Datenschutz in der ÖA Basics

(1)

Basics

Datenschutz in der ÖA

FLORIANHALLASCHKA

Der Datenschutzbeauftragte

(2)

A. Grundsätze des Datenschutzes I. Rechtmäßigkeit

II. Erforderlichkeit III. Transparenz

IV. Technisch-organisatorische Maßnahmen

V. Betroffenenrechte

Datenschutz in der ÖA - Basics 18.03.2021

(3)

Grundsätze des Datenschutzes

I. Rechtmäßigkeit: Datenverarbeitung muss eine Einwilligung oder eine gesetzliche Vorschrift zur Grundlage haben.

II. Erforderlichkeit: Nur so viele Daten verarbeiten, wie zur Aufgabenerfüllung zwingend erforderlich ist.

Begrenzter, notwendiger Personenkreis (need-to-know- Prinzip)

III. Transparenz: Informationspflichten – Dokumenta- tionspflichten – Rechenschaftspflicht

(4)

Grundsätze des Datenschutzes

IV. Technisch-organisatorische Maßnahmen: Es sind technische und organisatorische

Sicherheitsmaßnahmen nach dem Stand der Technik und gemäß dem Risiko vorzusehen, einzuhalten und zu dokumentieren

V. Betroffenenrechte: Den Betroffenenrechten ist

unverzüglich nachzugehen, i.d.R. maximal binnen eines Monats, bei hoher Komplexität kann um zwei Monate verlängert werden.

(5)

B. Besonderheiten in der Öffentlichkeitsarbeit

I. Veranstaltungen: Organisation, Einladung, Dokumentation

II. Videokonferenztools: Zulässigkeit, Einsatz – wie prüfe ich einen Anbieter, bevor ich mich an den Datenschutzbeauftragten wende?

III. „Schrems II“: USA als „No go“?

IV. Newsletter und Werbung

(6)

Vorbereitung

Bei der Vorbereitung von Veranstaltungen ist folgendes zu beachten:

- Bei Online-Anmeldung: Anmeldemaske https-verschlüsselt – sonst Datenschutzvorfall und Rüge der Landesbeauftragten für den

Datenschutz

- Information über die Erhebung von Daten (Art. 13 DSGVO; Hinweisblatt- Muster auf der Seite des Datenschutzbeauftragten) als Ein-Klick-Link bzw.

auf Papier (je nach Weg der Anmeldung) möglichst gleich in der Einladung

- Verweis auf die Datenschutzerklärung der Universität Göttingen (Ein- Klick-Link)

I. Veranstaltungen (1)

(7)

- Bei der Anmeldung nur die nötigen Daten erfragen

- Veranstaltungsinterne Teilnehmerliste für die Teilnehmer: Nur nach Einwilligung des Betroffenen, darf nur intern zirkulieren. Besser ganz verzichten.

- TN-Liste des Veranstalters muss natürlich geführt werden (Dokumentation)

- Anmeldungen/Einwilligungen aufbewahren (Dokumentation)

Anmeldung, Teilnehmerliste

(8)

Foto, Audio und Video

- Nur mit aktiver, eindeutiger, möglichst beweisbarer Einwilligung der abgebildeten Person

- Einwilligung muss komplett freiwillig sein

- Idealerweise mit Abtretung der Nutzungsrechte

 Vorsicht: Widerruf der Einwilligung. Bei Printmedien kein Problem: Sobald gedruckt, kann nur noch Widerspruch eingelegt werden (= nur aus

besonderem, in der Person liegendem Grund). Bei Online-Veröffentlichungen problematischer (Einzelfall).

 Bei Aufzeichnungen, die das Publikum zeigen, gesonderte Einwilligung einholen; toten Winkel der Kamera anbieten und kennzeichnen.

 Zettel aushängen; vorherige Hinweise in der Einladung oder bei der Anmeldung

(9)

II. Videokonferenztools

Erstes Mittel der Wahl (verpflichtend!): BigBlueButton (BBB) = meet.gwdg.de Bei technischem Versagen: Zoom on premise (bei der GWDG beantragen) Bei Übersteigung der max. Teilnehmerzahl: Zoom Cloud der GWDG

Aufzeichnungen nur nach sorgfältiger Belehrung aller Zuhörer, mit der Möglichkeit, Ton und Bild auszuschalten

Besser: Webinar, in dem nur der Redner sichtbar ist

Keine Aufzeichnungen in der/in die Cloud, keine weltöffentliche Veröffentlichung II. Videokonferenztools (1)

(10)

Nur im äußersten Notfall: Beantragung eines anderen Tools

Detaillierte Darlegung:

- Was ist das für ein Tool? Rechtsgrundlage der geplanten Nutzung?

- Ziele und Zwecke der geplanten Verwendung; Vorteil gegenüber BBB/Zoom?

- Hauptsitz des Anbieters (USA = scheiden von vornherein aus, wenn keine Ende-zu-Ende-Verschlüsselung)

 Achtung, verkappte USA bei wonder.me = untauglich!

- Standorte der Server/Rechenzentren des Anbieters

- Fertiger Entwurf eines AVV (Auftragsverarbeitungsvertrag) mit Liste der Subunternehmer („Unterauftragnehmer“) und der technisch-

organisatorischen Maßnahmen

- Darlegung der Datenschutzerklärung des Anbieters - bloße Links reichen uns nicht!

II. Videokonferenztools (2)

(11)

III. „Schrems II“ und die Folgen

Urteil des EuGH vom 16.07.2020, Kläger: Maximilian „Max“ Schrems

- Privacy Shield ungültig – keine Angemessenheit – Datentransfer in die USA unzulässig

- Ersatz: Standardvertragsklauseln (gilt auch für andere unsichere

Drittstaaten wie China), aber nur, wenn Geheimdienste und staatliche Behörden keinen Zugriff auf die Daten haben. In den USA kann der Anbieter dies nicht gewährleisten. Ausweg: Eine Ende-zu-Ende-

Verschlüsselung des Transports sowie Verschlüsselung der ruhenden Daten mit einem privaten Schlüssel des Nutzers (Vorsicht: Backdoors)

(12)

IV. Newsletter und Werbung

 Bereits der erste unerwünschte Werbekontakt ist ein Verstoß gegen § 7 UWG

 Newsletter-Zusendung ist außerhalb des dienstlichen Kontexts als Werbung zu betrachten

 Newsletter-Versendung erst nach Double-Opt-In des Betroffenen

 Immer zulässig: Erstansprache per Briefpost, außer, der Empfänger hat deutlich gemacht, dass er keine will (Robinson-Liste oder

ausdrückliche/konkludente Erklärung).

(13)

Datenschutz in der ÖA Basics