Leitfaden "datenschutzkonforme Verarbeitung"
![](/storages/uni-rostock/UniHome/IT-Sicherheit/Tagg_Berufspaedagogik_11-06-19_0049_a_1200x340px.jpg)
Untenstehend finden Sie eine Schritt-für-Schritt-Anleitung, mit deren Hilfe Sie zu einer rechtskonformen Verarbeitung personenbezogener Daten gelangen. Hinter jeder Überschrift verbergen sich vertiefte Informationen und Tipps.
Zum Einstieg in die Thematik sei auch das Video "Basisschulung - Grundlagen zum Datenschutz an der Hochschule"empfohlen, das sie auch unter dem Reiter "Datenschutz-Schulungen" abrufen können.
1. Datenschutz ist Grundrechtsschutz. Aus dem Gedanken der Selbstbestimmung folgt die Recht jedes Menschen, grundsätzlich selbst zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will verhindern, dass der Einzelne durch den Umgang mit seinen personenbezogenen Daten in seinem Grundrecht auf informationelle Selbstbestimmung (s. Art. 6 Abs. 1 S. 1 Verfassung M-V) beeinträchtigt wird.
2. Sofern Sie personenbezogene Daten verarbeiten (näher dazu Schritt 1), haben Sie eine Reihe von Vorgaben einzuhalten, die sich aus der Europäischen Datenschutzgrundverordnung (DS-GVO) ergeben. Konkret haben Sie
a. einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten zu erstellen, der den Anforderungen des Art. 30 DS-GVO genügt (näher Schritt 3),
b. die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 13 und 14 DS-GVO, näher Schritt 4) und ggf.
c. deren Einwilligung einzuholen (nur, sofern für die Datenverarbeitung keine Rechtsgrundlage existiert, dazu näher Schritt 2, 5).
d. Sofern Sie planen, mit externen Datenverarbeitern zusammenzuwirken, sind zusätzliche Vereinbarungen notwendig, die den Anforderungen des Art. 26 bzw. 28 DS-GVO genügen (Vereinbarung zur gemeinsamen Verantwortlichkeit bzw. Vertrag zur Datenverarbeitung im Auftrag, s. Schritt 6).
e. Darüber hinaus haben Sie zu prüfen, ob eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist. Das Ergebnis Ihrer Prüfung haben Sie zu dokumentieren. Falls Sie zu dem Ergebnis kommen, dass eine DSFA notwendig ist, haben Sie diese durchzuführen und zu dokumentieren (näher Schritt 7).
3. Das Durchlaufen der Schritte 2.a.-e. bietet Ihnen eine sehr gute Möglichkeit, Ihre Prozesse zu optimieren. Sofern Sie einen dieser Schritte nicht durchlaufen, begehen Sie einen Gesetzesverstoß, der seitens unsere Aufsichtsbehörde, dem Beauftragten für Datenschutz und Informationsfreiheit des Landes M-V, mit Maßnahmen bis hin zu Bußgeldern belegt werden kann. Zudem besteht in diesen Fällen das Risiko von Schadenersatzklagen der Betroffenen.
4. Sämtliche Datenschutz-Dokumente sind von Ihnen
a. an die Datenschutzbeauftragte zur Prüfung weiterzuleiten (Schritt 8). Die Prüfung endet mit einer Stellungnahme, die empfehlenden Charakter hat und die wir an den Kanzler weiterleiten. Der Kanzler trifft auf der Basis unserer Empfehlung die Entscheidung, ob Ihr Vorhaben - ggf. unter (Datenschutz-/IT-Sicherheits-)Auflagen - durchgeführt werden kann (Schritt 9).
b. auf dem neuesten Stand zu halten. Ändern sich z.B. Verarbeitungsvorgänge durch Erweiterung der Datenkategorien, sind die entsprechenden Dokumente zu aktualisieren. Dies kann im Zweifel auch erfordern, Betroffene neu zu informieren und (nochmals) ihre Einwilligung einzuholen.
Fragen Sie sich zunächst, ob es für Ihr Vorhaben zwingend erforderlich ist, personenbezogene Daten zu verarbeiten oder ob Sie Ihre Ziele nicht ebenso gut durch die Verarbeitung anonymer Angaben erreichen können.
VerarbeitenSie ausschließlich anonyme Daten, unterliegen Sie keinerlei rechtlichen Verpflichtungen zum Datenschutz, d.h. die Vorgaben der DS-GVO (bspw. Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, zur Einholung einer Einwilligung, zur Information der Betroffenen etc.) und weiterer Datenschutzgesetze gelten nicht für Ihr Vorhaben. Sie müssen nichts weiter unternehmen, weitere unten beschriebene Schritte sind nicht notwendig.
Bei anonymen Daten ist die betroffene Person weder identifiziert noch identifizierbar (von niemandem!) oder ursprünglich personenbezogene Daten wurden so anonymisiert, dass eine Identifizierung ausgeschlossen ist. Diese Fallgestaltung ist angesichts der sehr weiten gesetzlichen Definition des Personenbezugs (s. sogleich) eher selten(Bsp: politische Wahl), weitaus häufiger und damit die Regel bilden die Fälle, in denen Personenbezug besteht
Personenbezug weisen gemäß Art. 4 Nr. 1 DS-GVO alle Informationen auf, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen. Als identifizierbar wird eine natürliche Person angesehen, die, direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Nach dieser sehr weiten gesetzlichen Definition weisen auch pseudonym(isiert)e InformationenPersonenbezug auf, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten (Bsp: Die Namen der betroffenen Personen werden durch fortlaufende Identifikationsnummern ausgetauscht; für die Zuordnung wird eine Liste angefertigt, die die jeweilige Identifikationsnummer dem jeweiligen Namen der Person zuordnet.). Ob eine Zuordnung tatsächlich stattfindet, ist nicht von Belang, es genügt, das die Zuordnung möglich erscheint.
Die Abgrenzung von anonymer und personenbezogener Datenverarbeitung ist eine (oft schwierige) rechtliche Frage, bei deren Beantwortung es auf eine Zusammenschau aller konkreten Umstände des Einzefalles ankommt. Die Datenschutzbeauftragte verfügt über das erforderliche Fachwissen, um festzustellen, ob Personenbezug besteht oder nicht. Sie ist daher von Ihnen einzubeziehen und um Ihre Einschätzung zu bitten.
Beispiele für personenbezogene Daten sind:
- Name, Vorname
- Adresse
- Telefonnummer
- Geburtsdatum
- Impfstatus
- E-Mail-Adresse
- die Kreditkarten- oder Personal- oder Matrikelnummer
- Autokennzeichen
- Kontodaten
- i.d.R. Verkehrs- und Nutzungsdaten wie IP-Adresse des Computers oder Standortdaten des mobilen Diensttelefons
- physische Daten wie das Aussehen, Fingerabdrücke
- Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein, politische Meinungen
Daten gelten im Übrigen nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei eine lebende Person unabhängig ihrer Herkunft. Ausschlaggebend ist dabei die Verarbeitung von Daten von EU-Bürgern. Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen hingegen nicht unter die Definition und sind damit nicht durch die DS-GVO geschützt.
Sollte die Datenschutzbeauftragte zu dem Ergebnis gelangen, dass Ihr Vorhaben Personenbezug aufweist, sind Sie verpflichtet, die nachfolgend beschriebenen Schritte zu gehen.
4. Schritt: Verwendung einer Software/eines IT-Systems oder sonstigen technischen Hilfsmittels?
Nachdem Sie die Frage nach dem Personenbezug (Schritt 1) und der Grundlage der von Ihnen beabsichtigten Datenverarbeitung (Schritt 2) geklärt haben, widmen Sie sich der Erstellung Ihres Eintrages im Verzeichnis der Verarbeitungstätigkeiten (VVT). Der Eintrag im VVT beschreibt die konkret von Ihnen beabsichtigte Datenverarbeitung und muss die in Art. 30 DS-GVO geforderten Angaben enthalten. Er dient der UR (bspw. gegenüber der Aufsichtsbehörde, dem Landesbeauftragten for Datenschutz und Informationsfreiheit) als Nachweis der ordnungsgemäßen Dokumentation dieser Datenverarbeitung.
Es wird empfohlen, mit der Erstellung des Datenflussdiagramms (s. S. 2 im VVT-Formular) zu beginnen (auf das nebenstehende Bild für Vergrößerung klicken). Mit diesem visualisieren Sie die Datenströme in jedem einzelnen Schritt Ihres Datenverarbeitungsprozesses (von der Erhebung bis zur Löschung der Daten), alle daran Beteiligten und deren Befugnisse (intern und extern) sowie die Zuhilfenahme von Soft- und Hardware (Einbettung des Prozesses in Ihre lokale bzw. die zentrale IT-Infrastruktur der UR).
Das Datenflussdiagramm als strukturierte Übersicht Ihres Datenverarbeitungsprozesses ist in mehrfacher Hinsicht für Sie gewinnbringend. Mit seiner Hilfe wird es Ihnen gut und schnell gelingen, sowohl das VVT-Formular als auch die Datenschutzinformation (zu letzterer sogleich Schritt 4) entsprechend den gesetzlichen Anforderungen auszufüllen/zu erstellen. Es lohnt sich daher, auf die Erstellung des Datenflussdiagrammes besonderes Augenmerk zu richten. Ob Sie dafür wie in unserem Beispiel ein Schaubild erstellen oder den Datenfluss z.B. in einer Excel-Tabelle abbilden oder in einem Word-Dokument als Fließtext beschreiben, bleibt Ihnen überlassen.
Sobald Sie die in Schritt 4 beschriebenen Unterlagen(Datenflussdiagramm und Verzeichnis der Verarbeitungstätigkeiten) erstellt haben, reichen Sie diese bitte gebündelt bei der Datenschutzbeauftragten ein. Die Prüfung beginnt mit einer ersten Sichtung dieser Dokumente.
Sofern Sie personenbezogene Informationen mit Hilfe von Software/(Audio-/Video)Technik verarbeiten, wird der IT-Sicherheitsbeauftragte einbezogen.
Nach einer ersten Sichtung der Unterlagen werden wir uns mit Ihnen in Verbindung setzen, um Rückfragen zu klären und das weitere Vorgehen zu besprechen. Im Rahmen dieses Dialogs werden wir Ihnen mitteilen, ob und welche Ergänzungen Sie in den Dokumenten vornehmen sollten und ob und welche weiteren Dokumente ggf. noch erstellt werden müssten, um eine datenschutzkonforme und it-sicherheitsgerechte Verarbeitung zu erreichen.
Je nach Umfang Ihres Vorhabens, Qualität der von Ihnen zur Prüfung eingereichten Unterlagen und Kapazitäten der Stabsstelle Datenschutz und Informationssicherheit (SStDuI) dauert dieser Abstimmungs- und Prüfprozess in der Regel zwischen vier Wochen und sechs Monaten.
![](/storages/uni-rostock/UniHome/Datenschutz/Zukunftswerkstatt_30-11-18_0176a_1200x340px.jpg)
![](/storages/uni-rostock/_processed_/3/8/csm_Verbundtagung_Lehren_in_MV_17_03_17_0026a_9d604be1eb.jpg)
![](/storages/uni-rostock/_processed_/a/4/csm_Ringvlsg_Thomas_Heppener_07-07-15_0035a_1200x340px_b593c853b0.jpg)
![](/storages/uni-rostock/_processed_/2/a/csm_Tagg_Beratung_SoPae_09_06_17_0210a_df21120c5f.jpg)
Nach dem Datenflussdiagramm und dem VVT-Eintrag (s.o. Schritt 3) erstellen Sie die sog. datenschutzrechtliche Information (im Folgenden: Datenschutzinformation).
Die Datenschutzinformation ist einerseits das an die Betroffenen gerichtete vereinfachte Spiegelbild des VVT (s.o. Schritt 3). Sie beschreibt für die Betroffenen auf leichte und verständliche Weise die von Ihnen geplante Datenverarbeitung und bildet in vielen Fällen die Grundlage für eine informierte Einwilligung dieser Personen. Zudem beeinhaltet sie eine Beschreibung der Rechte , die die Betroffenen gegenüber der UR geltend machen/ausüben können (z.B. Recht auf Auskunft, Berichtigung, Löschung).
Der Inhalt der Datenschutzinformation hängt davon ab, ob die Daten direkt bei den betroffenen Personen (art. 13 DS-GVO) oder aber bei Dritten (Art. 14 DS-GVO) erhoben und ob die Datenverarbeitung auf eine Einwilligung oder eine Rechtsnorm gestützt werden (soll(en).
Das auf Ihre Datenverarbeitung zutreffende Muster erhalten Sie auf Anfrage von der Datenschutzbeauftragten.
Die Datenschutzinformation ist den betroffenen Personen vor Beginn der Datenverarbeitung zur Verfügung zu stellen. Sie ist stets zu erstellen, d.h. nicht nur in Einwilligungskonstellationen, sondern auch in Fällen, in denen die Datenverarbeitung auf eine Rechtsnorm gestützt wird (s.o. Schritt 2).
Haben Sie in Schritt 2 festgestellt, dass Sie Ihre Datenverarbeitung nicht auf eine Rechtsnorm stützen können, ist von Ihnen vor Beginn der Datenverarbeitung von jedem Betroffenen eine Einwilligung einzuholen. Dazu müssen Sie den Text einer Einwilligungserklärung erstellen. Diesbezüglich finden Sie Hilfestellung unter dem Reiter "Formulare".
Es wird empfohlen, die Einwilligungserklärungen auf schriftlichem Wege oder zumindest in Textform auf elektronischem Wege einzuholen, damit Sie die Einholung im Streitfalle nachweisen können.
Sofern in dem geplanten Vorhaben neben Ihnen eine oder mehrere weitere (externe) Partei(en) beteiligt sind und personenbezogene Daten verarbeiten, ist mit diesen Externen vor Beginn der Datenverarbeitung ein Vertrag abzuschließen, in dem die Rechte und Pflichten der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten geregelt sind.
Das Gesetz stellt Ihnen diesbezüglich zwei Vertragstypen zur Wahl: die Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO und die Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint-Controller-Vereinbarung, kurz: JCV) nach Art. 26 DS-GVO.
Welcher von beiden Vertragstypen vorliegt, richtet sich wiederum nach der konkreten Ausgestaltung der Zusammenarbeit in Ihrem Vorhaben, genauer: nach der Rolle und Funktion, die Sie/Ihre (nicht)wissenschaftliche Struktureinheit in der Zusammenarbeit einnehmen/einnimmt.
Als Richtschnur gilt folgendes:
- Sofern Ihre Zusammenarbeit mit den/dem Externen durch ein Über-/Unterordnungsverhältnis geprägt ist, liegt die Situation einer Auftragsverarbeitung vor. Das Über-/Unterordnungsverhältnis entsteht durch die Weisungsbefugnis des Auftraggebers, die die Weisungsabhängigkeit des Auftragnehmers mit sich bringt. Vergeben Sie bspw. an einen Externen einen Auftrag zur Verarbeitung personenbezogener Daten und bestimmen allein Sie insbes. Art, Zweck und Ausmaß der Verarbeitung, treten Sie als Auftraggeber in Erscheinung. Als solcher sind allein Sie für die datenschutzkonforme Verarbeitung der dem Auftragnehmer überantworteten personenbezogenen Daten verantwortlich. Dieser Verantwortlichkeit kommen Sie nach, indem Sie in einer AVV die einzelnen Rechte und Pflichten des Auftragnehmers bestimmen. Sollten Sie lediglich als weisungsgebundener Auftragnehmer agieren, wird Sie - so die gängige Praxis - der externe Auftraggeber zur Unterzeichnung einer AVV auffordern, d.h. in diesem Fall brauchen Sie den Abschluss der AVV nicht aktiv betreiben. Sofern Sie als Auftraggeber agieren, verwenden Sie für den Abschluss des AVV bitte dieses Muster. Es ist bereits auf die Spezifika der Universität Rostock angepasst und von der Datenschutzbeauftragten geprüft. Im Hinblick auf die Verwendung der von Auftragnehmern zur Verfügung gestellten AVV-Entwürfe raten wir grundsätzlich zur Vorsicht, da diese für die UR ungünstig ausgestaltet sein können. Sollten Sie sich gleichwohl für diese Variante entscheiden, prüfen wir den Entwurf gern innerhalb einer angemessenen Frist. Dies gilt jedoch nur, sofern wir neben der Erfüllung unserer originären Aufgaben noch über freie Kapazitäten verfügen.
- Sofern Ihre Zusammenarbeit mit den/dem Externen dagegen durch ein gleichberechtigtes Miteinander gekennzeichnet ist, liegt die Situation einer gemeinsamen Verantwortlichkeit vor. Sie und Ihre externen Partner legen gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest; Sie teilen sich die Aufgaben und sind für die ordnungsgemäße Verarbeitung gleichermaßen verantwortlich.
Beispiele für eine Auftragsverarbeitungssituation:
1. Sie geben bei einem externen Anbieter eine Umfrage in Auftrag, bei der (auch) personenbezogene Daten verarbeitet werden. Dabei haben Sie vollständig das Konzept der Umfrage erarbeitet (Frage, Auswahkriterien etc.); der Externe soll sich auf die reine Durchführung der Umfrage beschränken.
2. Eine externe Firma führt an Ihrer IT-Infrastruktur (Fern)Wartungsarbeiten aus; während der Wartungsarbeiten können die Mitarbeiter der Firma auf personebezogene Daten zugreifen.
Beispiele für gemeinsame Verantwortlichkeit:
1. In einem Forschungsvorhaben schließen Sie sich mit Forschern anderer Universitäten oder aber mit privaten Unternehmen zusammen. Im Rahmen Ihrer Kooperation greifen Sie auf einen gemeinsamen Bestand personenbezogener Daten zu.
2. Die Universität unterhält eine Fanpage bei einem sozialen Netzwerk (bspw. Facebook).
Mit der Datenschutzfolgenabschätzung (DSFA) sollen besonders datenschutzkritische Verarbeitungstätigkeiten identifiziert und bewertet werden, um diese schon im Vorfeld effektiv zu minimieren. Unsere Datenschutzaufsichtsbehörde, der Beauftragte für Datenschutz und Informationsfreiheit des Landes M-V, kann sie jederzeit anfragen.
Art. 35 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) verpflichtet alle Verantwortlichen, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine vorgesehene Verarbeitungstätigkeit aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Alle Verantwortlichen haben daher vor Aufnahme einer Verarbeitungstätigkeit zu prüfen, ob ein solches hohes Risiko voraussichtlich vorliegt. Die Prüfung ist zu dokumentieren.
In einigen Fällen gibt der Gesetzgeber unmittelbar vor, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in Art. 35 Abs. 3 DS-GVO geregelt und betrifft insbesondere die umfangreiche Verarbeitung besonders sensibler Daten.
Um den Verantwortlichen die Einschätzung, ob eine Pflicht zur Durchführung einer DSFA vorliegt, weiter zu erleichtern, stellen die Aufsichtsbehörden auf der Grundlage von Art. 35 Abs. 4 DS-GVO Listen von Verarbeitungstätigkeiten auf, bei deren Durchführung auf jeden Fall eine DSFA durchzuführen ist. Auf dieser Seite finden Sie zwei Listen der Berliner Beauftragten für Datenschutz und Informationsfreiheit: die Liste für den öffentlichen Bereich und die Liste für den nichtöffentlichen Bereich.
Wird die Verarbeitungstätigkeit der Verantwortlichen in der vorangehenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine Datenschutz-Folgenabschätzung durchzuführen wäre. Für die dann nötige Einzelfallprüfung und die Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt, bieten die Leitlinie des Europäischen Datenschutzausschusses zur Datenschutz-Folgenabschätzung (DSFA) und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Begriff des Risikos für die Rechte und Freiheiten natürlicher Personen nähere Hinweise.
A. Wann ist eine DSFA durchzuführen?
Mit der Datenschutzfolgenabschätzung (DSFA) sollen besonders datenschutzkritische Verarbeitungstätigkeiten identifiziert und bewertet werden, um diese schon im Vorfeld effektiv zu minimieren. Unsere Datenschutzaufsichtsbehörde, der Beauftragte für Datenschutz und Informationsfreiheit des Landes M-V, kann sie jederzeit anfragen.
Besteht für die betroffenen Personen durch die beabsichtigten Datenverarbeitungsvorgänge voraussichtlich ein hohes Risiko, sind Sie nach Art. 35 Abs. 1 DS-GVO verpflichtet, eine DSFA durchzuführen. Vor Aufnahme der Verarbeitungstätigkeit haben Sie also zu prüfen, ob diese Voraussetzungen in Ihrem Falle vorliegen. Die Prüfung ist zu dokumentieren. Der Begriff des Risikos ist sehr weit gefasst und kann jegliche Risiken wirtschaftlicher oder gesellschaftlicher Art betreffen.
In den in Art. 35 Abs. 3 DS-GVO genannten Fällen gibt der Gesetzgeber unmittelbar vor, dass eine DSFA durchzuführen ist, nämlich bei:
1. Bewertung persönlicher Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung wie Profiling, die als Grundlage für rechtlich relevante oder sonst erhebliche Entscheidungen dient,
2. umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DS- GVO wie etwa Gesundheitsdaten oder Daten über Strafdaten oder
3. systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Um Ihnen die Einschätzung, ob eine Pflicht zur Durchführung einer DSFA vorliegt, weiter zu erleichtern, stellt unsere Datenschutzaufsichtsbehörde eine Liste von Verarbeitungstätigkeitenzur Verfügung, bei denen auf jeden Fall eine DSFA durchzuführen ist. Wird Ihre Verarbeitungstätigkeit in dieser Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Für die dann nötige Beantwortung der Frage, ob eine Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt, bieten die Leitlinie des Europäischen Datenschutzausschusses zur DSFA und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Nr. 5 und Nr. 18 nähere Hinweise.
B. Wie ist eine DSFA durchzuführen?
Eine DSFA gliedert sich in vier Schritte.
Zunächst werden die geplanten Datenverarbeitungs-vorgänge sowie die Verarbeitungszwecke systematisch beschrieben (I.). Sodann wird eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit (II.) vorgenommen. Darauf aufbauend schließt sich eine Risikoanalyse (III.) hinsichtlich der Rechte und Freiheiten der betroffenen Personen und die Festlegung passender Abhilfemaßnahmen in Form der technisch-organisatorischen Maßnahmen (TOM) an.
Eine DSFA lässt sich methodisch gut mit dem sog. PIA-Tool durchführen. Dabei handelt es sich um eine von der französischen Datenschutzaufsichtsbehörde bereitgestellte Software, die kontinuierlich weiterentwickelt wird. Die deutsche Übersetzung wurde in Abstimmung mit dem Bayrischen Landesbeauftragten für Datenschutz erarbeitet. Die PIA-Software kann unter der Open-Source Lizenz GPL v3.0 (Erläuterungen unter https://www.gnu.org/licenses/gpl-3.0.de.html) in Windows (32/64 Bit) kostenfrei verwendet werden. Der Quelltext des PIA-Tools ist im GitHub-Repository unter https://github.com/kosmas58/pia-app/releases hinterlegt.
Ausführliche Informationen zu den Arbeitsschritten sowie zu den (technischen) Hilfsmitteln, die verwendet werden können (z.B das PIA-Tool und ergänzende Werkzeuge) sowie weitere Informationen zum Thema DSFA inklusive eines Beispiels bietet diese Orientierungshilfe.
9. Schritt: erneute Einreichung der Unterlagen bei der Datenschutzbeauftragten
Die Prüfung Ihres Vorhabens durch die Datenschutzbeauftragte und i.d.R den IT-Sicherheitsbeauftragten (=Stabsstelle Datenschutz und Informationssicherheit, SStDuI) endet mit einer Stellungnahme, die empfehlenden Charakter hat und die die SStDuI an den Kanzler weiterleitet. Der Kanzler als das für Datenschutzfragen zuständige Rektoratsmitglied trifft auf der Basis unserer Empfehlung die Entscheidung, ob Ihr Vorhaben - ggf. unter (Datenschutz-/IT-Sicherheits-)Auflagen - durchgeführt werden kann.
Kontakt und Beratung
![](/storages/uni-rostock/_processed_/5/0/csm_VestiFi_24_02_17_0039a_4zu3_a2b9ea0e20.jpg)
Die Datenschutzbeauftragte
Dr. Katja Fröhlich
Stabsstelle Datenschutz und Informationssicherheit
Albert-Einstein-Str. 22 (Konrad-Zuse-Haus), Raum 104
18059 Rostock
Tel.: +49 (0) 381/ 498 8333
Mobil: + 49 (0) 151/ 4425 4645
E-Mail: datenschutzbeauftragteuni-rostockde