Im Fokus: EU-DSGVO Berliner Datenschutzgesetz

Das Inkrafttreten der Europäischen Datenschutzgrundverordnung EU-DSGVO zum 25. Mai 2018 war für den CMS eine große Herausforderung. Dieser Artikel gibt einen Überblick über die Aktivitäten des CMS, um den Rechten und Pflichten gegenüber den Benutzerinnen und Benutzern der Dienste des CMS gerecht zu werden.

Mit der DSGVO wird die Transparenz der Datenverarbeitung im Datenschutz deutlich stärker betont als bisher, was sich in der Praxis insbesondere an den weitreichenderen Informations- und Nachweispflichten zeigt.
Zur Vorbereitung hat die CMS-Leitung eine Liste von Maßnahmen definiert:

  1. Selbstauskunft vorbereiten
  2. Verzeichnis der Verarbeitungstätigkeiten erstellen
  3. Datenschutzerklärungen aktualisieren
  4. auf Löschanfragen vorbereiten
  5. Datenschutzfolgenabschätzung für hohes Risiko

Für die Selbstauskunft gab es bereits eine webbasierte Anwendung (HU-Account Info https://hu.berlin/accountinfo), mit der sich die Benutzerinnen und Benutzer über die am CMS gespeicherten Daten informieren können. Darüber hinaus wurden Aktivitäten angestoßen, auch Dienste wie Agnes, Moodle und das Identitätsmanagement mit Selbstauskunftsseiten zu versehen bzw. in die bestehende Lösung zu integrieren.
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) beschreibt die Abläufe der Datenverarbeitungen in einem Verfahren und dient sowohl zur Dokumentation als auch zur Selbstüberprüfung. Es wurde in einem verteilten Prozess erstellt und wird seitdem regelmäßig revisionssicher aktualisiert und erweitert. Um die einzelnen Angaben zusammenzutragen und Konsistenz zu gewährleisten, wurden interne Workshops und externe Schulungen durchgeführt sowie Ausfüllhilfen erstellt. Hierbei lag ein besonderer Fokus auch auf allgemeinen Verfahren, die nicht durchgängig mittels IT abgewickelt werden.
In Zusammenarbeit mit dem stellvertretenden behördlichen Datenschutzbeauftragten der HU wurde eine zentrale Datenschutzerklärung für die Webseiten der HU erstellt. Darauf basierend wurden die vorhandenen Datenschutzhinweise der CMS-Dienste aktualisiert und fehlende neu erstellt.
Nach Artikel 17 DSGVO haben die Nutzer das Recht, die Löschung ihrer Daten zu verlangen, sofern diese nicht noch zwingend benötigt werden. Um diese Anforderung umzusetzen und eine Löschung auch bei HU-Accounts und anhängigen Daten auf Aufforderung der Nutzer umsetzen zu können, musste der Prozess zur Löschung modifiziert und teilweise neu organisiert werden. Eine große Herausforderung dabei waren die vielen Dienste, in denen zeitnah Daten zu löschen sind. Eine durchgängige volle Automatisierung wird noch einige Zeit in Anspruch nehmen, zumal sichergestellt sein muss, dass noch benötigte Daten nicht vom Löschprozess erfasst werden.
Die neu eingeführte Datenschutzfolgenabschätzung (DSFA) gem. Art 35 DSGVO ist in besonders sensiblen Verarbeitungszusammenhängen durchzuführen. Ergibt die sogenannte Schwellenwertanalyse die Notwendigkeit einer DSFA, erfolgt eine intensive Prüfung des Verfahrens in enger Abstimmung mit dem behördlichen Datenschutzbeauftragten der HU, um den besonderen Anforderungen gerecht zu werden.
Über die 5 Punkte hinaus ergeben sich weitere Pflichten für den CMS:

  • die Meldepflicht bei Datenpannen, für die ein entsprechender Prozess etabliert wurde,
  • die Einführung bzw. Anpassung von IT-Sicherheitsprozessen. Zur Unterstützung wurde von der Universitätsleitung die Einrichtung eines zentralen Informations­sicher­heits­be­auf­trag­ten und eines IT-Sicherheitsbeauftragten beschlossen.
  • Eine wichtige Grundlage für den Datenschutz ist die Erstellung und regelmäßige Anpassung von Datenschutzkonzepten und Risikoanalysen. Für die Umsetzung der neuen BSI IT-Grundschutz-Standards werden die Konzepte und Analysen schrittweise angepasst.

Für die Zukunft sind in diesem Zusammenhang weitere Schulungen sowie die Einführung eines integrierten Systems zum Datenschutz- und Informationssicherheitsmanagement geplant, um das Aufgabenspektrum im Umfeld der EU-DSGVO zu adressieren.
Neben den anspruchsvollen Aspekten der Dokumentation und Prozessklärung haben sich viele positive Auswirkungen ergeben. Zu nennen ist hier beispielsweise die intensivere Abstimmung mit den Verfahrensverantwortlichen, die sehr viel stärker in den Fokus gerückt ist. Auch ermöglichen und fördern die Dokumentationspflichten einen stärkeren und regelmäßigen Austausch über die hierfür notwendigen Prozesse. Gleichzeitig haben sich die rechtlichen Detailfragen, wie z. B. die Darstellung der Rechtsgrundlagen einer Verarbeitung, stark erhöht und erfordern Klärungen, die wir nicht alleine leisten können. So ist die Umsetzung der EU-DSGVO für uns kein einmaliger Vorgang, sondern vielmehr ein fortlaufender Prozess, der die Berücksichtigung datenschutzrechtlicher Anforderungen im Fokus hält.

Ansprechpartner:
Daniel Rohde | Malte Dreyer


15. April 2019 | Veröffentlicht von cmsredakteur
Veröffentlicht unter CMS-Jahresbroschüre 2018/19

Schreiben Sie einen Kommentar

(erforderlich)