Basics
Datenschutz in der ÖA
FLORIANHALLASCHKA
Der Datenschutzbeauftragte
A. Grundsätze des Datenschutzes I. Rechtmäßigkeit
II. Erforderlichkeit III. Transparenz
IV. Technisch-organisatorische Maßnahmen
V. Betroffenenrechte
Datenschutz in der ÖA - Basics 18.03.2021
Grundsätze des Datenschutzes
I. Rechtmäßigkeit: Datenverarbeitung muss eine Einwilligung oder eine gesetzliche Vorschrift zur Grundlage haben.
II. Erforderlichkeit: Nur so viele Daten verarbeiten, wie zur Aufgabenerfüllung zwingend erforderlich ist.
Begrenzter, notwendiger Personenkreis (need-to-know- Prinzip)
III. Transparenz: Informationspflichten – Dokumenta- tionspflichten – Rechenschaftspflicht
Grundsätze des Datenschutzes
IV. Technisch-organisatorische Maßnahmen: Es sind technische und organisatorische
Sicherheitsmaßnahmen nach dem Stand der Technik und gemäß dem Risiko vorzusehen, einzuhalten und zu dokumentieren
V. Betroffenenrechte: Den Betroffenenrechten ist
unverzüglich nachzugehen, i.d.R. maximal binnen eines Monats, bei hoher Komplexität kann um zwei Monate verlängert werden.
Datenschutz in der ÖA - Basics 18.03.2021
B. Besonderheiten in der Öffentlichkeitsarbeit
I. Veranstaltungen: Organisation, Einladung, Dokumentation
II. Videokonferenztools: Zulässigkeit, Einsatz – wie prüfe ich einen Anbieter, bevor ich mich an den Datenschutzbeauftragten wende?
III. „Schrems II“: USA als „No go“?
IV. Newsletter und Werbung
Vorbereitung
Bei der Vorbereitung von Veranstaltungen ist folgendes zu beachten:
- Bei Online-Anmeldung: Anmeldemaske https-verschlüsselt – sonst Datenschutzvorfall und Rüge der Landesbeauftragten für den
Datenschutz
- Information über die Erhebung von Daten (Art. 13 DSGVO; Hinweisblatt- Muster auf der Seite des Datenschutzbeauftragten) als Ein-Klick-Link bzw.
auf Papier (je nach Weg der Anmeldung) möglichst gleich in der Einladung
- Verweis auf die Datenschutzerklärung der Universität Göttingen (Ein- Klick-Link)
Datenschutz in der ÖA - Basics 18.03.2021
I. Veranstaltungen (1)
- Bei der Anmeldung nur die nötigen Daten erfragen
- Veranstaltungsinterne Teilnehmerliste für die Teilnehmer: Nur nach Einwilligung des Betroffenen, darf nur intern zirkulieren. Besser ganz verzichten.
- TN-Liste des Veranstalters muss natürlich geführt werden (Dokumentation)
- Anmeldungen/Einwilligungen aufbewahren (Dokumentation)
I. Veranstaltungen (2)
Anmeldung, Teilnehmerliste
Foto, Audio und Video
- Nur mit aktiver, eindeutiger, möglichst beweisbarer Einwilligung der abgebildeten Person
- Einwilligung muss komplett freiwillig sein
- Idealerweise mit Abtretung der Nutzungsrechte
Vorsicht: Widerruf der Einwilligung. Bei Printmedien kein Problem: Sobald gedruckt, kann nur noch Widerspruch eingelegt werden (= nur aus
besonderem, in der Person liegendem Grund). Bei Online-Veröffentlichungen problematischer (Einzelfall).
Bei Aufzeichnungen, die das Publikum zeigen, gesonderte Einwilligung einholen; toten Winkel der Kamera anbieten und kennzeichnen.
Zettel aushängen; vorherige Hinweise in der Einladung oder bei der Anmeldung
Datenschutz in der ÖA - Basics 18.03.2021
I. Veranstaltungen (3)
II. Videokonferenztools
Erstes Mittel der Wahl (verpflichtend!): BigBlueButton (BBB) = meet.gwdg.de Bei technischem Versagen: Zoom on premise (bei der GWDG beantragen) Bei Übersteigung der max. Teilnehmerzahl: Zoom Cloud der GWDG
Aufzeichnungen nur nach sorgfältiger Belehrung aller Zuhörer, mit der Möglichkeit, Ton und Bild auszuschalten
Besser: Webinar, in dem nur der Redner sichtbar ist
Keine Aufzeichnungen in der/in die Cloud, keine weltöffentliche Veröffentlichung II. Videokonferenztools (1)
Nur im äußersten Notfall: Beantragung eines anderen Tools
Detaillierte Darlegung:
- Was ist das für ein Tool? Rechtsgrundlage der geplanten Nutzung?
- Ziele und Zwecke der geplanten Verwendung; Vorteil gegenüber BBB/Zoom?
- Hauptsitz des Anbieters (USA = scheiden von vornherein aus, wenn keine Ende-zu-Ende-Verschlüsselung)
Achtung, verkappte USA bei wonder.me = untauglich!
- Standorte der Server/Rechenzentren des Anbieters
- Fertiger Entwurf eines AVV (Auftragsverarbeitungsvertrag) mit Liste der Subunternehmer („Unterauftragnehmer“) und der technisch-
organisatorischen Maßnahmen
- Darlegung der Datenschutzerklärung des Anbieters - bloße Links reichen uns nicht!
Datenschutz in der ÖA - Basics 18.03.2021
II. Videokonferenztools (2)
III. „Schrems II“ und die Folgen
Urteil des EuGH vom 16.07.2020, Kläger: Maximilian „Max“ Schrems
- Privacy Shield ungültig – keine Angemessenheit – Datentransfer in die USA unzulässig
- Ersatz: Standardvertragsklauseln (gilt auch für andere unsichere
Drittstaaten wie China), aber nur, wenn Geheimdienste und staatliche Behörden keinen Zugriff auf die Daten haben. In den USA kann der Anbieter dies nicht gewährleisten. Ausweg: Eine Ende-zu-Ende-
Verschlüsselung des Transports sowie Verschlüsselung der ruhenden Daten mit einem privaten Schlüssel des Nutzers (Vorsicht: Backdoors)
IV. Newsletter und Werbung
Bereits der erste unerwünschte Werbekontakt ist ein Verstoß gegen § 7 UWG
Newsletter-Zusendung ist außerhalb des dienstlichen Kontexts als Werbung zu betrachten
Newsletter-Versendung erst nach Double-Opt-In des Betroffenen
Immer zulässig: Erstansprache per Briefpost, außer, der Empfänger hat deutlich gemacht, dass er keine will (Robinson-Liste oder
ausdrückliche/konkludente Erklärung).
Datenschutz in der ÖA - Basics 18.03.2021