FAQ Datenschutz
Die Abkürzung steht für „Datenschutz-Grundverordnung“ und es handelt sich um eine direkt anzuwendende europäische Verordnung, in der geregelt wird, welche Vorgaben bei der Erhebung und Verarbeitung personenbezogener Daten zu beachten sind.
Es kann zusätzliche Gesetze in jedem Land geben, die bestimmte Dinge genauer regeln. Für die OvGU wäre dies das Landesdatenschutzgesetz für Sachsen-Anhalt. Da es zur Zeit aber kein aktuelles Landesgesetz gibt, gilt die DSGVO direkt. Das Bundesdatenschutzgesetz gilt nicht für öffentliche Einrichtungen der Länder, gilt also auch nicht für die Universität.
Deutschland hatte auch vorher schon ein vergleichsweise strenges Datenschutzgesetz und viele Grundsätze, z.B. die Datensparsamkeit (nur die Daten erheben, die man zwingend braucht) oder das „Verbot mit Erlaubnisvorbehalt“ (erstmal ist die Verarbeitung verboten, es sei denn, es gibt ein Gesetz, das sie erlaubt) galten hierzulande schon lange.
Wichtige Änderungen sind die gestiegenen Auskunfts- und Informationspflichten, verbunden mit der Einführung einer Rechenschaftspflicht. Das bedeutet, dass diese neuen Pflichten nicht nur eingehalten werden müssen, sondern die Einhaltung muss auch nachgewiesen werden. Die Informationen darüber, wie und welche personenbezogenen Daten verarbeitet werden, müssen dort gegeben werden, wo die Daten vom Betroffenen erhoben werden, also z.B. auf der Webseite, auf der über ein Formular Daten erfasst werden oder auch in einem Brief, wenn die Betroffenen ein Formular ausfüllen. Diese Informationen sind immer zur Verfügung zu stellen, nicht nur auf Anforderung. Auch spielt es keine Rolle, ob die Betroffenen in die Verarbeitung einwilligen müssen. Die Informationspflicht besteht auch für Verarbeitungen, für die es eine gesetzliche Grundlage gibt.
Ansprechpartnerin für Fragen zum Datenschutz ist die Datenschutzbeauftragte. Für spezifische Fragen wurden auch Funktionsadressen eingerichtet, über die Sie diejenigen Personen erreichen, die für das Thema zuständig sind:
Eine Einwilligungserklärung für die Erhebung und Verarbeitung personenbezogener Daten ist erforderlich, wenn es keine rechtliche Grundlage dafür gibt. Dann bleibt nur die Freiwilligkeit aufgrund der Einwilligung der Betroffenen. Diese Freiwilligkeit muss nachgewiesen werden, was üblicherweise durch das Einholen einer Einwilligungserklärung erfolgt. Das kann in elektronischer oder in Papierform erfolgen.
Eine Einwilligung ist nur möglich, wenn die Betroffenen ausreichende Informationen darüber erhalten, worin sie einwilligen. So ist mindestens eine Auflistung der zu erhebenden Daten mit den jeweiligen Zwecken, für die sie erhoben werden, erforderlich. Wenn diese Informationen schon an anderer Stelle gegeben werden kann direkt darauf verwiesen werden. Außerdem muss eine Einwilligung eine eindeutige Handlung erfordern. Es kann nicht von einem „stillschweigenden Einverständnis“ ausgegangen werden, Auswahlkästchen dürfen nicht vorausgewählt sein o.ä. Am besten sind eindeutige Formulierungen wie z.B. „Hiermit willige ich ein, dass…“, um eine nach der DSGVO gültige Einwilligungserklärung zu erhalten.
Da eine Einwilligung jederzeit und ohne Begründung widerrufen werden kann, muss angegeben werden, wie die Betroffenen das tun können. Das kann durch Angabe einer Kontaktmöglichkeit erfolgen und muss ebenso einfach möglich sein wie die Erklärung der Einwilligung.
Die Einwilligungserklärung muss entweder auf der Webseite erscheinen, auf der sich das Formular zur Erhebung der Daten befindet oder im Dokument enthalten sein, mit dem die Daten erhoben werden. Zur Unterstützung finden Sie im Formularpool eine Vorlage zur Erstellung von Einwilligungserklärungen, die Sie jedoch immer auf Ihren konkreten Fall anpassen müssen.
Hier gibt es klare Vorgaben in Artikel 13 der DSGVO, die als Checkliste dienen können. Einige der Angaben wiederholen sich und müssen deshalb nicht auf jeder Seite mit einem Formular wieder angegeben werden, es reicht dann ein Verweis auf ein zentrales Dokument. Für Informationen auf Webseiten kann z.B. immer auf die Datenschutzerklärung der Universität verwiesen werden.
Andere Angaben, insbesondere die Zwecke, für die die Daten verarbeitet werden und die rechtlichen Grundlagen dafür, die Dauer der Speicherung und eine eventuelle Weitergabe der Daten an Dritte müssen dann jeweils für den spezifischen Fall zusammengetragen und für die Betroffenen zur Verfügung gestellt werden.