Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

Hausmeisterservice (1) Bildinformationen anzeigen
Hausmeisterservice (2) Bildinformationen anzeigen
Hausmeisterservice (3) Bildinformationen anzeigen
Hausmeisterservice (4) Bildinformationen anzeigen

Hausmeisterservice

Hausmeisterservice (1)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (2)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (3)

Foto: Universität Paderborn, Adelheid Rutenburges

Hausmeisterservice

Hausmeisterservice (4)

Foto: Universität Paderborn, Adelheid Rutenburges

Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Zum einen wurden damit die Datenschutzstandards in der gesamten Europäischen Union harmonisiert, zum anderen erforderten die zunehmende Digitalisierung der Gesellschaft und der länderübergreifende Datenaustausch eine Modernisierung der Gesetzeslage. Die DSGVO gilt als Verordnung in allen EU-Mitgliedsstaaten unmittelbar. Mit ihrem Geltungsbeginn sind Datenschutzregelungen, die nicht mit der DSGVO kompatibel waren, obsolet geworden. Das betraf auch die bis dato geltenden deutschen Bundes- und Landesdatenschutzgesetze.

Die DSGVO bot den nationalen Gesetzgebern die Möglichkeit, bestimmte Regelungen und Bereiche der DSGVO, mittels sog. Öffnungsklauseln zu konkretisieren. Dazu wurden das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetzte (LDSG) novelliert. Für die Universität als eine vom Land NRW getragene, rechtsfähige Körperschaft des Öffentlichen Rechts, gilt zusätzlich zur DSGVO das neue Datenschutzgesetz Nordrhein-Westfalen (DSG NRW).

Wichtigste Änderungen auf einen Blick

Die Datenschutz-Grundverordnung baut auf den bereits vorher vorhandenen Datenschutzprinzipien auf, bringt aber auch Neurungen mit sich. Die für den Hochschulbereich relevanten Neuerungen werden im Folgenden erläutert.

  1. Rechenschaftspflichten (Art. 5, Abs. 2 sowie Art. 24 Abs. 1 DSGVO): Der Verantwortliche ist für die Einhaltung der Grundprinzipien gem. Art. 5, Abs. 1 DSGVO verantwortlich und muss diese, ggf. durch ausführliche Dokumentation, nachweisen können. Als Verantwortlicher gilt eine Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit den anderen über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. (Art. 4, Nr. 7 DSGVO)
  2. (proaktive) Informationspflichten (Art. 13, 14 DSGVO): Den betroffenen Personen muss spätestens zum Zeitpunkt der Datenerhebung (bspw. bei der Einwilligung) u. a. folgende Informationen mitgeteilt werden:
    • Identität des Verantwortlichen
    • Kontaktdaten des Datenschutzbeauftragten
    • Verarbeitungszwecke und Rechtsgrundlage
    • Empfänger
    • Übermittlung an Drittstaaten
    • Dauer der Speicherung
    • Rechte der Betroffenen
    • Widerrufbarkeit von Einwilligungen
    • Beschwerderecht bei der Aufsichtsbehörde

      Die Informationspflicht besteht auch in dem Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben wurden ("Dritterhebung"). Eine Liste mit allen anzugebenden Informationen steht im Abschnitt Informationspflichten.
  3. Auskunftsrecht mit dem Recht auf Datenkopie (Art. 15 DSGVO): Die betroffene Person hat das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob und welche sie betreffende personenbezogene Daten bei diesem gespeichert bzw. verarbeitet werden. Der Verantwortliche ist verpflichtet der betroffenen Person innerhalb eines Monats eine Datenkopie zur Verfügung zu stellen.
  4. Verzeichnis von Verarbeitungstätigkeiten (Art. 30, DSGVO): Die bisherigen Verfahrensverzeichnisse werden durch das neue Verzeichnis von Verarbeitungstätigkeiten abgelöst. Im Gegensatz zum alten Recht ist dieses nicht mehr von den Datenschutzbeauftragten, sondern von den Verantwortlichen und ggf. Auftragsverarbeitern, zu führen. Das Verzeichnis der Verarbeitungstätigkeiten enthält sämtliche Informationen zu Verarbeitungstätigkeiten mit personenbezogenen Daten und dient dem Nachweis der Einhaltung der DSGVO bei Kontrolle der Aufsichtsbehörde.
  5. Meldepflichten mit Fristen (Art. 33, 34 DSGVO): Bei einer Verletzung des Schutzes personenbezogener Daten (Datenpanne, Datenschutzverletzung) hat der Verantwortliche unverzüglich und spätestens binnen 72 Stunden sowohl die Aufsichtsbehörde als auch die betroffene Person darüber zu informieren, falls durch die Datenschutzverletzung ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Der Verantwortliche muss dabei die Datenschutzverletzung, ihre Folgen, sowie Abhilfemaßnahmen dokumentieren. Die Meldepflicht entfällt, falls durch die Datenschutzpanne kein Risiko für Rechte und Freiheiten der natürlichen Person entsteht. Dies ist z. B. dann der Fall, wenn die personenbezogenen Daten, etwa durch Verschlüsslung, für Unbefugte unzugänglich gemacht worden sind.
  6. Datenschutz-Folgenabschätzung (Art. 35, DSGVO): Die obligatorische Vorabkontrolle des alten NRW-Rechts wird durch eine Datenschutz-Folgenabschätzung (DSFA) ersetzt. Im Gegensatz zu der Vorabkontrolle, wird die DSFA von den Verantwortlichen und nicht von den Datenschutzbeauftragten vorgenommen. Sie soll mit Beratung der Datenschutzbeauftragten für die Verarbeitungen durchgefügrt werden, bei denen ein hohes Risiko für Rechte und Freiheiten der Betroffenen zu erwarten ist. Solche Verarbeitungen sind z. B.:
    • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
    • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die Universität der Informationsgesellschaft