Das VdV an der Uni Graz I
„Mehr“ an Inhalt
VdV → Basis für Entsprechung der Informationspflichten und
Betroffenenrechte
elektronische Führung
Quelle: https://www.phoenix-management.net/phoenix-als-datenschutz-management-system-dsms/
Das VdV an der Uni Graz II
„DS-Kontaktperson“
Weitere Vorgangsweise:
„Lebenzyklus“ personenbezogener
Daten
Erheben, Erfassen, Organisation, Ordnen,
Speichern, Anpassung oder Veränderung, Auslesen,
Abfragen, Löschen, Vernichten
Studienprüfungsabteilung:
Immatrikulation
Erhebung/Erfassung der
Studierendendaten
Löschung Dekanate:
Anmerkung: für jeden beteiligten
ua Evidenzhaltung
Bereich zu überlegen Studierende,
(Prüfungsprotokolle etc; für
gewisse Datenkategorien 80
Lehrveranstaltungsanmeld
Jahre) ungen
UNIGRAZOnline
elektronischer
Moodle
Studierendenakt
Institute:
Studienprüfungsabteilung: nach LV-Anmeldungen: Zuordnung von
Studierenden zu einzelnen LV´s bei
Abschluss des Studiums - Verleihung Überbelegungen etc;
akademischer Grade Verarbeitung pb Daten für LV-
Koordination
Perception Excellisten
Papierablage
Lehrende:
Dekanate:
Durchführung der LV´s; Prüfungen,
Ausstellung des Diplomprüfungs-
Verarbeitung von pb Daten im Rahmen
Bachelor- Masterzeugnisses
der zB Anwesenheitskontrolle, Mitarbeit
Institute:
Ablage von Prüfungsprotokollen
Imageschaden
Verantwortlichkeit
aber
Homepage: datenschutz.uni-graz.at