Am 27.04.2016 wurde die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung bzw. DSGVO) erlassen.
Das Ziel der DSGVO ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Die verbindliche und unmittelbare Anwendung der DSGVO ist ab dem 25.05.2018 in allen europäischen Mitgliedstaaten verpflichtend.
Für die Universität bedeutet dies die Notwendigkeit, neue datenschutzrechtlich relevante Prozesse einzuführen bzw. bereits bestehende Prozesse anzupassen, um die gestiegenen Anforderungen der DSGVO an die Verantwortliche, d.h. die Universitätsleitung, zu erfüllen.
Zwei wesentliche Neuerungen sind die Stärkung der Betroffenenrechte, Art. 12–23 DSGVO sowie die Einführung von Dokumentationspflichten, Art. 30 DSGVO.
1) Stärkung der Betroffenenrechte gemäß Art. 12–23 DSGVO, insbesondere erweitertes Auskunftsrecht gemäß Art. 15 DSGVO
Gemäß Art. 15 DSGVO haben betroffene Personen das Recht, Auskunft über die von der Universität gespeicherten personenbezogenen Daten sowie weitere Informationen, wie beispielsweise die Verarbeitungszwecke und die geplante Speicherdauer, zu verlangen.
„Personenbezogene Daten“ sind nach der Legaldefinition des Art. 4 Nr. 1 HS. 1 DSGVO „[...] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen.“
Um den Anforderungen der DSGVO zu entsprechen und eine möglichst rasche und vollständige Auskunft über die von der Universität Passau verarbeiteten Daten erteilen zu können, wurden seitens der Datenschutzbeauftragen, Frau Sperrhake, bereits ein Workflow zur Datenauskunft sowie Muster-Formulare für betroffenen Personen und Universitätsmitglieder erarbeitet. Weitere Informationen zu diesem Thema und die entsprechenden Dokumente können Sie unter www.uni-passau.de/datenschutz einsehen und herunterladen.
2) Verstärkte Dokumentationspflichten, Art. 30 DSGVO
Die Universität Passau ist nach Art. 30 DSGVO dazu verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, um sämtliche Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, zu dokumentieren. Hierbei handelt es sich um eine Erweiterung des bereits aktuell bestehenden und von der Datenschutzbeauftragten geführten Verfahrensverzeichnisses.
Ein vollständiges und aktuelles Verarbeitungsverzeichnis ist dabei insbesondere zwingende Voraussetzung für die Wahrung der Betroffenenrechte nach Art. 12-23 DSGVO, speziell einer ordnungsgemäßen Auskunft gemäß Art. 15 DSGVO. Nur so kann sichergestellt werden, dass sämtliche an der Universität Passau genutzten Verfahren nach personenbezogenen Daten des oder der Ersuchenden abgefragt werden können. Ihre Mitwirkung an der Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten ist somit zentraler Ausgangspunkt für die Erfüllung weiterer, sich aus der DSGVO ergebenden Aufgaben der Verantwortlichen.
In einem ersten Schritt ist es daher erforderlich, alle Verarbeitungstätigkeiten, die an der Universität Passau ausgeführt werden, zu erfassen und das bestehende Verzeichnis zu aktualisieren. Ich bitte Sie daher, die in Ihrem Arbeitsbereich ausgeführten Verarbeitungstätigkeiten mithilfe der unter www.uni-passau.de/verfahrensbeschreibung bereitgestellten Formulare zeitnah zu erfassen. Dort finden Sie auch weitere Informationen über bereits gemeldete Verarbeitungstätigkeiten und Dokumente.
Zu weiteren datenschutzrechtlichen Neuerungen, die mit der DSGVO bzw. dem neuen Bayerischen Datenschutzgesetz (BayDSG) verbunden sind, werden Sie informiert. Ihre Anfragen zu diesem Schreiben richten Sie bitte an datenschutz@uni-passau.de.
Mit den besten Grüßen
Prof. Dr. Carola Jungwirth
Präsidentin der Universität Passau
Weitere Informationen entnehmen Sie bitte der Anlage des Schreibens.