Achtung:

Sie haben Javascript deaktiviert!
Sie haben versucht eine Funktion zu nutzen, die nur mit Javascript möglich ist. Um sämtliche Funktionalitäten unserer Internetseite zu nutzen, aktivieren Sie bitte Javascript in Ihrem Browser.

Die Universität im Winter mit Blick auf den Turm vom J-Gebäude. Bildinformationen anzeigen

Die Universität im Winter mit Blick auf den Turm vom J-Gebäude.

Foto: Universität Paderborn, Adelheid Rutenburges

Informationspflichten

Eine der wichtigen Neuerungen der DSGVO sind die proaktiven Informationspflichten. Die Universität muss spätestens bei der Erhebung personenbezogener Daten den betroffenen Personen gemäß Artikel 13 DSGVO mindestens folgende Informationen in einfach verständlicher Sprache mitteilen:

  • den Namen und die Kontaktdaten der Universität,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die berechtigten Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht,
  • gegebenenfalls die Empfänger (oder Kategorien von Empfängern) der personenbezogenen Daten.

Falls personenbezogene Daten an ein Drittland / eine internationale Organisation (d. h. außerhalb des Geltungsbereichs der DSGVO) übermittelt werden sollen:

  • die Absicht die Daten zu übermitteln,
  • das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der EU-Kommission,
  • (oder) im Falle von Übermittlungen außerhalb der EU gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit diese Informationen zu erhalten.

Wenn die Erhebung nicht bei den Betroffenen selbst erfolgt, müssen (gemäß Art. 14 DSGVO) die Kategrorien der verarbeiteten personenbezogenen Daten mitgeteilt werden. Es empfiehlt sich aber auch im Falle der Erhebung bei den Betroffenen (gemäß Art. 13 DSGVO) Angaben zu den verarbeiteten personenbezogenen Daten in die bereitgestellten Datenschutzinformationen / Datenschutzhinweise aufzunehmen, um die Transparenz der Verarbeitung zu gewährleisten. Dies sollte lediglich unterbleiben, wenn die Datenschutzinformationen in direktem Zusammenhang mit einer Datenerhebung gegeben werden, also bspw. Anhang eines Formulars sind, aus dem sämtliche verarbeiteten Daten unmittelbar hervorgehen.

Zusätzlich dazu müssen die betroffenen Personen zum Zeitpunkt der Datenerhebung über Folgendes informiert werden:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffenen Personen verpflichtet sind, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO und -zumindest in diesen Fällen- aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen.

Darüber hinaus müssen die betroffenen Personen über das Bestehen folgender Rechte informiert werden:

  • Recht auf Auskunft
  • Rechte auf Berichtigung, Löschung und auf Einschränkung der Verarbeitung,
  • Recht auf einen Widerspruch gegen die Verarbeitung,
  • Recht auf Datenübertragbarkeit,
  • Recht, eine Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
  • Recht auf Beschwerde bei einer Aufsichtsbehörde.

Falls personenbezogene Daten für einen anderen Zweck als erhoben verarbeitet werden sollen, hat der Verantwortliche den betroffenen Personen bereits vor der Weiterverarbeitung u.a. Informationen über diesen anderen Zweck zur Verfügung zu stellen. Die Informationen müssen den betroffenen Personen nicht mitgeteilt werden, falls sie bereits darüber verfügen.

Zur Information der betroffenen Personen kann das folgende Muster als Rahmen dienen, muss aber an die konkrete Verarbeitung angepasst werden:

Werden personenbezogene Daten gespeichert oder sonst verarbeitet, die nicht direkt bei der betroffenen Person erhoben wurden, unterliegt die Universität Paderborn auch der Informationspflicht (Artikel 14 DSGVO). Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen diese darüber hinaus Angaben zu den Quellen der Daten enthalten und darüber, ob diese öffentlich zugänglich sind.

Werden Webseiten in der Universität betrieben, so kann ggf. auf die zentrale Datenschutzerklärung der Universität verwiesen werden, sofern keine andere als dort beschriebene Datenverarbeitung stattfindet. (D. h. es werden keine abweichenden Log-Daten verarbeitet, keine Cookies gesetzt, keine weiteren Dienste eingebunden etc. Die zentrale Datenschutzerklärung gilt in der Regel nicht für Seiten auf eigenen Severn.)

Für die Nutzung von Formularen innerhalb des zentralen Webangebots der Universität (TYPO3) gibt es Hinweise und Beispielformulierungen im HilfeWiki des IMT.

Beim Betrieb eigener (webbasierter) Dienste kann man sich an den folgenden Beispielen für Datenschutzhinweise / Datenschutzerklärungen / Informationsblätter orientieren, muss diese aber jeweils an die eigene Verarbeitung anpassen:

Weitere Informationen:

Die Universität der Informationsgesellschaft