Hochschule Hannover Der Datenschutzbeauftragte. Ausfüllhinweise zum Formular Darstellung der Verarbeitungstätigkeit

Transkript

1 Ausfüllhinweise zum Formular Darstellung der Verarbeitungstätigkeit Vorbemerkung: Jeder Verantwortliche und damit auch jede öffentliche Stelle ist gemäß Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten 1 mit personenbezogenen Daten 2 zu führen (bisher: Verfahrensverzeichnis). Dieses Verzeichnis stellt eine wesentliche Grundlage für eine strukturierte Datenschutzdokumentation dar und hilft den Verantwortlichen dabei, nach Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben der DSGVO eingehalten werden (sog. Rechenschaftspflicht). Mit dem Verzeichnis sind aber nicht alle Dokumentationspflichten der DSGVO erfüllt. Für jede einzelne Verarbeitungstätigkeit ist eine Darstellung nach Maßgabe des Art. 30 DSGVO anzufertigen (bisher: Verfahrensbeschreibung), welche sodann in das Verzeichnis aller Verarbeitungstätigkeiten aufgenommen wird. Das Verzeichnis und damit auch jede Darstellung einer Verarbeitungstätigkeit betrifft alle ganz oder teilweise automatisierten Verarbeitungen, sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem 3 gespeichert sind oder gespeichert werden sollen. Das Präsidium der Hochschule Hannover hat mit Beschluss vom die Zuständigkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit wie folgt geregelt: 1. Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit der Verwaltungseinheiten obliegt der Leitung der jeweiligen Organisationseinheit. 2. Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit der Fakultäten obliegt dem jeweiligen Dekanat. 3. Die Verantwortlichkeit für die Erstellung von Darstellungen einer Verarbeitungstätigkeit bei Forschungsvorhaben obliegt der jeweiligen Projektleitung. Die Darstellung einer Verarbeitungstätigkeit nach Art. 30 DSGVO erfolgt auf Grundlage eines von der Hochschule bereitgestellten Formulars. Das Verzeichnis aller Verarbeitungstätigkeiten 1 Verarbeitung bezeichnet nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, das Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 2 Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare Person natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 3 Dateisystem ist nach Art. 4 Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. 1

2 wird beim Datenschutzbeauftragten geführt. Die vollständig ausgefüllte Darstellung ist zur Aufnahme in das Verzeichnis aller Verarbeitungstätigkeiten daher weiterhin dem Datenschutzbeauftragten zuzuleiten. Diese Ausfüllhinweise sollen Ihnen dabei helfen, selbständig das Musterformular auszufüllen. Bei Rückfragen wenden Sie sich bitte an den Datenschutzbeauftragten der Hochschule Hannover Zur Kopfzeile: Bezeichnung der Verarbeitungstätigkeit In der Kopfzeile des Formulars ist die Verarbeitungstätigkeit, für die die Beschreibung erstellt wird, zu bezeichnen. Dabei soll die komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst für sich sprechenden Namens verwendet werden. Zum Beispiel: Prüfungsverwaltung, Berufungsverwaltung oder Zulassungsverfahren. Zudem ist anzugeben, ob es sich um eine erstmalige Beschreibung, um eine Aktualisierung eines bereits bestehenden Verfahrens oder um die Beendigung der Verarbeitungstätigkeit (Löschung) handelt. Federführende Organisationseinheit/Projektverantwortlicher Innerhalb der HsH fertigt die für das jeweilige Verfahren fachlich federführende Organisationseinheit (OE), das Dekanat oder die Projektleitung die Verfahrensbeschreibung ggf. unter Beteiligung der weiterhin beteiligten OEs 4 - an. Dabei ist auch anzugeben, welche Person als Ansprechpartner für etwaige Rückfragen zur Verfügung steht. Zu 1.) Zwecke der Verarbeitung Der Zweck der Datenverarbeitung ist so präzise wie möglich und für einen Außenstehenden verständlich zu benennen. Die aus Sicht des Datenschutzes relevanten Aspekte sollten deutlich werden, was bedeutet, dass die Zwecke so eindeutig und aussagekräftig beschrieben werden sollen, dass bspw. die Aufsichtsbehörde die Angemessenheit getroffener Schutzmaßnahmen sowie die Zulässigkeit der Verarbeitung vorläufig einschätzen können soll. Zu 2.) Kategorien betroffener Personen und Kategorien personenbezogener Daten Kategorien betroffener Personen 4 Häufig wird die Hochschul-IT an den Verfahren beteiligt sein. 2

3 Als betroffene Personen bezeichnet man die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Betroffene Personen sind beispielsweise diejenigen Personen, deren Daten in einer Datenbank der datenverarbeitenden Stelle gespeichert werden. Dabei kommt es nicht darauf an, ob die Hochschule die Daten durch eigene Mitarbeiter verarbeitet oder ob die Betroffenen ihre Daten in einer von der Hochschule bereitgestellten Datenbank selbst eingeben, etwa bei der Nutzung der von der Hochschule betriebenen Moodle-Plattform. Unter Kategorien sind aussagekräftige Oberbegriffe zu verstehen. Die betroffenen Personen können bspw. wie folgt kategorisiert werden: Beschäftigte, Beschäftigte der Organisationseinheit XY, Studierende, Studierende des Studiengangs XY, Teilnehmende der Veranstaltung XY, Benutzer*innen der Bibliothek, usw. Kategorien personenbezogener Daten Hier sind die zu verarbeitenden Datenkategorien so konkret wie möglich aufzuführen. Die Beschreibung muss stets verdeutlichen, was in Bezug auf den jeweiligen Betroffenen gespeichert wird. Wesentlich hierfür ist eine hinreichend detaillierte Darstellung der entsprechenden Datenkategorien. Beispiele: Anschriften, Personenstammdaten Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO sollte gesondert beschrieben 5 und durch Fettdruck hervorgehoben werden. Die Angaben müssen sämtliche Datenkategorien umfassen, die verarbeitet werden, wobei Verarbeitung jeglichen Umgang mit personenbezogenen Daten umfasst. Sofern weitere Zeilen für die Eintragungen benötigt werden, können diese direkt in das Formular eingefügt werden. Zu 3.) Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Zu beschreiben sind hier die Kategorien hochschulexterner Empfänger, denen die Daten offen gelegt worden sind (Vergangenheit) oder offengelegt werden (Zukunft) und zwar innerhalb und außerhalb der EU. Zu Empfängern innerhalb und außerhalb der EU: Hochschulexterne Empfänger können bspw. sein: andere Behörden, Sozialversicherungsträger Auftragsverarbeiter usw, 5 Hierbei handelt es sich um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. 3

4 In der rechten Spalte werden hierbei die jeweiligen Empfänger angegeben, während in der linken Spalte die laufenden Nummern der jeweils offengelegten Daten angegeben werden. Besonderheiten zu Empfängern außerhalb der EU: Hier sind Angaben zu hochschulexternen Empfängern in Drittländern und Internationalen Organisationen, einschließlich der Angabe des betreffenden Drittlandes oder der betreffenden Internationalen Organisation zu machen. Bei diesen Empfängern handelt es sich um keine Kategorien. Sie sind also jeweils konkret zu benennen. In den Fällen des Art. 49 Abs. 1 Unterabs. 2 DSGVO muss nach Art. 49 Abs. 6 DSGVO der Verantwortliche die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Abs. 1 Unterabs. 2 in dieser Dokumentation erfassen. Bitte beachten Sie: Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Auch kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesen erbracht werden. Zu 4.) Fristen für die Löschung von Daten Hier sind die vorgesehenen Fristen für die Löschung der unterschiedlichen Datenkategorien anzugeben. Ein allgemeiner Verweis auf Aufbewahrungspflichten genügt hier nicht, vielmehr sind präzise Angaben zu machen. Hierzu Folgendes: Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn der Zweck Ihrer Speicherung erreicht wurde. Sie müssen sich also überlegen, wie lange die benannten Personenbezogenen Daten zur Erreichung des Zwecks benötigt werden. Ferner sind Daten zu löschen, wenn die Rechtsgrundlage für die Erhebung der Daten wegfällt, z. B. wenn die Einwilligung widerrufen wird. Hier sind auch die weiteren in Art. 17 DSGVO beschriebenen Tatbestände zu beachten, bei denen ein Recht auf Löschung (Recht auf Vergessenwerden) besteht. Etwas anderes gilt, wenn die weitere Verarbeitung u.a. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historischen Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erfolgt, soweit das Recht auf Löschung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. Die Aufbewahrung von Verwaltungsvorgängen richtet sich nach Ziffer 9.2 der Aktenordnung für die niedersächsische Verwaltung (Nds. AktO). Danach beträgt die regelmäßige Aufbewahrungsfrist 15 Jahre. Sie kann auf bis zu 5 Jahre verkürzt werden, soweit dies nach der Bedeutung des Akteninhalts ausreichend ist. Zu 5.) Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs. 1 DSGVO 4

5 Unter diesem Punkt ist eine allgemeine, einfach nachvollziehbare Beschreibung der zur datenschutzgerechten Verarbeitung getroffenen technischen und organisatorischen Maßnahmen aufzunehmen. Die Beschreibung der jeweiligen Maßnahme ist dabei konkret auf die Kategorie betroffener Personen bzw. personenbezogener Daten i.s.d. Art. 30 Abs. 1 S.2 lit. C DSGVO zu beziehen, soweit eine entsprechende Differenzierung in der Anwendung erfolgt. Viele der technischen und organisatorischen Maßnahmen liegen im Zuständigkeitsbereich der Hochschul-IT. Wenden Sie sich daher zur Beantwortung der Fragen auch an die Leitung der H-IT, Herrn Carsten Hellmich (Carsten.Hellmich@hs-hannover.de). Inhalte der in Art. 32 Abs. 1 DSGVO genannten Maßnahmenbereiche können sein: Pseudonymisierung personenbezogener Daten Verschlüsselung personenbezogener Daten Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste, die den unautorisierten Zugriff auf personenbezogene Daten verhindern sollen, sowohl beim Verantwortlichen selbst als auch auf dem Transportweg zu Auftragsverarbeitern oder Dritten, z.b. o Zutritts und Zugangskontrolle o Zugriffskontrolle o Weitergabekontrolle Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste, d.h. Maßnahmen die sicherstellen sollen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und vorhanden sind, wenn sie gebraucht werden, z.b. Backups, Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage u.a.) Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen Die in Art. 32 Abs. 1 DSGVO vorgenommene Aufzählung ist nicht abschließend. 5