Leitfaden datenschutzkonforme Verarbeitung

1. Datenschutz ist Grundrechtsschutz. Aus dem Gedanken der Selbstbestimmung folgt das Recht jedes Menschen, grundsätzlich selbst zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will verhindern, dass der Einzelne durch den Umgang mit seinen personenbezogenen Daten in seinem Grundrecht auf informationelle Selbstbestimmung beeinträchtigt wird. 

2. Sofern Sie personenbezogene Daten verarbeiten (näher dazu Schritt 1), haben Sie eine Reihe von Vorgaben einzuhalten, die sich aus der Europäischen Datenschutzgrundverordnung (DS-GVO) ergeben. Konkret haben Sie

a. einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten zu erstellen, der den Anforderungen des Art. 30 DS-GVO genügt (näher Schritt 3),

b. die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 13 und 14 DS-GVO, näher Schritt 4)  und ggf.

c. deren Einwilligung einzuholen (nur, sofern für die Datenverarbeitung keine Rechtsgrundlage existiert, dazu näher Schritt 2, 5).

d. Sofern Sie planen, mit externen Datenverarbeitern zusammenzuwirken, sind zusätzliche Vereinbarungen notwendig, die den Anforderungen des Art. 26 bzw. 28 DS-GVO genügen  (Vereinbarung zur gemeinsamen Verantwortlichkeit bzw. Vertrag zur Datenverarbeitung im Auftrag, s. Schritt 6).

e. Darüber hinaus haben Sie zu prüfen, ob eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist. Das Ergebnis Ihrer Prüfung haben Sie zu dokumentieren. Falls Sie zu dem Ergebnis kommen, dass eine DSFA notwendig ist, haben Sie diese durchzuführen und zu dokumentieren (näher Schritt 7). 

3. Das Durchlaufen der Schritte 2.a.-e. bietet Ihnen eine sehr gute Möglichkeit, Ihre Prozesse zu optimieren. Sofern Sie einen dieser Schritte nicht durchlaufen, begehen Sie einen Gesetzesverstoß, der seitens unsere Aufsichtsbehörde, dem Beauftragten für Datenschutz und Informationsfreiheit des Landes RLP, mit Maßnahmen belegt werden kann. Zudem besteht in diesen Fällen das Risiko von Schadenersatzklagen der Betroffenen.

Fragen Sie sich zunächst, ob es für Ihr Vorhaben zwingend erforderlich ist, personenbezogene Daten zu verarbeiten oder ob Sie Ihre Ziele nicht ebenso gut durch die Verarbeitung anonymer Angaben erreichen können. Verarbeiten  Sie ausschließlich anonyme Daten, unterliegen Sie keinerlei rechtlichen Verpflichtungen zum Datenschutz, d.h. die Vorgaben der DS-GVO (bspw. Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, zur Einholung einer EInwilligung, zur Information der Betroffenen etc.) und weiterer Datehnschutzgesetze gelten nicht für Ihr Vorhaben. Sie müssen nichts weiter unternehmen, weiter unten beschriebene Schritte sind nicht notwendig.

Bei anonymen Daten ist die betroffene Person weder identifiziert noch identifizierbar (von niemandem!) oder ursprünglich personenbezogene Daten wurden so anonymisiert, dass eine Identifizierung nicht mehr möglich ist. Dies trifft z.B. bei einer politischen Wahl zu. Anonyme Daten zählen nicht zu den personenbezogenen Daten. 

Personenbezug weisen gemäß Art. 4 Nr. 1 DS-GVO alle Informationen auf, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen. Als identifizierbar wird eine natürliche Person angesehen, die, direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Bitte beachten Sie, dass auch pseudonym(isiert)e Informationen zu den personenbezogenen Daten zählen, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten (Bsp: Die Namen der betroffenen Personen werden durch fortlaufende Identifikationsnummern ausgetauscht; für die Zuordnung wird eine Liste angefertigt, die die jeweilige Identifikationsnummer dem jeweiligen Namen der Person zuordnet.). Ob eine Zuordnung tatsächlich stattfindet, ist nicht von Belang, es genügt, dass die Zuordnung möglich erscheint.

Die Abgrenzung von anonymen und pseudonymen/personenbezogenen Informationen ist eine oft sehr schwierige  Rechtsfrage, bei deren Beantwortung es auf eine Zusammenschau aller konkreten Umstände des Einzefalles ankommt. Sie sollten sich hier auf die fachliche Kompetenz der Datenschutzbeauftragten verlassen und diese im Zweifel immer um eine Einschätzung bitten.

Beispiele für personenbezogene Daten sind:

• Name, Vorname
• Adresse
• Telefonnummer
• Geburtsdatum
• Impfstatus
• E-Mail-Adresse
• die Kreditkarten- oder Personal- oder Matrikelnummer
• Autokennzeichen
• Kontodaten
• i.d.R. Verkehrs- und Nutzungsdaten wie IP-Adresse des Computers oder Standortdaten des mobilen Diensttelefons
• physische Daten wie das Aussehen, Fingerabdrücke
• Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein, politische Meinungen

Daten gelten im Übrigen nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei eine lebende Person unabhängig ihrer Herkunft. Ausschlaggebend ist dabei die Verarbeitung von Daten von EU-Bürgern. Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen hingegen nicht unter die Definition und sind damit nicht durch die DS-GVO geschützt.

Sollten Sie zu dem Ergebnis gelangen, dass Ihr Vorhaben Personenbezug aufweist, sind Sie verpflichtet, die nachfolgend beschriebenen Schritte zu gehen.

Nachdem Sie die Frage nach dem Personenbezug (Schritt 1) und der Grundlage der von Ihnen beabsichtigten Datenverarbeitung (Schritt 2) geklärt haben, widmen Sie sich der Erstellung Ihres Eintrages im Verzeichnis der Verarbeitungstätigkeiten (VVT). Der Eintrag im VVT beschreibt die konkret von Ihnen beabsichtigte Datenverarbeitung und muss die in Art. 30 DS-GVO geforderten Angaben enthalten. Er dient der Hochschule (bspw. gegenüber der Aufsichtsbehörde, dem Landesbeauftragten for Datenschutz und Informationsfreiheit) als Nachweis der ordnungsgemäßen Dokumentation dieser Datenverarbeitung.

Die Datenschutzinformation ist einerseits das an die Betroffenen gerichtete vereinfachte Spiegelbild des VVT (s.o. Schritt 3). Sie beschreibt für die Betroffenen auf leichte und verständliche Weise die von Ihnen geplante Datenverarbeitung und bildet in vielen Fällen die Grundlage für eine informierte Einwilligung dieser Personen. Zudem beeinhaltet sie eine Beschreibung der Rechte , die die Betroffenen gegenüber der Hochschule geltend machen/ausüben können (z.B. Recht auf Auskunft, Berichtigung, Löschung).

Der Inhalt der Datenschutzinformation hängt davon ab, ob die Daten direkt  bei den betroffenen Personen (art. 13 DS-GVO) oder aber bei  Dritten (Art. 14 DS-GVO) erhoben und ob die Datenverarbeitung auf eine Einwilligung oder eine Rechtsnorm gestützt werden (soll(en).

Das auf Ihre Datenverarbeitung zutreffende Muster erhalten Sie auf Anfrage von der Datenschutzbeauftragten.

Die Datenschutzinformation ist den betroffenen Personen vor Beginn der Datenverarbeitung zur Verfügung zu stellen. Sie ist stets zu erstellen, d.h. nicht nur in Einwilligungskonstellationen, sondern auch in Fällen, in denen die Datenverarbeitung auf eine Rechtsnorm gestützt wird (s.o. Schritt 2). 

Haben Sie in Schritt 2 festgestellt, dass Sie Ihre Datenverarbeitung nicht auf eine Rechtsnorm stützen können, ist  von Ihnen vor Beginn der Datenverarbeitung von jedem Betroffenen eine Einwilligung einzuholen. Dazu müssen Sie den Text einer Einwilligungserklärung erstellen.

Es wird empfohlen, die Einwilligungserklärungen auf schriftlichem Wege oder zumindest in Textform auf elektronischem Wege einzuholen, damit Sie die Einholung im Streitfalle nachweisen können.

Sofern in dem geplanten Vorhaben neben Ihnen eine oder mehrere weitere (externe) Partei(en) beteiligt sind und personenbezogene Daten verarbeiten, ist mit diesen Externen vor Beginn der Datenverarbeitung ein Vertrag abzuschließen, in dem die Rechte und Pflichten der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten geregelt sind.
Das Gesetz stellt Ihnen diesbezüglich zwei Vertragstypen zur Wahl: die Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO und die Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint-Controller-Vereinbarung, kurz: JCV) nach Art. 26 DS-GVO. 

Welcher von beiden Vertragstypen vorliegt, richtet sich wiederum nach der konkreten Ausgestaltung der Zusammenarbeit in Ihrem Vorhaben, genauer: nach der Rolle und Funktion, die Sie/Ihre (nicht)wissenschaftliche Struktureinheit in der Zusammenarbeit einnehmen/einnimmt.

Als Richtschnur gilt folgendes:

• Sofern Ihre Zusammenarbeit mit den/dem Externen durch ein Über-/Unterordnungsverhältnis geprägt ist, liegt die Situation einer Auftragsverarbeitung vor. Das Über-/Unterordnungsverhältnis entsteht durch die Weisungsbefugnis des Auftraggebers, die die Weisungsabhängigkeit des Auftragnehmers mit sich bringt. Vergeben Sie bspw. an einen Externen einen Auftrag zur Verarbeitung personenbezogener Daten und bestimmen allein Sie insbes. Art, Zweck und Ausmaß der Verarbeitung, treten Sie als Auftraggeber in Erscheinung. Als solcher sind allein Sie für die datenschutzkonforme Verarbeitung der dem Auftragnehmer überantworteten personenbezogenen Daten verantwortlich. Dieser Verantwortlichkeit kommen Sie nach, indem Sie in einer AVV die einzelnen Rechte und Pflichten des Auftragnehmers bestimmen. Sollten Sie lediglich als weisungsgebundener Auftragnehmer agieren, wird Sie - so die gängige Praxis - der externe Auftraggeber zur Unterzeichnung einer AVV auffordern, d.h. in diesem Fall brauchen Sie den Abschluss der AVV nicht aktiv betreiben.

• Sofern Ihre Zusammenarbeit mit den/dem Externen dagegen durch ein gleichberechtigtes Miteinander gekennzeichnet ist, liegt die Situation einer gemeinsamen Verantwortlichkeit vor. Sie und Ihre externen Partner legen gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest; Sie teilen sich die Aufgaben und sind für die ordnungsgemäße Verarbeitung gleichermaßen verantwortlich.