• Sie dienen der Erstellung eines internen Verzeichnisses der Verarbeitungst?tigkeiten. Dieses Verzeichnis soll die Erfüllung materieller Anforderungen der Datenschutz-Grundverordnung (DSGVO) verfahrensrechtlich absichern (Datenschutz durch Verfahren). Es dient dem Landesdatenschutzbeauftragten als Ausgangspunkt seiner Kontrollma?nahmen und soll eine vorl?ufige Rechtm??igkeitsprüfung erm?glichen. Daneben soll es auch Transparenz herstellen und erh?hen, indem einzelne Schritte oder (Fehl-)Entwicklungen des Verarbeitungsvorgangs und seiner Steuerung nachvollziehbar gemacht werden.

• Sie ist nur für personenbezogene Daten erforderlich.
• Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ?betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit?t dieser natürlichen Person sind.
• Beispiele: Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Foto, Semesterzahl, Studiengang, Foto, Kontonummer.
• Auch pseudonymisierte Daten, z.B. Kennziffern, aus denen die betroffenen Personen indirekt bestimmbar werden, wie bspw. die Matrikelnummer gelten als personenbezogener Daten. Entsprechendes gilt für IP-Adressen.

• Anzugeben sind alle Verarbeitungst?tigkeiten personenbezogener Daten, die ganz oder teilweise elektronisch (z.B. mit dem Rechner am Arbeitsplatz) erfolgen (z.B. Anlegen einer EXCEL-Liste, Einstellen von Fotos auf die Homepage).
• Auch h?ndische Verarbeitungst?tigkeiten sind anzugeben, soweit die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. ?Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zug?nglich ist. Diese Voraussetzung wird regelm??ig vorliegen, wenn eine strukturierte Verarbeitungst?tigkeit schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird. Insbesondere die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwaltungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbeitungsverzeichnis.

• Nein. Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungst?tigkeiten ausreichend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der ?Verarbeitungst?tigkeit“ umfasst also alle Verarbeitungsschritte, Vorg?nge und Vorgangsreihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht erforderlich, zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe einen eigenen Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Verzeichniseintrag für die durch den Zweck gleichsam ?verklammerte“ Verarbeitungst?tigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur untergeordnete Hilfsfunktion haben und?damit keinem eigenen neuen Zweck, sondern letztlich nur dem Zweck der eigentlichen Verarbeitungst?tigkeit dienen, nicht gesondert aufgeführt werden.

• Es handelt sich um ein interaktives Formular mit zeilenbezogenen flexiblen Schreibfeldern. Die einzelnen Zeilen verbreitern sich automatisch entsprechend der L?nge der Eintragungen.
• Bei den Schreibfeldern mit den laufenden Nummern (1. Spalte ?Lfd. Nr.)“ ordnen Sie, beginnend mit 1, den entsprechenden Text der Nummer auf der H?he der jeweiligen Textzeile zu.

• Das ausgefüllte Formular ist zu speichern und dann dem Datenschutz-Team?zu übermitteln.

• Das Formular ist rechtzeitig vor Beginn der Verarbeitungst?tigkeit oder deren wesentlicher ?nderung zu übermitteln.
• Dies gilt entsprechend für den Einsatz einer Videoüberwachung.

• Das Formular ist per E-Mail ( datenschutz@uni-augsburg.de) zu übermitteln.
• Sie k?nnen hierfür den Hyperlink auf Seite 1 oben rechts des Formulars nutzen, müssen aber die Datei vorher lokal speichern.

• Das?Datenschutz-Team hat nun die Gelegenheit, zu der beschriebenen Verarbeitungst?tigkeit Stellung zu nehmen.

• Die Bezeichnung der Verarbeitungst?tigkeit soll allgemeinverst?ndlich sein und den jeweiligen Zweck erkennen lassen.
• Das Aktenzeichen in Zeile 1 wird vom Datenschutz-Team?vergeben. In Zeile 2 ist das Aktenzeichen der ursprünglichen Verarbeitungst?tigkeit anzugeben. Bei mehreren wesentlichen ?nderungen?ist die zeitlich letzte ?nderung in Bezug zu nehmen.
• Mit ?Stand“ ist der Tag der ?bermittlung des Formulars an das Datenschutz-Team gemeint. Bei wesentlich ge?nderten Verarbeitungst?tigkeiten ist in Zeile 2 zus?tzlich der Tag der ?bermittlung des die ursprüngliche (bzw. die letzte wesentlich ge?nderte) Verarbeitungst?tigkeit betreffenden Formulars an das Datenschutz-Team?anzugeben.
• Unter ?Beginn“ ist der geplante oder tats?chliche Beginn der Verarbeitung personenbezogener Daten oder der wesentlichen ?nderung der Verarbeitungst?tigkeit zu verstehen. Dabei ist schon die erstmalige Erhebung (bzw. ?bertragung oder Speicherung) personenbezogener Daten relevant. Bei wesentlich ge?nderten Verarbeitungst?tigkeiten ist in Zeile 2 zus?tzlich der bei der ursprünglichen (bzw. der letzten ge?nderten) Verarbeitungst?tigkeit angegebene Tag einzutragen.
• Als Verantwortlicher ist die Universit?t Augsburg voreingetragen. Das ist der Regelfall. Die Universit?t Augsburg ist auch verantwortlich, wenn z.B. eine Studentin oder ein Student?personenbezogene Daten im Rahmen einer Studienarbeit erhebt oder ein Lehrstuhl eine Cloudl?sung zum internen Dateiaustausch und zur Teamarbeit einsetzt. Denn der einzelne Lehrstuhl ist nicht rechtlich selbstst?ndig. Anders verh?lt es sich z.B. dann, wenn eine Professorin oder ein Professor in Nebent?tigkeit ohne ?ffentliches Interesse entgeltlich für einen Dritten arbeitet. Dann ist die Professorin oder der Professor als Selbstst?ndige oder Selbstst?ndiger verantwortliche Stelle. Die Organisationseinheit (Lehrstuhl, Referat usw.), innerhalb derer die Daten verantwortlich verarbeitet werden, ist unter Nr. 9 des Formulars anzugeben.
• ?Weitere für die Verarbeitung Verantwortliche“ liegen vor, wenn weitere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Das ist z.B. der Fall, wenn Lehrstühle unterschiedlicher Hochschulen ein Projekt gemeinsam verfolgen. Ggfs. sind Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer des oder der weiteren Verantwortlichen anzugeben. Au?erdem ist ein Kooperationsvertrag über die Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de) abzuschlie?en

• Der Zweck bzw. die Zwecke müssen m?glichst genau beschrieben werden.
• Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4 Abs. 1 BayDSG) besteht, kommen als Rechtsgrundlagen die Tatbest?nde nach Art. 6 – bei besonderen Kategorien personenbezogener Daten i.V.m. Art. 9 DSGVO und Art. 8 BayDSG – in Betracht.
• Praktisch von besonderer Bedeutung als Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung der betroffenen Person). Die Willensbekundung muss freiwillig, in informierter Weise und unmissverst?ndlich sowie durch Erkl?rung oder eine sonstige eindeutige best?tigende Handlung erfolgen. Die im Einzelfall relevanten Daten und Zwecke sind genau zu bezeichnen. Nur positive Einwilligungen (?Ich willige darin ein, dass ....“) sind gültig. Ein ?Opt out“ reicht nicht.
• Ebenso bedeutsam ist die Datenverarbeitung für die Erfüllung eines Vertrags einschlie?lich der Durchführung vorvertraglicher Ma?nahmen, soweit diese erforderlich ist (Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO). Dies gilt z.B. für Besch?ftigungsverh?ltnisse und deren Anbahnung durch Bewerbungsverfahren.
• Eine Verarbeitung personenbezogener Daten durch eine ?ffentliche Stelle wie die Universit?t Augsburg ist nach Art 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 S. 1 DSGVO i.V.m. Art. 4 Abs. 1 BayDSG auch dann zul?ssig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Nach Art. 2 Abs. 1 S. 2?Bayerisches Hochschulinnovationsgesetz (BayHIG), dienen Hochschulen wie die Universit?t Augsburg der Pflege und Entwicklung von Wissenschaft und Kunst durch Forschung, künstlerisches Schaffen, Lehre, Studium und Weiterbildung. Eine auf diese Bestimmungen gestützte Datenverarbeitung darf aber die Grundrechte der Betroffenen nicht in einem Ma?e einschr?nken, das über das absolut Notwendige hinausgeht (Grundsatz der Erforderlichkeit). Dabei ist auch zu prüfen, inwieweit Ma?nahmen vorstellbar sind, die die Grundrechte weniger stark beeintr?chtigen, den Zielen des Art. 2 Abs. 1 S. 2?BayHIG aber in ebenso wirksamer Weise dienen.

• Unter Kategorien sind aussagef?hige Oberbegriffe zu verstehen, z.B. ?Name und Vorname“, ?Anschrift“, ?Staatsangeh?rigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme auf beigefügte Beschreibungen von Datens?tzen ist zul?ssig, wenn aus diesen die personenbezogenen Daten eindeutig hervorgehen.

• Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen sind, z.B. Bewerber um einen Studienplatz, Vertragspartner der Universit?t. Anzugeben sind auch Personengruppen innerhalb der ?ffentlichen Stellen, deren Daten verarbeitet werden, z.B. Besch?ftigte der Universit?tsverwaltung, Studierende?der Rechtswissenschaft.

• Empf?nger ist grunds?tzlich jede natürliche oder juristische Person, Beh?rde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.
• Hierzu geh?ren inneruniversit?re Empf?nger grunds?tzlich nicht.
• Dagegen sind Personalrat und Studierendenvertretung als Empf?nger anzusehen.
• Zu den Empf?ngern geh?ren daher auch Auftragsverarbeiter. Sollten Sie bei Ihrer Verarbeitung einen Auftragsverarbeiter einsetzen wollen, halten Sie bitte Rücksprache mit der Rechtsabteilung ( auftragsverarbeitung@zv.uni-augsburg.de).

• Als Drittl?nder werden alle L?nder au?erhalb der Europ?ischen Union oder des Europ?ischen Wirtschaftsraumes bezeichnet. Im Falle einer ?bermittlung an ein Drittland oder eine internationale Organisation sind die geeigneten Garantien in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf erg?nzende Dokumente verwiesen werden.

• Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der ?Speicherbegrenzung“). Gespeicherte Daten sind daher unverzüglich zu l?schen, sobald sie für die Aufgabenerfüllung der Universit?t Augsburg nicht mehr erforderlich sind.
• Vorrangig sind fachgesetzliche Regelungen zu beachten (z.B. haushaltsrechtliche Aufbewahrungszeiten für die Buchführung, die Belege usw. gem. VV zu Art. 71 Bayerische Haushaltsordnung (BayHO); Art. 14 Abs. 1 i.V.m. Art. 13 Abs. 2 i.V.m. Art. 6 Abs. 1 S. 2 Bayerisches Archivgesetz (BayArchivG)).
• ?ber den eigentlichen Speicherungsanlass hinaus kann eine Speicherung auch zur Erfüllung von Dokumentationspflichten erforderlich sein.
• Anzugeben ist auch der Beginn der L?schungsfrist. Vor einer L?schung von Daten sind die archivrechtlichen Anbietungspflichten zu beachten.

• Hier geht es um Angaben zur Datensicherheit.
• Technische und organisatorische Ma?nahmen (TOM) sollen die Vertraulichkeit, Integrit?t und Verfügbarkeit der bei der Datenverarbeitung eingesetzten Systeme und Dienste sicherstellen.
• Hierzu geh?ren z.B. die Sicherung des Zugangs zum Arbeitsplatzrechner durch Passwort, die Speicherung der Daten auf einem Netzlaufwerk (also nicht auf der Festplatte des Rechners) verbunden mit einem Hinweis auf die TOM unseres Rechenzentrums oder ein eigenes IT-Sicherheitskonzept.

• Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der Universit?t anzugeben, in der die Verarbeitungst?tigkeit erfolgt (z.B. Lehrstuhl Professor Dr. X, Mail-Adresse, Telefonnummer).

• Eine Datenschutz-Folgenabsch?tzung wird nur bei sehr wenigen Verarbeitungst?tigkeiten erforderlich sein.

• Die Kompetenz, etwas zu genehmigen, steht dem Datenschutz-Team von Gesetzes wegen nicht zu, es gibt allein eine Stellungnahme zur?Verarbeitungst?tigkeit ab.

Rechtsgrundlage

• Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO (Einwilligung)
• Die Kategorien der verarbeiteten personenbezogenen Daten in der Beschreibung der Verarbeitungst?tigkeit, der Einwilligungserkl?rung und den Datenschutzhinweisen müssen übereinstimmen.

Führen des Interviews

• Wird das Interview über Videokonferenzplattformen (z.B.?Zoom) geführt, muss bei den Kategorien der verarbeiteten personenbezogenen Daten auch die IP-Adresse angegeben werden (Rechtsprechung des EuGH: IP-Adresse als personenbezogenes Datum).
• Soll das Interview über eine Videokonferenzplattformen durchgeführt werden, empfiehlt sich Zoom, da die Universit?t mit Zoom bereits einen Auftragsverarbeitungsvertrag abgeschlossen hat.

Transkription

• Wird das Interview mit einer Software transkribiert, muss darauf geachtet werden, dass die Universit?t Augsburg mit dem Anbieter der Software einen Auftragsverarbeitungsvertrag abgeschlossen hat.
• Ansonsten empfiehlt es sich, die Transkription lokal auf dem eigenen PC durchführen zu lassen (z.B.?mit der kostenlosen Software NoScribe oder aTrain).

Sperrvermerk

• Ein datenschutzrechtlicher Sperrvermerk ist zwar nicht vorgeschrieben, aber zu empfehlen. Er sollte gut sichtbar?(z.B. auf der Seite hinter dem Deckblatt der Arbeit)?und mit der ?berschrift ?Datenschutzrechtlicher Sperrvermerk“ versehen sein. Sie k?nnen wie folgt formulieren:
• "Diese Arbeit enth?lt personenbezogene Daten. Deshalb dürfen Dritte, mit Ausnahme der mit ihrer Bewertung bzw. Beurteilung befassten Personen und befugten Mitgliedern des Prüfungsausschusses, ohne ausdrückliche Einwilligung des Verfassers/der Verfasserin und der betroffenen Personen keine Einsicht in sie nehmen."

To-do-Liste

• Bevor Sie anfangen, personenbezogene Daten zu verarbeiten, mailen Sie uns bitte rechtzeitig vorab folgende zwei Dateien/Onlineformulare in WORD zu:
  Beschreibung der Verarbeitungst?tigkeit und Datenschutzrechtliche Einwilligung und Datenschutzhinweise
• Sie k?nnen hierzu die auf dieser Webseite wiedergegebenen Referenzbeispiele für Ihre Zwecke anpassen. Durch das rechtzeitige ?bersenden der Formulare geben Sie uns die M?glichkeit der Stellungnahme, ob Ihre geplante Verarbeitungst?tigkeit datenschutzkonform ist. Unsere Stellungnahme hat nur empfehlenden Charakter, ist also für Sie nicht rechtsverbindlich.