Logo Leibniz Universität Hannover
Logo Leibniz Universität Hannover
  • Zielgruppen
  • Suche

Mobile Sitemap

Zielgruppen mobil

 

EU-Datenschutz-Grundverordnung

Am 25.05.2016 ist die „Europäische Datenschutz-Grundverordnung“ (DSGVO) in Kraft getreten. Sie wird mit einer Übergangfrist von zwei Jahren am 25.05.2018 unmittelbar und umfassend wirksam und löst auf Landesebene das Niedersächsische Datenschutzgesetz (NDSG) und die europäische Datenschutz-Richtlinie (Richtlinie 95/46/EG) aus dem Jahre 1995 ab. Auch auf die Verarbeitung personenbezogener Daten an der Leibniz Universität Hannover hat die DSGVO unmittelbare Auswirkungen. Auf dieser Seite werden nützliche Links und Hinweise zur Umsetzung der DSGVO an der Leibniz Universität Hannover gegeben.

Hinweis: Diese Seite befindet sich im Aufbau und wird stetig aktualisiert!

Handreichung zur Umsetzung der DSGVO an der Leibniz Universität Hannover

Eine Handreichung zur Umsetzung der DSGVO an der Leibniz Universität Hannover ist zur Zeit in Arbeit und wird im 4.Quartal 2017 hier und im Vademecum veröffentlicht werden.

Kurzpapiere der Aufsichtsbehörden

Die datenschutzrechtlichen Aufsichtsbehörden haben zu einzelnen Teilbereichen Kurzpapiere herausgegeben. Für die Umsetzung an der Leibniz Universität Hannover sind insbesondere folgende Kurzpapiere relevant:

 

 

FAQ zur Umsetzung der EU-Datenschutz-Grundverordnung (wird stetig erweitert)

Wann tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft?

 

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25.05.2016 in Kraft getreten, kommt allerdings erst nach einer zweijährigen Übergangsfrist zur Anwendung. Ab dem 25.05.2018 ist die DSGVO unmittelbar anwendbar und deren Einhaltung durch die Aufsichtsbehörden und Gerichte überprüfbar.

Für wen gilt die DSGVO?

Die DSGVO gilt für die gesamte Leibniz Universität Hannover. Jede Stelle (Institut/Einrichtung/Fakultät/etc.), die personenbezogene Daten verarbeitet, muss die DSGVO beachten und einhalten.

Wann verarbeite ich personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Es gibt keine Abstufung zwischen mehr oder weniger schützenswerten Daten. Das Bundesverfassungsgericht spricht davon, dass es keine "belanglosen" Daten gibt. Damit ist beispielsweise die Telefonnummer nicht minder schützenswert als die Haarfarbe.

Beispiele für personenbezogene Daten sind:

  • Name, Vorname
  • E-Mailadresse
  • Personalausweisnummer
  • Matrikelnummer
  • IP-Adresse
  • Eindeutige und einzigartige ID in einem IT-System, die einer Person zugeordnet ist

Angaben wie Größe, Gewicht, Geschlecht und Haarfarbe von Personen sind dann personenbezogene Einzelangaben, wenn durch die Angabe eine einzelne Person bestimmbar ist.

Wer ist für die Umsetzung der DSGVO zuständig/verantwortlich?

Für die Umsetzung der DSGVO ist die Daten verarbeitende Stelle verantwortlich. An der Leibniz Universität Hannover sind das die jeweiligen Verfahrensverantwortlichen. Wenn beispielsweise im Sekretariat X des Instituts Y eine Adressliste geführt wird, ist das Institut Y die Daten verarbeitende Stelle und für die Meldung dieses Verfahrens verantwortlich.

Welche datenschutzrechtlichen Vorgaben ändern sich?

Die DSGVO baut auf den bisher geltenden Datenschutzprinzipien auf. Da der Datenschutz in Deutschland bereits ein hohes Niveau hatte, fallen die Änderungen vergleichsweise gering aus. Für die Leibniz Universität Hannover wird insbesondere relevant in welchem Umfang und in welcher Form der Landesgesetzgeber von sog. Öffnungsklauseln im neu zu fassenden Niedersächsischen Datenschutzgesetz (NDSG) Gebrauch macht. Bisher ist noch kein Referentenentwurf des NDSG-Neu veröffentlicht worden.

Folgende Änderungen werden insbesondere relevant:

  • Die Verfahrensbeschreibung wird durch ein Verzeichnis der Verarbeitungstätigkeiten abgelöst
  • Anstelle der datenschutzrechtlichen Vorabkontrolle tritt die Durchführung einer Datenschutz-Folgenabschätzung für besonders risikobehaftete Datenverarbeitungen
  • Die Anforderungen an die informierte Einwilligung wurden erhöht
  • Die Informations- und Auskunftspflichten wurden erweitert

Wo finde ich Hilfe bei der Umsetzung?

Eine erste Hilfestellung bieten bereits die Kurzpapiere der datenschutzrechtlichen Aufsichtsbehörden.

In Kürze wird ergänzend eine Handreichung zur Umsetzung der DSGVO an der Leibniz Universität Hannover erscheinen.

Falls konkrete Fragen zur Umsetzung der DSGVO auftauchen, kann sich jede/r Mitarbeitende an den Datenschutzbeauftragten und seine Mitarbeiterin wenden.

Was ist ein Verzeichnis für Verarbeitungstätigkeiten und welchen Inhalt muss dieses haben?

Nach Art. 30 DSGVO besteht für öffentliche Stellen die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Entsprechend Erwägungsgrund 82 der DSGVO soll das Verzeichnis von Verarbeitungstätigkeiten unter anderem dazu dienen, der Datenschutz-Aufsichtsbehörde (hier: der Landesbeauftragten für den Datenschutz Niedersachsen) die Möglichkeit zu bieten, „die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse“ kontrollieren zu können. In dem Verzeichnis sollten daher sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein.

Änderungen zur bisherigen Rechtslage

Die bisherige Pflicht zum Führen von Verfahrensbeschreibungen nach § 8 NDSG wird zum 24. Mai 2018 wegfallen. Damit entfällt auch die Pflicht zur Veröffentlichung der Verfahrensbeschreibungen auf Antrag an jede Person durch den behördlichen Datenschutzbeauftragten, sodass die gemeldeten Verfahren nicht mehr öffentlich auf der Website der LUH einsehbar sein werden. Das Verzeichnis wird allerdings intern im Beschäftigtenportal einsehbar sein. Alle bisherigen Ausnahmen wie z.B. eine vorübergehende Verarbeitung zu anderen Zwecken als der inhaltlichen Auswertung (vgl. § 8 S. 2 NDSG) werden voraussichtlich entfallen. Auch Verfahren, die der Unterstützung der allgemeinen Bürotätigkeit dienen (Verfahren der Textverarbeitung, Führung von Adress- und Telefonverzeichnissen, etc.), sind nach der DSGVO zu dokumentieren. Insbesondere sind nicht nur automatisierte Verarbeitungsvorgänge, sondern sämtliche - auch beispielsweise in Papierform ablaufende - Verarbeitungsprozesse personenbezogener Daten zu erfassen.

Umsetzungsmaßnahmen an der Leibniz Universität Hannover

Gemäß Präsidiumsbeschluss vom 30.08.2017 wird das Verzeichnis zentral beim behördlichen Datenschutzbeauftragten geführt. Aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO muss das Verzeichnis der Verarbeitungstätigkeiten zwingend sämtliche Verarbeitungsprozesse personenbezogener Daten erfassen. Jede Einrichtung und jedes Institut ist selbst dafür verantwortlich Verarbeitungsprozesse, in denen personenbezogene Daten verarbeitet werden, an den behördlichen Datenschutzbeauftragten zu melden.

Was ist eine Verarbeitungstätigkeit?

Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. In der Praxis sollte eine Abgrenzung zwischen den verschiedenen Verarbeitungstätigkeiten anhand der Zweckbestimmung der Verarbeitung vorgenommen werden. Kennzeichnend für ein einheitliches Verfahren ist somit die Verarbeitung personenbezogener Daten für einen bestimmten Zweck oder mehrere Zwecke. Ein Bürokommunikationsprogramm allein stellt noch keine Verarbeitungstätigkeit dar, weil kein Bezug zur Verarbeitung personenbezogener Daten vorliegt. Hingegen sind ein Bürokommunikationsprogramm und damit erstellte Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein Verfahren, welches im Verzeichnis der Verarbeitungstätigkeiten abgebildet sein muss. Zwecke der Verarbeitung können beispielsweise sein:

  • Personalaktenführung / Stammdaten
  • Studierendenverwaltung
  • Prüfungsverwaltung
  • Arbeitszeiterfassung
  • Videoüberwachung öffentlicher Bereiche
  • Urlaubsdatei
  • Bewerbungsverfahren
  • Beschaffung / Einkauf
  • Antragsbearbeitung
  • Telefondatenerfassung
  • Nutzungsprotokollierungen in der IT

Wann tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft?

 

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25.05.2016 in Kraft getreten, kommt allerdings erst nach einer zweijährigen Übergangsfrist zur Anwendung. Ab dem 25.05.2018 ist die DSGVO unmittelbar anwendbar und deren Einhaltung durch die Aufsichtsbehörden und Gerichte überprüfbar.

Für wen gilt die DSGVO?

Die DSGVO gilt für die gesamte Leibniz Universität Hannover. Jede Stelle (Institut/Einrichtung/Fakultät/etc.), die personenbezogene Daten verarbeitet, muss die DSGVO beachten und einhalten.

Wann verarbeite ich personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Es gibt keine Abstufung zwischen mehr oder weniger schützenswerten Daten. Das Bundesverfassungsgericht spricht davon, dass es keine "belanglosen" Daten gibt. Damit ist beispielsweise die Telefonnummer nicht minder schützenswert als die Haarfarbe.

Beispiele für personenbezogene Daten sind:

  • Name, Vorname
  • E-Mailadresse
  • Personalausweisnummer
  • Matrikelnummer
  • IP-Adresse
  • Eindeutige und einzigartige ID in einem IT-System, die einer Person zugeordnet ist

Angaben wie Größe, Gewicht, Geschlecht und Haarfarbe von Personen sind dann personenbezogene Einzelangaben, wenn durch die Angabe eine einzelne Person bestimmbar ist.

Wer ist für die Umsetzung der DSGVO zuständig/verantwortlich?

Für die Umsetzung der DSGVO ist die Daten verarbeitende Stelle verantwortlich. An der Leibniz Universität Hannover sind das die jeweiligen Verfahrensverantwortlichen. Wenn beispielsweise im Sekretariat X des Instituts Y eine Adressliste geführt wird, ist das Institut Y die Daten verarbeitende Stelle und für die Meldung dieses Verfahrens verantwortlich.

Welche datenschutzrechtlichen Vorgaben ändern sich?

Die DSGVO baut auf den bisher geltenden Datenschutzprinzipien auf. Da der Datenschutz in Deutschland bereits ein hohes Niveau hatte, fallen die Änderungen vergleichsweise gering aus. Für die Leibniz Universität Hannover wird insbesondere relevant in welchem Umfang und in welcher Form der Landesgesetzgeber von sog. Öffnungsklauseln im neu zu fassenden Niedersächsischen Datenschutzgesetz (NDSG) Gebrauch macht. Bisher ist noch kein Referentenentwurf des NDSG-Neu veröffentlicht worden.

Folgende Änderungen werden insbesondere relevant:

  • Die Verfahrensbeschreibung wird durch ein Verzeichnis der Verarbeitungstätigkeiten abgelöst
  • Anstelle der datenschutzrechtlichen Vorabkontrolle tritt die Durchführung einer Datenschutz-Folgenabschätzung für besonders risikobehaftete Datenverarbeitungen
  • Die Anforderungen an die informierte Einwilligung wurden erhöht
  • Die Informations- und Auskunftspflichten wurden erweitert

Wo finde ich Hilfe bei der Umsetzung?

Eine erste Hilfestellung bieten bereits die Kurzpapiere der datenschutzrechtlichen Aufsichtsbehörden.

In Kürze wird ergänzend eine Handreichung zur Umsetzung der DSGVO an der Leibniz Universität Hannover erscheinen.

Falls konkrete Fragen zur Umsetzung der DSGVO auftauchen, kann sich jede/r Mitarbeitende an den Datenschutzbeauftragten und seine Mitarbeiterin wenden.

Was ist ein Verzeichnis für Verarbeitungstätigkeiten und welchen Inhalt muss dieses haben?

Nach Art. 30 DSGVO besteht für öffentliche Stellen die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Entsprechend Erwägungsgrund 82 der DSGVO soll das Verzeichnis von Verarbeitungstätigkeiten unter anderem dazu dienen, der Datenschutz-Aufsichtsbehörde (hier: der Landesbeauftragten für den Datenschutz Niedersachsen) die Möglichkeit zu bieten, „die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse“ kontrollieren zu können. In dem Verzeichnis sollten daher sämtliche Verarbeitungen personenbezogener Daten dokumentiert sein.

Änderungen zur bisherigen Rechtslage

Die bisherige Pflicht zum Führen von Verfahrensbeschreibungen nach § 8 NDSG wird zum 24. Mai 2018 wegfallen. Damit entfällt auch die Pflicht zur Veröffentlichung der Verfahrensbeschreibungen auf Antrag an jede Person durch den behördlichen Datenschutzbeauftragten, sodass die gemeldeten Verfahren nicht mehr öffentlich auf der Website der LUH einsehbar sein werden. Das Verzeichnis wird allerdings intern im Beschäftigtenportal einsehbar sein. Alle bisherigen Ausnahmen wie z.B. eine vorübergehende Verarbeitung zu anderen Zwecken als der inhaltlichen Auswertung (vgl. § 8 S. 2 NDSG) werden voraussichtlich entfallen. Auch Verfahren, die der Unterstützung der allgemeinen Bürotätigkeit dienen (Verfahren der Textverarbeitung, Führung von Adress- und Telefonverzeichnissen, etc.), sind nach der DSGVO zu dokumentieren. Insbesondere sind nicht nur automatisierte Verarbeitungsvorgänge, sondern sämtliche - auch beispielsweise in Papierform ablaufende - Verarbeitungsprozesse personenbezogener Daten zu erfassen.

Umsetzungsmaßnahmen an der Leibniz Universität Hannover

Gemäß Präsidiumsbeschluss vom 30.08.2017 wird das Verzeichnis zentral beim behördlichen Datenschutzbeauftragten geführt. Aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO muss das Verzeichnis der Verarbeitungstätigkeiten zwingend sämtliche Verarbeitungsprozesse personenbezogener Daten erfassen. Jede Einrichtung und jedes Institut ist selbst dafür verantwortlich Verarbeitungsprozesse, in denen personenbezogene Daten verarbeitet werden, an den behördlichen Datenschutzbeauftragten zu melden.

Was ist eine Verarbeitungstätigkeit?

Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. In der Praxis sollte eine Abgrenzung zwischen den verschiedenen Verarbeitungstätigkeiten anhand der Zweckbestimmung der Verarbeitung vorgenommen werden. Kennzeichnend für ein einheitliches Verfahren ist somit die Verarbeitung personenbezogener Daten für einen bestimmten Zweck oder mehrere Zwecke. Ein Bürokommunikationsprogramm allein stellt noch keine Verarbeitungstätigkeit dar, weil kein Bezug zur Verarbeitung personenbezogener Daten vorliegt. Hingegen sind ein Bürokommunikationsprogramm und damit erstellte Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein Verfahren, welches im Verzeichnis der Verarbeitungstätigkeiten abgebildet sein muss. Zwecke der Verarbeitung können beispielsweise sein:

  • Personalaktenführung / Stammdaten
  • Studierendenverwaltung
  • Prüfungsverwaltung
  • Arbeitszeiterfassung
  • Videoüberwachung öffentlicher Bereiche
  • Urlaubsdatei
  • Bewerbungsverfahren
  • Beschaffung / Einkauf
  • Antragsbearbeitung
  • Telefondatenerfassung
  • Nutzungsprotokollierungen in der IT