Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

Hausmeisterservice (1) Bildinformationen anzeigen
Hausmeisterservice (2) Bildinformationen anzeigen
Hausmeisterservice (3) Bildinformationen anzeigen
Hausmeisterservice (4) Bildinformationen anzeigen

Hausmeisterservice

Hausmeisterservice (1)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (2)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (3)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (4)

Foto: Universität Paderborn, Adelheid Rutenburges

Datenschutz-Folgenabschätzung

Im altem NRW-Datenschutzgesetz war geregelt, dass die behördlichen Datenschutzbeauftragten vor Inbetriebnahme jedes einzelnen Verfahrens hierfür eine sogenannte Vorabkontrolle hinsichtlich möglicher Gefahren für das Recht der informationellen Selbstbestimmung der Betroffenen durchführten. Deren Ergebnisdokumentation war Bestandteil des Verfahrensverzeichnisses. In der EU-Datenschutz-Grundverordnung (DSGVO) wurde anstelle der Vorabkontrolle nun die Datenschutz-Folgenabschätzung (DSFA) etabliert (Art. 35 DSGVO).

Vorprüfung

Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn durch eine Verarbeitung ein hohes Risiko für die Betroffenen zu erwarten ist. Dies trifft für die meisten Verarbeitungen an der Universität nicht zu, die DSFA ist also eher die Ausnahme denn die Regel. Für eine erste Bewertung der Risiken und der Feststellung ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss, kann eine sogenannte Schwellwertanalyse durchgeführt werden (s. Handreichung DSFA − Datenschutz-Folgeabschätzung - Grundlagen, Methodik). Basis für die Schwellwertanalyse ist eine Dokumentation der Verarbeitung, insbesondere das erstellte Verzeichnis von Verarbeitungstätigkeiten (VVT). Bei Fragen können die Datenschutzkoordinatorinnen und Datenschutzkoordinatoren der einzelnen Bereiche weiterhelfen.

Über die Schwellwertanalyse hinaus ist die Liste der LDI NRW von Verarbeitungsvorgängen, für die zwingend eine DSFA durchgeführt werden muss, zu beachten. Diese Liste enthält keine Verarbeitungen, die für Hochschulen relevant sind, sollte aber genutzt werden, um Verarbeitungen ähnlichen (d. h. großen) Umfangs und mit vergleichbaren Risiken zu erkennen.

Durchführung

Mit der DSFA erfolgt für eine Verarbeitung personenbezogener Daten die Bewertung möglicher Risiken für die Rechte und Freiheiten natürlicher Personen. Die DSFA ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Basierend auf den festgestellten Risiken werden Maßnahmen geplant und umgesetzt, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der DSGVO nachgewiesen werden kann.

Der Verarbeiter holt bei der Durchführung der Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten der Universität ein.

Umgang mit hohen Restrisiken

Ergibt sich aus der Datenschutz-Folgenabschätzung für die Verarbeitung ein hohes Risiko und kann der Verarbeiter keine Maßnahmen zu Eindämmung dieses Risikos treffen, so muss er vor der Verarbeitung die Aufsichtsbehörde konsultieren (Art. 36 DSGVO).

Weitere Informationen:

Beispiele für Datenschutz-Folgenabschätzungen

Die Universität der Informationsgesellschaft