Presseportal

„Bei einem Verstoß droht Schadenersatz gegenüber den Betroffenen“

Gesine Hoffmann-Holland, die behördliche Datenschutzbeauftragte, spricht über die Datenschutzgrundverordnung der EU

Alternativtext
Foto: Pixabay.com

Ab 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO). Sowohl für Behörden und Unternehmen als auch für Privatpersonen bringt sie viele Änderungen im Vergleich zur bisherigen Rechtslage mit sich. Ziel der 99 Artikel ist ein einheitliches Datenschutzrecht innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden (Betroffene). Die Auswirkungen für die Mitglieder der Humboldt-Universität zu Berlin (HU) erklärt die behördliche Datenschutzbeauftragte, Gesine Hoffmann-Holland.

Was ist die DSGVO genau?

Die DSGVO entwickelt den Datenschutz fort und stützt sich dabei auf  bewährte Grundprinzipien. So bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Diese kann auch in der Einwilligung der Betroffenen bestehen. Die Prinzipien der Datenminimierung, der Erforderlichkeit, der Zweckbindung und der Transparenz sind maßgeblich. Die DSGVO bringt umfassende Informations- und Nachweispflichten mit sich. Die Verantwortlichen müssen nicht nur sicherstellen, dass sie alle Vorgaben der DSGVO erfüllen, sondern dies zudem auch nachweisen können. Das ist die sogenannte Rechenschaftspflicht.

Welche Abteilungen der HU sind betroffen?

Von der DSGVO sind alle Stellen der HU betroffen, die personenbezogene Daten verarbeiten.

Was sind personenbezogene Daten?

Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Was heißt das genau?

Ein personenbezogenes Datum ist im Prinzip jede Information, die einer identifizierten oder identifizierbaren Person zugeordnet werden kann, das heißt,  es muss nicht zwangsläufig ein körperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt. Eine Person kann ohne Namensangabe identifizierbar sein. Auch Daten, über die sich ein Personenbezug herstellen lässt, sind als personenbezogene Daten anzusehen, beispielsweise Kfz-Kennzeichen, Kontonummern, Rentenversicherungsnummern oder Matrikelnummern.

Wie kann man das feststellen?

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten nach Erwägungsgrund 26 DSGVO alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei kommt es darauf an, ob es wahrscheinlich ist, dass die Daten mit den zur Verfügung stehenden Mitteln und unter Berücksichtigung verfügbarer Technologie und technologischer Entwicklungen sowie von Zeit- und Kostenaufwand einer bestimmten Person zugeordnet werden können.

Welche Probleme, Anforderungen ergeben sich in der Praxis einer Universität?

Die Probleme und Anforderungen sind vielschichtig. Vordringlich ist, dass jede Stelle der HU, die personenbezogene Daten verarbeitet, ihre jeweiligen Verarbeitungstätigkeiten listet und dafür das entsprechende Formular für das Verzeichnis von Verarbeitungstätigkeiten ausfüllt. Dies gilt für Auftragsverarbeiter entsprechend.

Die DSGVO stärkt die Betroffenenrechte. Kernstück sind dabei Transparenz und Information. Stillschweigen, vorab angekreuzte Kästchen oder Untätigkeit der betroffenen Person können in Zukunft keine Einwilligung mehr darstellen, sogenannte opt-out-Lösungen sind nicht mehr zulässig, sie müssen durch opt-in-Lösungen ersetzt werden. Die Einwilligung muss durch eine „eindeutige bestätigende Handlung“ erklärt werden und darf jederzeit für die Zukunft widerrufen werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Die Information einschließlich Verantwortlichkeiten und Ansprechpartner für die Betroffenenrechte muss klar und umfassend sein. Mindestangaben zur DSGVO-konformen Einwilligung im Hochschulbereich sind auf unseren Internetseiten aufgelistet. Verletzungen des Schutzes personenbezogener Daten, wie etwa Datenlecks oder andere „Datenschutz-Unfälle“, sind unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde und der betroffenen Person mitzuteilen.

Wer kontrolliert die Umsetzung der Verordnung?

Neben der Kontrolltätigkeit der internen Datenschutzbeauftragten kontrollieren die Aufsichtsbehörden die Umsetzung der Verordnung. Für die Berliner Universitäten ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Was droht bei einem Verstoß?

Bei einem Verstoß gegen die DSGVO drohen – neben dem öffentlichen Ansehensverlust – Schadenersatz gegenüber den Betroffenen und zudem Verwarnungen, Anweisungen, Verarbeitungsverbote und Anordnungen sowie die Verhängung von Geldbußen seitens der Aufsichtsbehörde.

Wie unterstützen die Datenschutzbeauftragten der HU bei der Umsetzung?

Die Datenschutzbeauftragten stehen den Verantwortlichen und Betroffenen in allen Fragen des Datenschutzes beratend zur Seite. So beraten wir bei der Erstellung von Datenschutzkonzepten, Informationsschriften und Einwilligungserklärungen, leisten Hilfestellungen zur Anfertigung des Verfahrensverzeichnisses, informieren über Rechtsgrundlagen und geeignete Maßnahmen zum Datenschutz. Darüber hinaus bieten wir im Rahmen der beruflichen Weiterbildung auch Fortbildungen im Bereich Datenschutz an.

Die Fragen stellte Ljiljana Nikolic

Weitere Informationen

Datenschutz an der HU