AK DS-GVO Intern/Extern
Aus KoMapedia
Die DS-GVO ist am 24.05.2016 in Kraft getreten und seit dem 25.05.2018 anzuwenden. Alle Studierendenschaften und Studierendenvertretungen sind verpflichtet die in der Verordnung festgelegten Regelungen einzuhalten.
Eine aktuelle Übersicht der einzelnen Artikel könnt ihr hier finden.
Ergebnisse KoMa-82
!!! Achtung !!! Nachfolgende Informationen sind nicht rechtsverbindlich. Sie dienen lediglich als Orientierungshilfe
- Was ist bei der Kommunikation über Nicht-HS-Server zu beachten?
- Die Kommunikation über z.B. Facebook ist sehr kritisch zu sehen. Bei der Übermittlung von personenbezogenen Daten können die Studierendenvertretungen nicht sicherstellen, dass die Daten gemäß der DSGVO behandelt werden. Beratungen und andere Kommunikationen, welche personenbezogen Daten enthalten, sollten daher ausschließlich über die Server der Studierendenvertretungen oder Hochschule erfolgen.
- Wie ist mit Mailverteilern umzugehen?
- Übliches Vorgehen stellt eine Infomail über die Mitgliedschaft im Mailverteiler inc. eines Hinweises auf die Datenschutzrichtlinie dar. Das Eintragen in einen Mailverteiler ist mit einem Opt-in zu versehen.
- Löschung von Daten:
- Die Löschung von Daten steht zwischen der Pflicht der Archivierung und dem "Recht auf Vergessenwerden". Grundsätzlich gilt, dass personenbezogene Daten auf Antrag der betroffenen Person zu löschen sind, sofern keine Hemmnisse bestehen ( Art. 17 DSGVO ). Gemäß der GoBD Abschnitt 1.3<ref>[1] Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff</ref> sind Geschäftsunterlagen (e-Mails, Briefe etc.) mindestens für sechs Jahre zu archivieren. Enthalten diese Unterlagen finanzrelevante Informationen (Rechnungen, Belege, Jahresabschluss etc.) sind diese zehn Jahre zu archivieren.
- Wie ist mit Altklausuren umzugehen?
- Sofern Altklausuren keine personenbezogen Daten enthalten fallen sie nicht unter die DSGVO. Für sie ist jedoch das UrhG zuständig.
- Was ist bei Webseiten zu berücksichtigen?
- Webseiten müssen ein Impressum und eine der DSGVO genügende Datenschutzerklärung enthalten. Auf der Webseite muss die Kontaktmöglichkeit zum zuständigen Datenschutzbeauftragten vermerkt sein.
- Sie müssen SSL oder TLS verschlüsselt sein. Veröffentlichte Bilder und andere personenbezogene Daten müssen dem Art. 6 DSGVO genügen. Kann z.B. nicht sichergestellt werden, dass für die Veröffentlichung eines Bildes die Einwilligung der abgebildeten Person vorliegt oder eingeholt werden kann, so ist dieses Bild umgehend zu löschen.
- Dürfen Webseiten von Studierendenvertretungen bei Privatpersonen gehostet werden?
- Webseiten sollten nicht bei Privatpersonen gehostet werden. Andernfalls ist ein entsprechender Vertrag gemäß Art. 28 DSGVO zu schließen und sicherzustellen, dass der Vertragspartner in der Lage ist die Vorgaben der DSGVO zu erfüllen.
- Wer benötigt einen Datenschutzbeauftragten?
- Wer eine solche Person benötigt, regelt der Art. 37 Abs. 1 DSGVO. Demnach ist davon auszugehen, dass alle Studierenden-vertretungen eine solche Person ernennen müssen. Die Frage ob ein FSR / Referat etc. einen eigenen Datenschutzbeauftragten benötigt, ist abhängig davon ob dieser unter der Rechtsaufsicht seines StuRa / StuPa steht oder rechtlich eigenständig ist (Art. 37 Abs. 1 und 2). Bei unklaren Zusammenhängen sollte ein Rechtsanwalt oder der Landesdatenschutzbeauftragte kontaktiert werden.
- Reichen mündliche Einverständniserklärungen für z.B. Bildaufnahmen?
- Zur eigenen Sicherheit lautet die Antwort nein! Gemäß Art. 8 Abs. 1 DSGVO ist die Einwilligung zu jedem Zeitpunkt nachzuweisen. Bei einer Einwilligung sollte mindestens geklärt werden:
- Wer erteilt wem die Einwilligung?
- Welche Daten werden erhoben?
- Wie lange werden sie gespeichert und verarbeitet?
- Für welchen Verwendungszweck werden die Daten erhoben?
- Wie kann die Einwilligung widerrufen werden?
- Genaueres regelt Art. 13.
- Darf der Mail-Verkehr über Privatrechner laufen?
- Prinzipiell dürfen Privatrechner verwendet werden, es muss jedoch sichergestellt werden, dass keine schutzbedürftigen Daten auf einem solchen Privatrechner oder auf einem privaten Mailaccount gespeichert werden.
- Welche Regelung gibt es für Hochschulwahlen?
- Eine Hochschulwahl stellt eine rechtliche Verpflichtung einer Hochschule bzw. einer Studierendenschaft dar. Die Verarbeitung von personenbezogen Daten ist damit gemäß Art. 6 Abs. 1 c) ohne Zustimmung zulässig, sofern diese nur zum Zweck der Durchführung der Wahl genutzt werden.
- Dürfen Namen in Protokollen stehen?
- Diese Frage ist nicht eindeutig beantwortbar. Gemäß Art. 6 Abs. 1 c) und Abs. 1 e) DSGVO können Namen in Protokollen vermerkt werden. Hierfür kann bei Vereinsstrukturen der § 58 Abs. 4 BGB herangezogen werden oder das öffentliche Interesse an den Tätigkeiten der Studierendenvertretung als öffentliche (Teil)Körperschaft.
Referenzen
<references/>