Datenschutz in der ÖA - Basics FLORIAN HALLASCHKA - Universität Göttingen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Der Datenschutzbeauftragte FLORIAN HALLASCHKA Datenschutz in der ÖA Basics
A. Grundsätze des Datenschutzes
I. Rechtmäßigkeit
II. Erforderlichkeit
III. Transparenz
IV.Technisch-organisatorische
Maßnahmen
V. Betroffenenrechte
18.03.2021 Datenschutz in der ÖA - Basics 2Grundsätze des Datenschutzes
I. Rechtmäßigkeit: Datenverarbeitung muss eine
Einwilligung oder eine gesetzliche Vorschrift zur
Grundlage haben.
II. Erforderlichkeit: Nur so viele Daten verarbeiten, wie
zur Aufgabenerfüllung zwingend erforderlich ist.
Begrenzter, notwendiger Personenkreis (need-to-know-
Prinzip)
III. Transparenz: Informationspflichten – Dokumenta-
tionspflichten – Rechenschaftspflicht
18.03.2021 Datenschutz in der ÖA - Basics 3Grundsätze des Datenschutzes
IV. Technisch-organisatorische Maßnahmen: Es sind
technische und organisatorische
Sicherheitsmaßnahmen nach dem Stand der Technik
und gemäß dem Risiko vorzusehen, einzuhalten und zu
dokumentieren
V. Betroffenenrechte: Den Betroffenenrechten ist
unverzüglich nachzugehen, i.d.R. maximal binnen eines
Monats, bei hoher Komplexität kann um zwei Monate
verlängert werden.
18.03.2021 Datenschutz in der ÖA - Basics 4B. Besonderheiten in der Öffentlichkeitsarbeit
I. Veranstaltungen: Organisation, Einladung,
Dokumentation
II. Videokonferenztools: Zulässigkeit, Einsatz – wie
prüfe ich einen Anbieter, bevor ich mich an den
Datenschutzbeauftragten wende?
III. „Schrems II“: USA als „No go“?
IV. Newsletter und Werbung
18.03.2021 Datenschutz in der ÖA - Basics 5I. Veranstaltungen (1)
Vorbereitung
Bei der Vorbereitung von Veranstaltungen ist folgendes zu beachten:
- Bei Online-Anmeldung: Anmeldemaske https-verschlüsselt – sonst
Datenschutzvorfall und Rüge der Landesbeauftragten für den
Datenschutz
- Information über die Erhebung von Daten (Art. 13 DSGVO; Hinweisblatt-
Muster auf der Seite des Datenschutzbeauftragten) als Ein-Klick-Link bzw.
auf Papier (je nach Weg der Anmeldung) möglichst gleich in der
Einladung
- Verweis auf die Datenschutzerklärung der Universität Göttingen (Ein-
Klick-Link)
18.03.2021 Datenschutz in der ÖA - Basics 6I. Veranstaltungen (2)
Anmeldung, Teilnehmerliste
- Bei der Anmeldung nur die nötigen Daten erfragen
- Veranstaltungsinterne Teilnehmerliste für die Teilnehmer: Nur nach
Einwilligung des Betroffenen, darf nur intern zirkulieren. Besser ganz
verzichten.
- TN-Liste des Veranstalters muss natürlich geführt werden
(Dokumentation)
- Anmeldungen/Einwilligungen aufbewahren (Dokumentation)
18.03.2021 Datenschutz in der ÖA - Basics 7I. Veranstaltungen (3)
Foto, Audio und Video
- Nur mit aktiver, eindeutiger, möglichst beweisbarer Einwilligung der
abgebildeten Person
- Einwilligung muss komplett freiwillig sein
- Idealerweise mit Abtretung der Nutzungsrechte
Vorsicht: Widerruf der Einwilligung. Bei Printmedien kein Problem: Sobald
gedruckt, kann nur noch Widerspruch eingelegt werden (= nur aus
besonderem, in der Person liegendem Grund). Bei Online-Veröffentlichungen
problematischer (Einzelfall).
Bei Aufzeichnungen, die das Publikum zeigen, gesonderte Einwilligung
einholen; toten Winkel der Kamera anbieten und kennzeichnen.
Zettel aushängen; vorherige Hinweise in der Einladung oder bei der
Anmeldung
18.03.2021 Datenschutz in der ÖA - Basics 8II. Videokonferenztools (1)
II. Videokonferenztools
Erstes Mittel der Wahl (verpflichtend!): BigBlueButton (BBB) = meet.gwdg.de
Bei technischem Versagen: Zoom on premise (bei der GWDG beantragen)
Bei Übersteigung der max. Teilnehmerzahl: Zoom Cloud der GWDG
Aufzeichnungen nur nach sorgfältiger Belehrung aller Zuhörer, mit der
Möglichkeit, Ton und Bild auszuschalten
Besser: Webinar, in dem nur der Redner sichtbar ist
Keine Aufzeichnungen in der/in die Cloud, keine weltöffentliche Veröffentlichung
ohne eindeutige Einwilligung (Vorsicht: Widerruf der Einwilligung)
18.03.2021 Datenschutz in der ÖA - Basics 9II. Videokonferenztools (2)
Nur im äußersten Notfall: Beantragung eines anderen Tools
Detaillierte Darlegung:
- Was ist das für ein Tool? Rechtsgrundlage der geplanten Nutzung?
- Ziele und Zwecke der geplanten Verwendung; Vorteil gegenüber BBB/Zoom?
- Hauptsitz des Anbieters (USA = scheiden von vornherein aus, wenn keine
Ende-zu-Ende-Verschlüsselung)
Achtung, verkappte USA bei wonder.me = untauglich!
- Standorte der Server/Rechenzentren des Anbieters
- Fertiger Entwurf eines AVV (Auftragsverarbeitungsvertrag) mit Liste der
Subunternehmer („Unterauftragnehmer“) und der technisch-
organisatorischen Maßnahmen
- Darlegung der Datenschutzerklärung des Anbieters
- bloße Links reichen uns nicht!
18.03.2021 Datenschutz in der ÖA - Basics 10III. „Schrems II“ und die Folgen
Urteil des EuGH vom 16.07.2020, Kläger: Maximilian „Max“ Schrems
- Privacy Shield ungültig – keine Angemessenheit – Datentransfer in die
USA unzulässig
- Ersatz: Standardvertragsklauseln (gilt auch für andere unsichere
Drittstaaten wie China), aber nur, wenn Geheimdienste und staatliche
Behörden keinen Zugriff auf die Daten haben. In den USA kann der
Anbieter dies nicht gewährleisten. Ausweg: Eine Ende-zu-Ende-
Verschlüsselung des Transports sowie Verschlüsselung der ruhenden
Daten mit einem privaten Schlüssel des Nutzers (Vorsicht: Backdoors)
18.03.2021 Datenschutz in der ÖA - Basics 11IV. Newsletter und Werbung
Bereits der erste unerwünschte Werbekontakt ist ein
Verstoß gegen § 7 UWG
Newsletter-Zusendung ist außerhalb des dienstlichen Kontexts als
Werbung zu betrachten
Newsletter-Versendung erst nach Double-Opt-In des Betroffenen
Immer zulässig: Erstansprache per Briefpost, außer, der Empfänger
hat deutlich gemacht, dass er keine will (Robinson-Liste oder
ausdrückliche/konkludente Erklärung).
18.03.2021 Datenschutz in der ÖA - Basics 12Danke für Ihre Aufmerksamkeit!
Florian Hallaschka
Stellvertretender Datenschutzbeauftragter
der Georg-August-Universität Göttingen (ohne UMG)
Goßlerstraße 5/7
37073 Göttingen
Tel. +49-(0)551-39-24689
datenschutz@uni-goettingen.de
https://www.uni-goettingen.de/de/576209.html
18.03.2021 Datenschutz in der ÖA - Basics 13Sie können auch lesen
