Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
datenschutzerklaerung-beispiel [2021/10/11 09:25] – Admin | datenschutzerklaerung-beispiel [2023/01/16 14:49] (aktuell) – Admin |
---|
<WRAP center round alert 60%> **Der folgende Text ist ein <fs x-large>Entwurf</fs> und noch nicht als Artikel Bestandteil dieses Wiki!** </WRAP> | Ein **Beispiel für eine Datenschutzerklärung** auf Basis einer Datenerhebung mittels Umfrage zu Forschungszwecken. Zu grundsätzlichen Aussagen zu Datenschutzerklärungen siehe [[:Datenschutzerklärung]]. |
| |
Ein **Beispiel für eine Datenschutzerklärung** | Erläuterung zu den Spalten: |
| * laufende Nummer ist einfach ein Hilfsmittel zur Orientierung beim Lesen und bei der Erstellung der Tabelle ohne inhaltliche Bedeutung. |
| * Text ist der Text der Datenschutzerklärung in Frage-Antwort-Form. |
| * Rechtsgrundlage benennt die Fundstelle in der DSGVO, der die Angabe regelt. |
| * Erläuterung gibt Hinweise, wie die Frage zu verstehen ist und auf was in der Antwort eingegangen werden muss. |
| * Art. 13 oder Art. 14 markiert die Fragen, die nur bei Datenschutzerklärungen nach Art. 13 (Erhebung der Daten bei der betroffenen Person) oder nach Art. 14 (Erhebung der Daten nicht bei der betroffenen Person) relevant sind. Im jeweils anderen Fall ist die Angabe nicht nötig und zum Teil auch nicht möglich. |
| * Art. 13/14 Abs. 2 markiert die Fragen, die "nur" nach Abs. 2 von Artikel 13 und Artikel 14 erforderlich sind und auf die auch verzichtet werden kann, wenn dadurch Transparenz und Fairness nicht gefährdet werden. |
| |
{{tag>Entwurf}} | \\ |
| ^lfd. Nr.^Text^Zugrundeliegende Regelung der DSGVO^Erläuterung^Art. 13 oder Art. 14^Art. 13/14 Abs. 2?^ |
| |1| Welche Daten werden verarbeitet? (Kategorien personenbezogener Daten)|Erforderlich nach [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] Abs. 1 lit. d DSGVO|Dem Wortlaut der Artikel 13 und 14 DSGVO nach eigentlich nur erforderlich, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden - also im Fall des Art. 14, während Art. 13 die erhobenen Daten nicht erwähnt. Die Ratio hinter der Regelung dürfte sein, dass die betroffene Person weiß, welche Daten erhoben werden, wenn sie bei ihr erhoben werden. Uneigentlich empfiehlt es sich dennoch auch im Fall des Art. 13, anzugeben, welche Daten erhoben werden. Dafür spricht zum einen der Grundsatz der [[:Transparente Information|Transparenten Information]] des [[https://dejure.org/gesetze/DSGVO/12.html|Artikel 12]]. Beispielsweise kann das einige Unzufriedenheit verhindern, wenn am Ende einer Befragung plötzlich Daten erhoben werden, die die Betroffene Person gar nicht preisgeben möchte. Aber auch ganz praktisch lässt sich in einer Datenschutzerklärung leichter erläutern, was mit den personenbezogenen Daten geschieht, wenn am Anfang geklärt wird, um was es sich dabei im konkreten Fall handelt.]]| 14 | | |
| | | Im Wesentlichen werden an personenbezogenen Daten die notwendigen Verbindungsdaten (insbesondere IP-Adresse) erhoben, um an der Umfrage teilnehmen zu können. \\ \\ Die Angaben, die bei einer Teilnahme an der Umfrage erhoben werden, sind in der Regel nach dem Beenden und Absenden des Fragebogens KEINE personenbezogenen Daten mehr, da die Erhebung so erfolgt, dass ein Rückschluss auf die teilnehmende Person nicht möglich ist ([[:Anonymisierung]]). | | | | | |
| |2| Woher stammen die Daten? | Art. 14 Abs. 2 lit. f DSGVO | Nur relevant, wenn die Daten **nicht** bei der betroffenen Person erhoben werden.| 14 | x | |
| | | (Hier nicht relevant.) | | Wenn es relevant ist, könnte zum Beispiel formuliert werden: Ergänzend werden Daten aus der XY-Datenbank übernommen. Die Datenschutzerklärung für diese Verarbeitung finden sie hier:....| | | |
| |3| Wie und durch wen werden Daten erhoben? An wen kann ich mich wenden?| Angabe des Verantwortlichen und seine Kontaktdaten: Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a, \\ Angabe der Kontaktdaten des Datenschutzbeauftragten: Art. 13 Abs. 1 lit. b und Art. 14. Abs. 1 lit. b| Die Angabe des [[:Verantwortlicher|Verantwortlichen]] ist ein ganz zentraler Punkt jeder Datenschutzerklärung, weil der Verantwortliche Adressat fast aller Pflichten der DSGVO ist und folglich aus Sicht der betroffenen Person der Anspruchsgegner, falls Vorschriften zum Schutz der betroffenen Person nicht eingehalten werden. \\ \\ Zur Frage des Verantwortlichen bei Forschungvorhaben siehe [[:datenschutz_in_der_forschung#verantwortliche|Datenschutz in der Forschung#Verantwortliche]].| beides | | |
| | | Die Technische Universität Ilmenau, Ehrenbergstr. 29, 98693 Ilmenau, gesetzlich vertreten durch den Präsidenten, [[https://www.tu-ilmenau.de/]] erhebt die Daten und ist der Verantwortliche gemäß Art. 4 Ziffer 7 EU-Datenschutz-Grundverordnung (DS-GVO) \\ \\ Innerhalb der Universität fachlich zuständig ist: […] \\ \\Den Datenschutzbeauftragten der TU Ilmenau können Sie wie folgt erreichen: Technische Universität Ilmenau, Am Helmholtzring 9, datenschutz@tu-ilmenau.de.| | | | | |
| |4| Zu welchem Zweck werden die Daten verarbeitet?| Art. 13 Abs. 1 lit. c DSGVO und Art. 14 Abs. 1 lit. c DSGVO| Der Zweck bzw. die Zwecke der Verarbeitung sind für die Überprüfung der [[:Rechtmäßigkeit der Verarbeitung]] von Bedeutung, weil für fast alle Rechtsgrundlagen nötige [[:Erforderlichkeit]] an der Verknüpfung von Zweck und Mittel der Verarbeitung ansetzt. In einfachen Fällen kann im Interesse der Kürze und damit der Transparenz auch mit dem folgenden Punkt Rechtsgrundlage zusammengefasst werden insbesondere da beide Punkte gemeinsam in Art. 13 bzw. 14 Abs. 1 lit. c genannt werden.| beides | | |
| | | Der Daten werden erhoben im Rahmen der Forschung der TU Ilmenau, insbesondere im Rahmen der Erforschung von ...| | | |
| |5| Auf welcher Rechtsgrundlage wird der Verantwortliche (also zB die TU Ilmenau siehe oben) tätig?| Art. 13 Abs. 1 lit. c DSGVO und Art. 14 Abs. 1 lit. c DSGVO, ggf. Art. 13 Abs. 1 lit. d und Art. 14 Abs. 2 lit. b| Die Rechtsgrundlage ist immer anzugeben. Dazu sollte in aller Regel von Art. 6 Abs. 1 UA 1 DSGVO ausgegangen werden und die in [[:Rechtmäßigkeit der Verarbeitung]] vorgeschlagene Prüfreihenfolge zur Anwendung kommmen. Wenn die Rechtsgrundlage in der DSGVO benannt ist, folgen ergänzend speziellere Rechtsgrundlagen, die aber meist Art. 6 Abs. 1 UA 1 DSGVO nur im Rahmen der Öffnungsklauseln näher ausgestalten. \\ Wenn eine [[:Verarbeitung zur Wahrung berechtigter Interessen]] erfolgen soll, was im Kontext von Hochschulen die Ausnahme sein dürfte, ist auch das berechtigte Interesse anzugeben, das in der Regel mit dem Zweck der Verarbeitung zusammenfallen dürfte. | beides | teilweise | |
| | | Die TU Ilmenau wird auf der Rechtsgrundlage Art. 6 Abs. 1 Unterabsatz 1 lit. e Datenschutzgrund-Verordnung (DSGVO). Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten rechtmäßig, soweit sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Das ist bei dem oben genannten Zweck der Umfrage gemäß den Aufgaben der TU Ilmenau nach dem Thüringer Hochschulgesetz (ThürHG) der Fall.| | | | | |
| |6| Wie werden die Daten verwendet?| Art. 13 Abs. 1 lit. e und f, Art. 14 Abs. 1 lit. e und f \\ Art. 13 Abs. 3, Art. 14 Abs. 4 | Der Zweck der Verarbeitung an sich wird schon weiter oben angegeben. Das "Wie" der Verarbeitung anzugeben, kann aus Transparenzgründen gemäß Art. 12 Abs. 1 DSGVO geboten sein. Zwingend ist anzugeben, wenn an die Daten an externe Stellen übermittelt werden sollen. Völlig atypische Fälle, die theoretisch in Betracht kommen, können dabei außen vor gelassen werden. \\ Bei einer Übermittlung in ein [[:Drittland]] muss die Übermittlung sehr detailliert erläutert werden. \\ Bei einer schon geplanten oder absehbaren Weiterverarbeitung (Art. 13 Abs. 3 und Art. 14 Abs. 4) sollte auf diese hingewiesen werden und falls möglich auch ein Link zur zugehörigen Datenschutzerklärung angegeben werden, so dass im Interesse der Transparenz auch [[:Verarbeitungskette|Verarbeitungsketten]] deutlich werden. | beides | teils | |
| | | Die personenbezogenen Daten, also wie oben ausgeführt die Verbindungsdaten, werden nur verwendet, um die Teilnahme an der Umfrage zu ermöglichen. Eine anderweitige Verwendung findet nicht statt. Die TU Ilmenau erlangt auch keine Kenntnis von diesen Verbindungsdaten, da diese ausschließlich bei unserem Auftragsverarbeiter Unipark gespeichert werden. \\ \\ Die Angaben in der Umfrage sind keine personenbezogenen Daten mehr (siehe oben); deren Verwendung richtet sich nach dem genannten Zweck der Umfrage.| | | | | |
| |7| Wie lange werden die Daten gespeichert?| Art. 13 Abs. 2 lit. a und Art. 14 Abs. 2 lit. a | Aufbewahrungsfrist und Löschfrist sind zwei Seiten der selben Medaille. Die Bedeutung dieses Punktes nimmt stetig zu. Es muss also geklärt werden, wie lange daten aufbewahrt werden und wenn diese Frist abgelaufen ist, muss in aller Regel gelöscht werden. Das muss auch organisatorisch-technisch abgesichert werden. | beides | x | |
| | | Die Verbindungsdaten werden für maximal 7 Tage gespeichert.| | | | |
| |8| Werden besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet? | Art. 13 Abs. 2 lit. c, Art. 14 Abs. 2 lit. d | Wenn besondere Kategorien personenbezogener Daten verarbeitet werden, ist höchste Vorsicht geboten, dass die strengen Vorgaben des [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] DSGVO beachtet werden.| beides | x | |
| | | Nein. Es werden keine personenbezogenen Daten verarbeitet, aus denen "rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen". Es werden auch keine "genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person" verarbeitet.| | | | | |
| |9| Findet eine automatisierte Entscheidungsfindung oder Profiling statt?| Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g | Falls durch die Verarbeitung automatisiert Entscheidungen mit Rechtswirkungen getroffen werden oder ein [[:Profiling]] stattfindet, muss darüber detailliert informiert werden - und natürlich muss dann [[https://dejure.org/gesetze/DSGVO/22.html|Art. 22]] DSGVO beachtet werden. Andererseits sollte bei Verarbeitungen, wo beides völlig abwegig ist, hinterfragt werden, ob auf den Punkt komplett verzichtet, da es (nur) eine Angabe nach Art. 13 bzw. 14 Abs. 2 ist.| beides | x | |
| | | Nein. Es erfolgen weder automatisierte Entscheidungsfindung noch Profiling.| | | | | |
| |10| Welche Rechte habe ich im Allgemeinen?| Art. 13 Abs. 2 lit. b und d, Art. 14 Abs. 2 lit. c und e | Ein Sammelsurium von Belehrungen, die notwendig sind, obwohl jeder, der sich für Datenschutz interessiert, davon mittlerweile Kenntnis haben müsste. Zudem können die [[:Betroffenenrechte]] oft nicht bzw. nicht sinnvoll ausgeübt werden, weil entweder die Voraussetzungen nicht vorliegen oder die Rechte in Lehre laufen. Letzteres gilt vor allem für das [[Recht auf Datenübertragbarkeit]], [[https://dejure.org/gesetze/DSGVO/20.html| Art. 20]] DSGVO. \\ \\ Über das [[:Recht zur Beschwerde bei einer Aufsichtsbehörde]] auch die zuständige Aufsichtsbehörde anzugeben, ist eine Frage der Transparenz und Fairness (Art. 12 DSGVO). | beides | x | |
| | | Als betroffene Person haben Sie nach der DS-GVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten, soweit deren jeweilige gesetzliche Voraussetzungen vorliegen: Das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO), das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), das Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO). \\ \\ Wenden Sie sich zur Ausübung aller Ihrer zuvor genannten Rechte bitte an den datenschutz@tu-ilmenau.de oder postalisch an den Datenschutzbeauftragten (Anschrift s.o.). \\ \\ Sie haben zudem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten rechtswidrig ist. \\ Die für den Verantwortlichen zuständige Aufsichtsbehörde ist: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Häßlerstr. 8, 99096 Erfurt, https://www.tlfdi.de/tlfdi/kontakt/| | | | |
| |11| Kann die Angabe von Daten verweigert werden? Welche Folgen hat das? | Art. 13 Abs. 2 lit. c | | 13 | x | |
| | | Niemand ist verpflichtet an der Umfrage teilzunehmen, so dass die Angabe von Daten verweigert werden kann. Die einzige Folge ist, dass damit keine Teilnahme an der Umfrage möglich ist.| | | | | |
| |
| {{tag> Artikel Datenschutzerklärung}} |
| |
| |