Die Datenschutz-Compliance betrifft alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden. 

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, wenn diese direkt oder indirekt (etwa durch Zuordnung einer Kennung) identifiziert werden kann. 

Deshalb sind auch „pseudonymisierte Daten“ personenbezogene Daten: Wenn die Daten durch Heranziehung zusätzlicher Informationen (wie eines Schlüssels) einer natürlichen Person zugeordnet werden könnten, sind diese identifizierbar und damit personenbezogen.  

Anonymisierte Daten fallen hingegen aus dem Anwendungsbereich des DSGVO heraus. Anonymisierte Daten sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person – auch unter Zuhilfenahme eines „Schlüssels“- nicht oder nicht mehr identifiziert werden kann.

Eine Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Speicherung, das Abfragen, das Löschen oder die Vernichtung dieser Daten. Dabei ist es unerheblich, ob dieser Vorgang mithilfe oder ohne ein automatisiertes Verfahren durchgeführt wird.

Wichtig ist also, dass die Regeln zum Umgang mit personenbezogenen Daten immer eingehalten werden, sobald Informationen zu einer individualisierbaren Person in irgendeiner Form durch die FU Berlin verarbeitet werden.

Wichtiger Teil der DSGVO-Compliance stellt das Führen von Verarbeitungsverzeichnissen dar, die gem. Art. 30 DSGVO alle Datenverarbeitungsprozesse abbilden müssen. Dabei handelt es sich um eine interne Dokumentation, die auf Anfrage der Datenschutz-Aufsichtsbehörde vorgelegt werden muss.

Mehr Informationen zu Verarbeitungsverzeichnissen

Eine Checkliste für die Einführung neuer Verarbeitungstätigkeiten können Sie beim Datenschutzbeauftragten anfragen.

Die Verarbeitung von persönlichen Daten erfordert DSGVO-konforme, rechtliche Grundlagen: Denkbar ist beispielsweise die Verarbeitung von Daten einer Person 

• aufgrund eines arbeitsrechtlichen Verhältnisses (Art. 6 Abs. 1 lit. b DSGVO),
• aufgrund der ausdrücklichen Einwilligung der Person (Art. 6 Abs. 1 lit. a DSGVO),
• aufgrund eines wissenschaftlichen Forschungsinteresses (Art. 89 Abs. 2 DSGVO, § 17 BlnDSG),
• zur Durchführung des Studiums, der Lehre oder der Forschung (Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 6 Abs. 1 Nr. 1, 4 BerlHG),
• zur Erfüllung einer weiteren Aufgabe der FU Berlin gem. Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 6 Abs. 1 Nr. 12, § 4 BerlHG. 

Weitere Rechtsgrundlagen sind möglich. Die Zwecke der Datenverarbeitung werden u.a. im Verarbeitungsverzeichnis dokumentiert.

Daneben müssen die betroffenen Personen regelmäßig über die Datenverarbeitung, ihren Zweck, ihre Rechtsgrundlage und weitere Auskünfte in einem Datenschutzhinweis informiert werden. 

Diese Datenschutzerklärung muss den Personen, deren persönliche Daten gesammelt werden, aktiv kommuniziert werden. Eine Vorlage für eine Datenschutzerklärung können Sie beim Datenschutzbeauftragten anfragen.

Bei einigen Forschungsvorhaben, Interviews und Umfragen kann es erforderlich sein, die Einwilligung der betroffenen Personen einzuholen. Diese muss zu Nachweiszwecken dokumentierbar sein.

Eine Vorlage für eine Einwilligungserklärung können Sie beim Datenschutzbeauftragten anfragen.

Wenn durch die Datenanwendung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen entsteht (große Mengen an sensiblen Daten erfasst werden), ist eine sog. Datenschutzfolgenabschätzung erforderlich. Bitte kontaktieren Sie dazu den externen Datenschutzbeauftragten. Voraussetzung für eine Bewertung zur Datenschutzfolgenabschätzung ist ein ausgefülltes Verarbeitungsverzeichnis.

Technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO stellen ein angemessenes Schutzniveau her. Sie sind im Verarbeitungsverzeichnis zu referenzieren. Für die FU Berlin gelten regelmäßig die allgemeinen technisch-organisatorischen Maßnahmen der FUB-IT.

Zusätzlich können technisch-organisatorische Maßnahmen von Dienstleistern, d.h. Anbietern von Softwares, Applikationen und Tools, für die Datenverarbeitungen relevant sein. Diese sind ebenfalls im Verarbeitungsverzeichnis anzugeben oder zu referenzieren.

Wenn Sie einen Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragen, ist unter bestimmten Umständen ein sog. Auftragsverarbeitungsvertrag abzuschließen. Eine Checkliste zu Auftragsverarbeitungsverträgen können Sie beim Datenschutzbeauftragten anfragen.

Aufbewahrungsfristen legen fest, wie lang unterschiedliche Daten gespeichert werden dürfen oder müssen. Grundsätzlich dürfen personenbezogene Daten so lange aufbewahrt werden, wie dies zur Erfüllung ihres Verarbeitungszwecks erforderlich ist oder solange gesetzliche Aufbewahrungs- bzw. Verjährungsfristen gelten. Der Grund der Aufbewahrung muss aus dem Verarbeitungsverzeichnis hervorgehen. Darüber hinaus können bestimmte Best-Practice-Regeln gelten. Eine Richtlinie zu Aufbewahrungsfristen können Sie beim Datenschutzbeauftragten anfragen.

Bestehende Policies der FUB-IT, zum Beispiel zum sicheren Umgang mit Daten und Technik, sind weiter gültig und einzuhalten.

IT-Sicherheitsrichtlinie (PDF)

Sofern Sie einen Prozess planen, in dessen Rahmen personenbezogene Daten verarbeitet werden, empfiehlt es sich, den externen Datenschutzbeauftragten darüber zu informieren und möglichst viele Informationen zum konkreten Kontext mitzuteilen. Sie erreichen den Datenschutzbeauftragten unter datenschutz@fu-berlin.de. 

Wichtig sind dabei folgende Informationen:

• Welche personenbezogenen Daten werden verarbeitet?
• Wessen personenbezogene Daten werden verarbeitet?
• Zu welchem Zweck verarbeiten Sie die Daten?
• Setzen Sie einen Dienstleister bzw. eine Software ein?
• Werden die betroffenen Personen über die Datenverarbeitung informiert?
• Welche Datenströme findet statt?

Vor Ablage der Dokumente und Abschluss der Verträge sollte eine datenschutzrechtliche Prüfung durch den Datenschutzbeauftragten stattfinden. Lassen Sie dem Datenschutzbeauftragten daher immer zumindest die finale Version der folgenden Dokumente zukommen.

• Ein Verzeichnis über die Verarbeitungstätigkeiten (VzV). Dort wird unter anderem festgehalten, wessen Daten auf welcher Rechtsgrundlage zu welchem Zweck verarbeitet werden und wie lange Sie die Daten aufbewahren dürfen.
• Eine Liste der technisch-organisatorischen Maßnahmen zum Schutz der Daten (meist als Anhang oder Referenz zum VzV).
• Wenn ein neuer Datenverarbeitungsprozess angelegt wird, auf den die betroffenen Personen nicht bereits im Datenschutzhinweis hingewiesen werden, muss dieser erstellt oder ergänzt werden.
• Wenn Sie eine Datenverarbeitung auf die Einwilligung der Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO stützen, müssen Sie diese nachweisbar eingeholt haben. Hierzu benötigen Sie eine dokumentierte/dokumentierbare Einwilligungserklärung.
• Einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, falls Sie einen Dienstleister für den neuen Prozess beauftragen. Daneben ist eine Liste der technisch-organisatorischen Maßnahmen des Auftragnehmers und eine Liste der Unterauftragnehmer erforderlich.
• Falls personenbezogene Daten in ein Land außerhalb der EU oder des Europäischen Wirtschaftsraumes (sog. Drittländern) „gesendet“ werden, müssen Garantien nach Artt. 44 ff DSGVO eingehalten werden. Dies können Standardvertragsklauseln, Verweise auf Angemessenheitsbeschlüsse der EU-Kommission oder weitere Garantien sein.

Ein Drittlandtransfer kann bspw. bereits dann vorliegen, falls der Server, auf dem die betroffenen personenbezogenen Daten gespeichert werden, außerhalb der EU oder des EWR steht. Des Weiteren reicht es aus, wenn ein Dienstleister mit Sitz in einem Drittland möglicherweise Zugriff auf die Daten erhalten kann (z.B. über Fernwartung).

• Mithilfe des ausgefüllten VzV (siehe oben) prüft der externe Datenschutzbeauftragte, ob eine sog. Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig ist.
• Weitere Dokumente wie einen Vertrag über die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder die Erstellung eines Transfer Impact Assessments können nach Absprache mit dem Datenschutzbeauftragten ebenfalls erforderlich sein.

Die datenschutzrechtlichen Nachweispflichten können nur eingehalten werden, wenn bekannt ist, wo die Dokumentation abgelegt ist. Die Ablage der Dokumente und Verträge findet in Verantwortung der einzelnen Projektleiter statt.

Sofern Sie planen, einen neuen Dienstleister oder Softwareanbieter zu beauftragen, empfiehlt es sich oft, den externen Datenschutzbeauftragten darüber zu informieren und möglichst viele Informationen zu dem konkreten Projekt zur Verfügung zu stellen. Falls Sie sich nicht sicher sind, ob Sie einen datenschutzrechtlich verlässlichen Dienstleister ins Auge gefasst haben, lassen Sie sich einen Vertragsentwurf des Dienstleisters zusenden und den Datenschutzbeauftragten eine Vorabprüfung durchführen, bevor der Dienstleister beauftragt wird.

Einen Auftragsverarbeitungsvertrag brauchen Sie dann, wenn ein Dienstleister im Auftrag der FU Berlin personenbezogene Daten verarbeitet.

Die FU Berlin wird im Regelfall als Verantwortliche bei personenbezogenen Datenverarbeitungen auftreten. Verantwortlich im Sinne des Datenschutzes ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wenn die FU Berlin gemeinsam mit weiteren Entitäten über die Zwecke und Mittel der Verarbeitung entscheidet, liegt eine gemeinsame Verantwortlichkeit vor. Dann muss ein Vertrag über die Gemeinsame Verantwortlichkeit (GVV) abgeschlossen werden.

Auftragsverarbeiter im Sinne des Datenschutzes ist, wer die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet, die Zwecke und Mittel der Verarbeitung also nicht selbst festlegt.

Auftragsverarbeiter können im Auftrag der FU Berlin die personenbezogenen Daten von Websitebesuchern, Studierenden, Mitarbeiter*innen, Bewerber*innen, Studienteilnehmer*innen, Interessenten und weiteren Personengruppen verarbeiten.

Hat ein Dienstleister oder ein Softwareanbieter bei der Erbringung der Dienstleistung die Möglichkeit eines Zugriffs auf personenbezogene Daten? Dies reicht nach den Leitlinien des Europäischen Datenausschusses bereits aus, um ein Auftragsverarbeitungsverhältnis anzunehmen. Dieser mögliche Zugriff muss durch den Abschluss eines Vertrages datenschutzrechtlich abgesichert werden.

Folgende Informationen sind für den Datenschutzbeauftragten wichtig:

• Welche personenbezogenen Daten werden von dem Dienstleister oder Softwareanbieter verarbeitet?
• Welche Personengruppen sind betroffen?
• Handelt es sich um ein größeres Projekt? Werden sehr viele personenbezogene Daten verarbeitet?
• Werden die personenbezogenen Daten an einen Dienstleister außerhalb der EU oder des Europäischen Wirtschaftsraumes versendet, z.B. in die USA?
• Verwendet der Dienstleister Server außerhalb der EU oder des Europäischen Wirtschaftsraumes, z.B. in den USA?
• Verwenden Sie neue Technologien wie KI?

Welche Dokumente prüft der Datenschutzbeauftragte?

• Bitte füllen Sie, soweit möglich, gemeinsam mit dem betreffenden Dienstleister das Muster des Auftragsverarbeitungsvertrages aus und senden Sie diesen dem Datenschutzbeauftragten zu.
• Zum Abgleich der dortigen Angaben kann es hilfreich sein, dem Datenschutzbeauftragten auch den Dienstleistungsvertrag zukommen zu lassen.
• Daneben muss dem Auftragsverarbeitungsvertrag eine Liste der technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen beigefügt werden, die der Auftragsverarbeiter in seinem Betrieb vornimmt.
• Auch muss der Auftragsverarbeiter eine Liste seiner Unterauftragsverarbeiter zur Verfügung stellen, falls es diese gibt.
• Hilfreich ist auch der Kontext der Datenverarbeitungen: Was macht der Dienstleister für die FU Berlin und warum?

Anschließend stehen Sie mit dem Datenschutzbeauftragten im Austausch zur weiteren Anpassung des Vertrages und berät, ob z.B. der Abschluss von Standardvertragsklauseln notwendig ist.