Speicherung von personenbezogenen Daten
Sofern Sie in der von Ihnen betriebenen Datenbank personenbezogene Daten gem. Art 4 Nr. 1 DSGVO verarbeiten, sind Sie hierfür Verantwortliche/r im Sinne Art 4 Nr. 7 DSGVO.
Personenbezogen sind solche Daten, die einen Rückschluss auf eine bestimmte Person zulassen, also nicht nur Namen und Adressen, sondern z.B. auch Emailadressen, Telefonnummern, IP-Adressen, Kundennummern, usw.
Als Verantwortliche/r treffen Sie bestimmte Rechtspflichten. Dies sind im Wesentlichen:
-
Sicherstellung einer rechtmäßigen Datenverarbeitung
Dies bedeutet insbesondere, dass Sie die rechtliche Erlaubnis haben müssen, die Daten anderer Personen (sog. Betroffene) zu verarbeiten. Dies wäre z.B. der Fall, wenn die Betroffenen in die Datenverarbeitung eingewilligt haben.
Dazu müssen die Betroffenen über Zweck, Umfang und Dauer der Datenverarbeitung aufgeklärt worden sein und hierin aktiv eingewilligt haben. Der/die Verantwortliche muss die Einwilligung dokumentieren und ggf. nachweisen können. Infos zu Einwilligungen finden Sie hier.
Daneben kann sich die Erlaubnis auch aus Gesetzen oder Verträgen ergeben (vgl. Art 6 Abs. 1 b), c) DSGVO), dies dürfte in der Regel nur bei dienstlich veranlasster Datenverarbeitung infrage kommen.
-
Erstellung eines Verzeichnisses der Verfahrenstätigkeiten (VVT)
Der/die Verantwortliche hat nach Art 30 DSGVO ein Verzeichnis der Verfahrenstätigkeiten (VVT) zu erstellen. Das VVT soll beschreiben, worum es bei einer konkreten Datenverarbeitung geht, z.B. wer verantwortlich ist und wie im Verlauf des Verfahrens/Projekts mit den Daten umgegangen wird.
Siehe hierzu das Muster-Formular samt Ausfüllhilfe auf den Seiten der Datenschutzbeauftragten der HU, denen Sie nach Erstellung bitte auch eine Kopie übersenden.
-
Einhaltung der Informationspflichten
Der/die Verantwortliche muss nach Art 13 DSGVO und Art 14 DSGVO die Betroffenen über die Datenverarbeitung aufklären (insbesondere, wenn diese nicht aufgrund von Einwilligung geschieht). Die Aufklärung hat mit Beginn der Datenverarbeitung zu erfolgen.
Zu den inhaltlichen Anforderungen siehe z.B. dieses Informationsblatt auf den Seiten der Datenschutzbeauftragten der HU. Mit Hilfe eines bestehenden VVT ist diese Aufgabe zügig zu erledigen.
-
Sicherstellung der Ansprüche der Betroffenen
Der/die Verantwortliche muss sicherstellen, dass Auskunfts-, Löschungs- und Berichtigungsansprüche der Betroffenen (vgl. Art 15 ff DSGVO) gewährleistet werden können. Sofern ein VVT vorliegt, sind bereits umfangreiche Vorarbeiten für den Fall des Falles erledigt.
-
Risikoanalyse
Es ist im Rahmen einer Risikoanalyse festzustellen, dass ausreichende Sicherheitsmaßnahmen getroffen worden sind (§ 26 Abs. 1,2 BlnDSG)
Bei Rückfragen zu den Anforderungen des Datenschutzrechtes können Sie sich an die behördlichen Datenschutzbeauftragten der HU wenden:
- datenschutz@uv.hu-berlin.de
- www.hu-berlin.de/de/datenschutz