Eine der wichtigeren Neuerungen der DSGVO liegen in Artikel 13 DSGVO – den Informationspflichten. Die Hochschule muss spätestens bei der Erhebung personenbezogener Daten den betroffenen Personen mindestens folgende Informationen in einfacher und verständlicher Sprache mitteilen:
- den Namen und die Kontaktdaten der Hochschule,
- die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- die berechtigten Interessen, wenn die Verarbeitung auf Artikel 6 Abs. 1 lit. f DSGVO beruht,
- gegebenenfalls die Empfänger (oder Kategorien von Empfängern) der personenbezogenen Daten.
Falls personenbezogene Daten an ein Drittland / eine internationale Organisation (d. h. außerhalb des Geltungsbereichs der DSGVO) übermittelt werden sollen:
- die Absicht die Daten zu übermitteln,
- das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der EU-Kommission,
- (oder) im Falle von Übermittlungen außerhalb der EU gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit diese Informationen zu erhalten.
Wenn die Erhebung nicht bei den Betroffenen selbst erfolgt, müssen (gemäß Artikel 14 DSGVO) die Kategorien der verarbeiteten personenbezogenen Daten mitgeteilt werden. Es empfiehlt sich aber auch im Falle der Erhebung bei den Betroffenen (gemäß Artikel 13 DSGVO) Angaben zu den verarbeiteten personenbezogenen Daten in die bereitgestellten Datenschutzinformationen / Datenschutzhinweise aufzunehmen, um die Transparenz der Verarbeitung zu gewährleisten. Dies sollte lediglich unterbleiben, wenn die Datenschutzinformationen in direktem Zusammenhang mit einer Datenerhebung gegeben werden, also bspw. Anhang eines Formulars sind, aus dem sämtliche verarbeiteten Daten unmittelbar hervorgehen.
Zusätzlich dazu müssen die betroffenen Personen zum Zeitpunkt der Datenerhebung über Folgendes informiert werden:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffenen Personen verpflichtet sind, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 DSGVO und -zumindest in diesen Fällen- aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen.
Darüber hinaus müssen die betroffenen Personen über das Bestehen folgender Rechte informiert werden:
- Recht auf Auskunft
- Rechte auf Berichtigung, Löschung und auf Einschränkung der Verarbeitung,
- Recht auf einen Widerspruch gegen die Verarbeitung,
- Recht auf Datenübertragbarkeit,
- Recht, eine Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
- Recht auf Beschwerde bei einer Aufsichtsbehörde.
Falls personenbezogene Daten für einen anderen Zweck verarbeitet werden sollen, haben Verantwortliche den betroffenen Personen bereits vor der Weiterverarbeitung u.a. Informationen über diesen anderen Zweck zur Verfügung zu stellen. Die Informationen müssen den betroffenen Personen nicht mitgeteilt werden, falls sie bereits darüber verfügen.
Zur Information der betroffenen Personen kann das Muster im Reiter Vorlagen als Rahmen dienen, muss aber an die konkrete Verarbeitung angepasst werden:
Werden eigene Webseiten (z.B. Blogs) betrieben, so kann ggf. auf die zentrale Datenschutzerklärung der Hochschule verwiesen werden, sofern keine anderen als die dort beschriebenen Datenverarbeitungen vorgenommen werden. D. h. es werden keine abweichenden Log-Daten verarbeitet, keine eigenen Cookies gesetzt, keine weiteren Dienste oder Plugins eingebunden, etc. Das Datenschutzteam berät Sie diesbezüglich gerne.
Soll eine eigene Datenschutzerklärung verwendet werden oder eine bereits bestehende Datenschutzerklärung auf Konformität zur DSGVO geprüft werden, steht Ihnen eine Checkliste im Reiter Vorlagen zur Verfügung.