Was benötige ich an datenschutzrechtlicher Dokumentation für mein Forschungsprojekt?
Was benötige ich an datenschutzrechtlicher Dokumentation für mein Forschungsprojekt?
Ein Verzeichnis über die Verarbeitungstätigkeiten (VzV). Dort wird unter anderem festgehalten, wessen Daten auf welcher Rechtsgrundlage zu welchem Zweck verarbeitet werden. Eine Vorlage kann beim Datenschutzbeauftragten angefordert werden.
Eine Liste der technisch-organisatorischen Maßnahmen zum Schutz der Daten (als Anhang zum VzV) – hier sind die aktuellen technischen und organisatorischen Maßnahmen (TOM) der FUB-IT maßgeblich sowie die des eventuell eingesetzten Dienstleisters. Diese Liste wird im VzV ebenfalls hinterlegt.
Bevor die Daten bei den Personen erhoben werden, müssen diese Kenntnis vom Datenschutzhinweis nehmen können. Eine Vorlage stellt Ihnen der Datenschutzbeauftragte zur Verfügung, Diese muss auf Ihr jeweiliges Forschungsprojekt angepasst werden.
Wenn Sie eine Datenverarbeitung auf die Einwilligung der Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO stützen, muss die Einwilligung nachweislich eingeholt werden. Hierzu benötigen Sie eine dokumentierte/dokumentierbare Einwilligungserklärung. Eine Vorlage ist beim Datenschutzbeauftragten vorhanden.
Oft benötigen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, falls Sie einen Dienstleister für Ihr Forschungsprojekt mit der Verarbeitung personenbezogener Daten beauftragen. Daneben ist eine TOM-Liste des Auftragnehmers und eine Liste der Unterauftragnehmer erforderlich. Sollte der Dienstleister keinen Auftragsverarbeitungsvertrag anbieten, können Sie ein Muster beim Datenschutzbeauftragten anfragen.
Mithilfe des ausgefüllten VzV (siehe oben) prüft der externe Datenschutzbeauftragte, ob eine sog. Datenschutzfolgenabschätzung nach Art. 35 DSGVO notwendig ist.
Weitere Dokumente können nach Absprache ebenfalls erforderlich sein.
