Generelle Information zur EU-Datenschutzgrundverordnung
Ab dem 25. Mai dieses Jahres gilt die Datenschutz-Grundverordnung (DS-GVO) unmittelbar und in sämtlichen Mitgliedsstatten der Europäischen Union. Das derzeit bestehende Datenschutzrecht soll damit harmonisiert und durch einen einheitlichen europäischen Rechtsrahmen ersetzt werden. Allerdings enthält die DS-GVO auch eine Vielzahl von Öffnungsklauseln, die dem nationalen Gesetzgeber einen bestimmten Spielraum hinsichtlich der Umsetzung der Vorschrift einräumen.
Das Hessische Datenschutzgesetz wurde Ende April 2016 neu gefasst und um die Informationsfreiheit ergänzt (HDSIG), es regelt insbesondere Fragen der Videoüberwachung und des Beschäftigtendatenschutzes.
Um den Vorgaben der DS-GVO zu entsprechen, müssen die Hochschulen in Hessen als öffentliche Stellen bestehende Strukturen und Prozesse zeitnah anpassen und fortentwickeln.
Allerdings sind bei einer bisherigen Einhaltung der Datenschutzvorgaben keine grundlegenden Änderungen des Umgangs mit Daten an der Hochschule zu erwarten, es treten jedoch verstärkte Vorgaben zur Transparenz und insbesondere zur Information der Betroffenen hinzu, welche etwa durch die neue Datenschutzerklärung der h_da und die Datenschutzerklärungen bei Einwilligungen etc. abgebildet werden.
In Bereichen, in welchen Datenverarbeitungen lediglich zur Erfüllung des notwendigen Studienbetriebs durchgeführt werden, ist vor allem zu prüfen, ob der bereits jetzt bestehende Grundsatz der „Erforderlichkeit“ der Datenverarbeitung auch nach der DS-GVO (privacy by design und by default). eingehalten wird.
Wesentliche Veränderungen der DSGVO und des HDSIG sind nachfolgend zusammengefasst
- Erweitert wird der Umfang der Informations- und Auskunftspflichten gegenüber Studierenden (Art. 13-15 DS-GVO). Gem. Art. 12 Abs. 1 DS-GVO sind die Betroffenen (also hier: Studierende) in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ über die Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
- Auch die sonstigen Rechte der Betroffenen werden gegenüber dem bisherigen Recht erweitert. Neu ist u.a. das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).
- Die DS-GVO sieht erweiterte Dokumentations- und Nachweispflichten vor. Dies betrifft u.a. den Nachweis der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DS-GVO), die erforderlichen technischen und organisatorischen Maßnahmen (Art. 24 DS-GVO) und den Einsatz geeigneter Auftragsverarbeiter (Art. 28 DS-GVO). Weitere Dokumentationspflichten ergeben sich aus Art. 30 DS-GVO (Führung eines Verarbeitungsverzeichnisses) und Art. 33 DS-GVO (Dokumentation von Datenschutzvorfällen.
- Einwilligungen von Beschäftigten sind nur unter bestimmten Voraussetzungen wirksam (§ 23 HDSIG).
- Hat eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Studierenden, so muss die Hochschule künftig eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) durchführen. Die Datenschutz-Folgeabschätzung ersetzt das Instrument der Vorabkontrolle, die bislang in § 7 Hessisches Datenschutzgesetz geregelt war. Diese ist vom Verantwortlichen zu erstellen; der oder die Datenschutzbeauftragte hat hier nur noch eine beratende Funktion. Im Rahmen der Datenschutz-Folgeabschätzung sind u.a. die Eintrittswahrscheinlichkeit und die Schwere der möglichen Risiken zu bewerten und Maßnahmen zur Eingrenzung der Risiken zu prüfen. Soweit erforderlich, muss die Hochschule zuvor die Aufsichtsbehörde konsultieren (Art. 36 DS-GVO).
- Art. 25 DS-GVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen (privacy by design and by default)“. Demnach hat die Hochschule ihre IT-Systeme so auszugestalten, dass die Grundsätze des Art. 5 Abs. 1 DS-GVO (Grundsätze der Verarbeitung personenbezogener Daten) wirksam umgesetzt werden. Dies gilt insbesondere für das Gebot der Datenminimierung. Danach dürfen nur so viele Daten erhoben werden, wie zur Erfüllung des Zwecks benötigt sind. Zudem müssen IT-Systeme so voreingestellt werden, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.
- Das Instrument der Auftragsdatenverarbeitung bleibt (Art. 28 DS-GVO). Allerdings ändert sich die Rolle des Auftragsverarbeiters hinsichtlich einer möglichen eigenen Haftung und Bußgeldpflicht. Bestehende Verträge sollten möglichst zeitnah auf einen durch die DS-GVO ausgelösten Anpassungsbedarf überprüft werden.
- Zudem wird durch Art. 82 DS-GVO die zivilrechtliche Haftung bei Datenschutzverstößen auch auf den Ersatz immaterieller Schäden erweitert.
- Erstmals wird auch für öffentliche Stellen eine Melde- und Benachrichtigungspflicht eingeführt (Art. 33 ff DS-GVO).
(Überarbeitete Information des Hessischen Datenschutzbeauftragten)