Handreichungen zur praktischen Umsetzung der Datenschutz-Grundverordnung (DSGVO)

Ergebnisse des Projekts „Umsetzung der EU-Datenschutz-Grundverordnung: Aufbau Datenschutzmanagementsysteme (DSMS)“, 2018,
durchgeführt von der Universität Bielefeld, der Fachhochschule Bielefeld, der Universität Paderborn und der Universität Siegen, unterstützt von der DFN-CERT GmbH,
gefördert vom Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen.

Stand: 30.9.2019

Haftungsausschluss: Die im Projekt produzierten Handreichungen wurden mit größtmöglicher Sorgfalt erstellt. Die Ersteller übernehmen aber keinerlei Gewähr für die Richtigkeit und Aktualität der bereitgestellten Materialien. Sämtliche Dokumente müssen von der nutzenden Hochschule geprüft und an die lokalen Gegebenheiten und Rechtsgrundlagen (insb. Landesdatenschutzgesetze) angepasst werden und sind mit den behördlichen Datenschutzbeauftragten abzustimmen.

Abschlussbericht des Projekts

Im Projekt wurden Musterprozesse entwickelt und Handreichungen erarbeitet, um die Hochschulen bei der Umsetzung der DSGVO zu unterstützen. Dabei wurde von den folgenden Handlungsfeldern ausgegangen.

1. Verfahrensdokumentation / Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO bildet die Basis eines Datenschutzmanagementsystems. Das VVT muss vom Verantwortlichen (ebenso vom Auftragsverarbeiter) für jede in seinem Verantwortungsbereich stattfindende Verarbeitung personenbezogener Daten erstellt werden. Es ist die Grundlage für die verfahrensspezifische Rechenschaftspflicht. Dazu bietet es sich an Informationen in das VVT aufzunehmen, die über die Anforderungen des Art. 30 hinausgehen.

• Grundlagen für die Erstellung von Verzeichnissen der Verarbeitungstätigkeiten
  (Grundlagen_VVT_Projekt-DSMS_v1.0)

• Fragebogen zur Ersterfassung von Verarbeitungstätigkeiten
  (Fragebogen_Ersterfassung_Verarbeitungstaetigkeiten_Projekt-DSMS_v1.0)

• Erweiterter Fragebogen zur Ersterfassung von Verarbeitungstätigkeiten
  (Erweiterter_Fragebogen_Ersterfassung_Verarbeitungstaetigkeiten_Projekt-DSMS_v2.0)

• Musterformular VVT für die Hochschule als Verantwortlicher
  (Muster_VVT_Verantwortlicher_Projekt-DSMS_v1.0)

• Musterformular VVT für die Hochschule als Auftragsverarbeiter
  (Muster_VVT_Auftragsverarbeiter_Projekt-DSMS_v1.0)

• Ausfüllhilfe für das VVT für die Hochschule als Verantwortlicher
  (Ausfuellhinweise_VVT_Verantwortlicher__Projekt-DSMS_v1.0)

• Übersicht über Verarbeitungen mit personenbezogenen Daten sowie AV-Verträge
  (Uebersichtsliste_Verarbeitungen_sowie_AV-Vertraege)

2. proaktive Informationspflichten

Betroffene Personen müssen gemäß Art. 12ff DSGVO über jede Verarbeitung ihrer personenbezogenen Daten transparent sowie in einer verständlichen und leicht zugänglichen Form informiert werden. Dies kann über klassische papierbasierte Informationsblätter erfolgen, aber auch elektronisch bspw. über webbasierte Datenschutzerklärungen.

• Muster Datenschutzhinweise
  (Muster_Datenschutzhinweise__Projekt-DSMS_v1.0,
  Muster_Entwurf_Datenschutzhinweise_einfache_Sprache__Projekt-DSMS_v1.0)

• Beispiele/Muster: Datenschutzhinweise / Datenschutzerklärungen / Informationsblätter
  (Muster_Datenschutzerklaerung_Bewerbungs_und_Zulassungsverfahren__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_EvaSys__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_Gruppenbereiche_Webseiten__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_Moodle__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_Personenmanager_V1.0__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_Umfragetool_LimeSurvey__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_Wordpress_Blogs__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzerklärung_zentrales_Webangebot__Projekt-DSMS_v1.0.docx
  Muster_Datenschutzhinweise_Forschungs-Stipendien__Projekt-DSMS_v1.0.docx
  Muster_Informationsblatt_Schliessfachnutzung__Projekt-DSMS_v1.0.docx)

3. Betroffenenrechte (Auskunft)

Über die Informationspflichten hinaus müssen vom Verantwortlichen die weiteren Betroffenenrechte gewahrt und bei Anfragen innerhalb einer Frist von einem Monat umgesetzt werden. Das betrifft neben Löschung, Berichtigung und Einschränkung der Verarbeitung insbesondere auch das Auskunftsrecht der betroffenen Person gemäß Art. 15 DSGVO.

• Musterprozess und Hinweise zur Erteilung von Auskunft an betroffene Personen
  (Musterprozess_und_Hinweise__Auskunft_an_Betroffene__Projekt-DSMS_v2.0)

4. Schwellwertanalyse und Datenschutz-Folgenabschätzung

Besteht für eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, so muss der Verantwortliche gemäß Art. 35 DSGVO die Risiken im Rahmen einer Datenschutz-Folgen­ab­schätzung bewerten und basierend auf den Ergebnissen geeignete Maßnahmen zur Bewältigung der Risiken ergreifen. Das voraussichtliche Bestehen von Risiken lässt sich im Rahmen einer datenschutzrechtlichen Schwellwertanalyse sowie der informationssicherheitstechnischen Schutzbedarfsfeststellung abschätzen.

• DSFA: Datenschutz-Folgeabschätzung − Grundlagen, Methodik
  (DSFA_Grundlagen_Methodik__Projekt-DSMS_v1.0)

5. Technische und organisatorische Maßnahmen (TOM)

Der Sicherheit der Verarbeitung wird in der DSGVO einen besonderer Stellenwert eingeräumt. Neu sind dabei die Grundsätze Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gemäß Art. 25 DSGVO. Die Sicherheit der Verarbeitung muss durch geeignete technische und organisatorische Maßnahmen gewährleistet werden, die über die klassischen informationssicherheitstechnischen Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität hinausgehen (Art. 32 DSGVO). Weiter sind Verfahren für die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu etablieren (Art. 24 DSGVO).

• Technische und organisatorische Maßnahmen entsprechend der Vorgaben der EU-DSGVO und dem DSG NRW n. F. − Handreichung zu TOMs in Anlehnung an den BSI-Grundschutz
  (Handreichung_TOMs_Projekte_DSMS_und_Sensibilisierung_v1.0)

• TOM-Muster für verschiedene Anwendungsfälle
  (Muster_TOMs_in_Anlehnung_an_LDI__Projekt-DSMS_v1.0,
  Muster_TOMs_fuer_kleines_Forschungsprojekt_Projekt-DSMS_v1.0,
  Muster_TOMs_in_Anlehnung_an_ZENDAS__Projekt-DSMS_v1.0)

6. Meldung von Datenschutzverletzungen

Wird die Sicherheit eines Systems / einer Verarbeitung kompromittiert und kommt es dadurch zu einer Verletzungen des Schutzes personenbezogener Daten, so muss diese vom Verantwortlichen (unverzüglich und möglichst binnen 72 Stunden) an die Aufsichtsbehörden gemeldet werden (Art. 33 DSGVO).

• Muster eines Rundschreibens an alle Beschäftigten zur Meldung von Datenschutzverletzungen
  (Muster_Rundschreiben_an_Beschaeftigte_zu_Datenschutzverletzungen__Projekt-DSMS)

• Musterformular zur hochschulinternen Meldung möglicher Datenschutzverletzungen
  (Musterformular_Interne_Meldung_Datenschutzverletzung__Projekt-DSMS_v1.0)

• Musterformular zur Dokumentation gemeldeter möglicher Datenschutzverletzungen
  (Musterformular_Dokumentation_Datenschutzverletzung__Projekt-DSMS_v1.0)

• Handreichung zur Benachrichtigung Betroffener bei Datenschutzverletzungen gemäß Art. 34:
  Checkliste für Verantwortliche zur Formulierung des Informationstextes
  (Handreichung_zur_Benachrichtigung_Betroffener_bei_Datenschutzverletzungen__Projekt-DSMS_v2.0)

• Musterprozesse
  (Entwurf_Prozessmodellierung_Meldepflicht_Datenschutzverletzung_Projekt-DSMS,
  Muster_Prozess_Datenschutzverletzung_Uebersicht__Projekt-DSMS,
  Muster_Prozess_Datenschutzverletzung_Detail__Projekt-DSMS)

7. Rechtmäßigkeit

Jede Verarbeitung personenbezogener Daten muss die datenschutzrechtlichen Grundsätze (Art. 5 DSGVO) einhalten und rechtmäßig erfolgen, d. h. es muss eine von sechs vorgegebenen Bedingungen erfüllt sein (Art. 6 DSGVO, Abs. 1):

1. Einwilligung der betroffenen Person in die Verarbeitung

2. Erforderlich zur Erfüllung eines Vertrags mit der betroffenen Person

3. Erfüllung rechtlicher Verpflichtungen

4. Wahrung lebenswichtiger Interessen der betroffenen Person

5. Wahrnehmung einer Aufgabe, die im öffent­lichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt

6. Berechtigtes Interesse des Verarbeiters (nicht für Behörden in Erfüllung ihrer Aufgaben)

Einwilligungserklärungen

Für die Verarbeitung von personenbezogenen Daten muss, sofern keine Rechtsgrundlage gemäß (Art. 6 DSGVO, Abs. 1, lit. b.−f.) vorliegt, im Vorfeld, spätestens aber bei der Datenerhebung, eine Einwilligung der betroffenen Person eingeholt werden (Art. 7 DSGVO). Damit eine Einwilligung rechtskräftig ist, muss sie freiwillig erteilt werden und informiert sowie in Form einer eindeutig bestätigenden Handlung erfolgen.

• Anforderungen an eine informierte Einwilligung (gemäß Art. 7, 8 und 12, 13 DSGVO)
  (Anforderungen_Einwilligung__Projekt-DSMS_v1.0)

• Einwilligungserklärung im Rahmen von Forschungsprojekten
  (Einwilligung_Forschungsprojekte__Projekt-DSMS_v1.0)

• Einwilligung in die Übermittlung personenbezogener Daten in Drittländer (gemäß Art. 49 DSGVO)
  (Einwilligung_Uebermittlung_Drittland_Art_49_Projekt-DSMS_v1.0)

Auftragsverarbeitung

Werden Daten durch Dritte im Auftrag eines Verantwortlichen verarbeitet, so ist ein geeigneter Auftragsverarbeiter auszuwählen und es ist eine Vereinbarung zu schließen (Art. 28 DSGVO).

• Checkliste zur Prüfung „externer“ Verträge
  (Handreichung_AV-Vertragspruefung__Projekt-DSMS_v2.0)

• Muster eines AV-Vertrags
  (Mustervertrag_Auftragsverarbeitung__ZENDAS_Projekt_DSMS_v3.1)
  (Mustervertrag_Auftragsverarbeitung_Fernwartung__ZENDAS_Projekt_DSMS_v3.1)

• Auftragsvereinbarung in Ausschreibungsprozessen
  (Mustervertrag_Auftragsvereinbarung_Ausschreibungsverfahren__Projekt-DSMS_v1.0,
  Begleittext_Mustervertrag_Auftragsvereinbarung_Ausschreibungsverfahren__Projekt-DSMS_v1.0)

Gemeinsame Verantwortlichkeit / Joint Controller

Werden die Zwecke und Mittel einer Verarbeitung gemeinsam festgelegt, so besteht eine gemeinsame Verantwortlichkeit und die Partner müssen transparent festlegen, wer welche datenschutzrechtlichen Aufgaben und Pflichten übernimmt (Art. 26 DSGVO).

• Checkliste Gemeinsame Verantwortlichkeit
  (Checkliste_Gemeinsam_Verantwortliche__Projekt-DSMS_v1.0)

• Mustervertrag Gemeinsame Verantwortlichkeit
  (Mustervertrag_Gemeinsam_Verantwortliche__Projekt-DSMS_v1.0)

8. Sensibilisierung und Schulung

Alle Beschäftigten, die mit der Verarbeitung personenbezogener Daten befasst oder daran beteiligt sind, müssen hinsichtlich des Datenschutzes sensibilisiert und geschult werden. Die Umsetzung muss durch den Datenschutzbeauftragten überprüft werden (Art. 39. DSGVO). Hierzu wurden in einem parallelen IuK-Projekt zur „Erstellung eines Sensibilisierungskonzeptes“ personalisierte und zielgruppengerechte Materialien erstellt, u. a. eine E-Learning-Einheit zu Grundlagen des Datenschutzes.

9. Rechenschaftspflicht

Datenschutzleitlinie

In der Datenschutzleitlinie werden die Datenschutzziele in der Hochschule festgelegt, beispielsweise der Aufbau eines Datenschutzmanagementsystems. Sie bildet das Selbstverständnis der Hochschule bezüglich der Umsetzung des Datenschutzes ab und dient als Orientierungshilfe für Entscheidungen. Die Leitlinie muss von der Hochschulleitung als Vertreter des Verantwortlichen verabschiedet und getragen werden.

• Datenschutzleitlinie als Komponente eines Datenschutzmanagementsystems
  (Datenschutzleitlinie_als_Komponente_eines_Datenschutzmanagementsystems__Projekt_DSMS)

• Muster einer Datenschutzleitlinie
  (Muster_Datenschutzleitlinie__Projekt-DSMS_v1.0)

Datenschutzkonzept

Ein Datenschutzkonzept konkretisiert die Vorgaben der Datenschutzleitlinie. Dort werden die Organisationsstruktur und Verantwortlichkeiten sowie die Prozesse zur Umsetzung der datenschutzrechtlichen Vorgaben behandelt.

• Datenschutzkonzept als Komponente eines Datenschutzmanagementsystems
  (Datenschutzkonzept_als_Komponente_eines_Datenschutzmanagementsystems__Projekt_DSMS)

• Datenschutzkonzept nach den Anforderungen der DSGVO
  (Muster_Datenschutzkonzept__Projekt-DSMS_v2.0)

Rollen und Verantwortlichkeiten

Die Gesamtverantwortung für den Datenschutz obliegt der Hochschulleitung. Die Verantwortung kann zusammen mit den Aufgaben der Datenverarbeitung delegiert werden. Zusätzlich gibt es weitere Rollen, beispielsweise den Informationssicherheitsbeauftragten oder die in Art. 37 DSGVO festgelegte Rolle des Datenschutzbeauftragten.

• Muster-Richtlinie: Rollen und Verantwortlichkeiten für Verarbeitungen nach Art. 5 Art. 2 DSGVO
  (Muster_Richtlinie_Rollen_und_Verantwortlichkeiten__Projekt-DSMS_v1.0)

10. Präsentationen / Folien des Projekts

• Vorträge des Projekts
  2018.02.26_Vortrag_Projekt-DSMS_Moodle-NRW-Treffen.pptx
  2018.05.14_Vortrag__Aufbau_DSMS_Phase_II__DV-Projektgruppe.pptx
  2018.11.20_Vortrag_Projekt-DSMS_7._DFN-Tagung.pptx
  2018.12.03_Vortrag_Projekt-DSMS_Abschlussworkshop_Hagen.pptx
  2019.02.25_Vortrag_Sachstand_Projekt-DSMS_DV-Projektgruppe_Hagen.pptx
  2019.05.07_Vortrag_Projekt-DSMS__14._DFN-Tagung_Hochschulverwaltung_Ulm.pptx

• Präsentationen in Schulungen
  Schulung_Datenschutz-Koordinatoren_Datenschutzgrundlagen.PDF
  Schulung_Verantwortliche_Datenschutzgrundlagen.pdf
  Vortrag_Administratoren_Datenschutzerklärungen.pptx
  Vortrag_Administratoren_Datenschutzverletzungen.pptx
  Vortrag_Datenschutz_in_der_Wissenschaft.pptx

• Folien zu einzelnen Themenbereichen
  Datenschutz-Grundlagen_Projekt_DSMS.pptx
  Datenschutzmanagementsystem_Projekt-DSMS.pptx
  Datenschutzverletzungen_Projekt-DSMS.pptx
  DSGVO_Projekt-DSMS.pptx
  Managementsysteme_Projekt_DSMS.pptx
  TOMs_Projekt-DSMS.pptx
  VVT-Verfahrensdokumentation_Projekt-DSMS.pptx

Download sämtlicher Ergebnisdokumente als ZIP-Archiv (24 MB)

                    gefördert durch das 

Impressum / Datenschutzhinweise