Ausgewählte Fragen und Antworten

Im Rahmen des Allgemeinen Informationstermins am 20.04.2018 wurde eine Vielzahl von Fragen gestellt und seitens des DSGVO-Umsetzung-Projektteams beantwortet.
Eine Auswahl der relevantesten bzw. immer wieder aufkommenden Fragen finden Sie auf dieser Seite samt  ausgearbeiteten Antworten. Damit haben auch diejenigen Datenschutz-Interessierten, die nicht anwesend sein konnten die Möglichkeit, sich entsprechend zu informieren.

Die von Herrn Vizerektor Mannsberger, Herrn Mag. Gruber und Herrn Ing. Steidl vorgetragene Präsentation finden Sie hier.

Lagerung: Der angemessene Umgang mit der Aufbewahrung von Akten/Prüfungsunterlagen (zB in Kästen et al); Wie muss hier vorgegangen werden, damit die datenschutzrechtlichen Anforderungen erfüllt werden?

In Artikel 5 Abs.1 lit f) der DSGVO findet sich der „Grundsatz der Integrität und Vertraulichkeit“, wonach personenbezogene Daten so verarbeitet werden müssen, dass „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet“ ist. Eine Verletzung dieser Sicherheit ist per Definition (Artikel 4 Z 12 DSGVO) gleichzusetzen mit einer Verletzung des Schutzes personenbezogener Daten und somit der DSGVO.

Es ist daher - wie schon bereits vor der Anwendbarkeit der DSGVO – darauf zu achten, personenbezogene Daten so zu lagern (sowohl analog als auch digital), dass sie unbefugten Personen nicht zugänglich sind. Hierzu kann man sich unterschiedlicher technischer und organisatorischer Maßnahmen bedienen, zB Versperren des Büros/der Kästen, passwortgeschützte Computer/Laptops, Wahl des Speicherortes und der darauf vergebenen Berechtigungen, kein „Liegenlassen“ an öffentlichen Orten, … .

Drittmittel: Was muss bei geförderten EU-Projekten im Hinblick auf Drittmittel (Kosten für MitarbeiterInnen, Umgang mit Protokollen et al) beachtet werden?

Im Rahmen von geförderten Projekten sind zum Nachweis der erbrachten Leistungen und angefallenen Kosten entsprechende Berichte zu legen, welche personenbezogene Daten beinhalten können zB Laborberichte mit Namen, Stundenlisten einzelner MitarbeiterInnen, etc.

Die Weitergabe dieser personenbezogenen Daten an Förderstellen oder Projektpartner (insbesondere Koordinatoren) zum Zwecke der Erfüllung des Fördervertrages und der Projektabrechnung sind aus datenschutzrechtlicher Sicht unbedenklich. Hierbei erfüllt die BOKU eine vertragliche Verpflichtung gegenüber den Förderstellen bzw. den Projektpartnern.

Eine Einwilligung der betroffenen MitarbeiterInnen ist aufgrund des Dienstverhältnisses zwischen BOKU und MitarbeiterInnen nicht erforderlich, da wissenschaftliche MitarbeiterInnen im Rahmen ihres Dienstverhältnisses insbesondere Forschungstätigkeiten zu erbringen haben, hierzu bei Forschungsprojekten mitwirken und diesbezüglich auch personenbezogene Daten (in zulässigem Umfang, begrenzt auf einen zulässigen Zweck) an bestimmte Empfänger übermittelt werden dürfen. Die MitarbeiterInnen sind jedoch über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
Zu diesem Zweck wird in Kürze ein allgemeines Muster-Informationsblatt im Downloadbereich zur Verfügung gestellt werden (eine entsprechende Benachrichtigung erfolgt über die DSGVOinfo sowie hier).

Die Übermittlung der seitens Förderstellen geforderten Nachweise ist somit jedenfalls zulässig, eine Übermittlung und Offenlegung von beispielsweise Bonitätsdaten, Gesundheitsdaten, Religionsbekenntnis etc wird in der Regel nicht zulässig sein (und auch seitens Förderstellen nicht geforderte werden).

Verteilerlisten: Was ist beim Versand mittels E-Mail-Listen, die insbesondere für die Kommunikation von BOKU-Informationen (u.a. Veranstaltungen) verwendet werden zu beachten?

Hierbei ist grundsätzlich zwischen BOKUinternen Listen und sonstigen/BOKUexternen Listen zu unterscheiden:

- BOKUinterne Listen sind stammdatenbasierte Listen, d.h. die Zugehörigkeit zu einer Liste ergibt sich automatisch aufgrund der Zugehörigkeit zu einer bestimmten Gruppe zB BOKU-MitarbeiterInnen, BOKU-StudentInnen, Zugehörigkeit zu einem Department/Institut, innehabende Funktion zB Departmentleitung, Sekretariat, EDV-Verantwortliche/r, Datenschutzverantwortliche/r, …
Diese BOKUinternen Listen werden zur Kommunikation der BOKU (im weitesten Sinn) mit den jeweiligen „Gruppen“ verwendet und sind notwendig um die für die Zusammenarbeit relevanten Informationen dem jeweiligen Personenkreise zur Kenntnis zu bringen. Die Kenntnis von diesen Informationen ist somit beispielsweise zur Erfüllung der Aufgaben eines EDV-Verantwortlichen erforderlich oder dienen der Weiterleitung von Informationen der Arbeitsmedizinerin an BOKU-MitarbeiterInnen.
Eine „Abmeldung“ ist daher grundsätzlich nicht vorgesehen, außer für Personen, die sich lediglich aus Interesse an einem gewissen Thema freiwillig zu einer solchen Liste angemeldet haben, sofern die Liste eine solche Möglichkeit bietet (zB ZIDinfo und DSGVOinfo). Zur Abmeldung siehe unten „Sonstige/BOKUexterne Listen“.

Die BOKUinternen Listen Sie sind daher hinsichtlich DSGVO (Einverständnis, Rechtsgrundlage, etc.) und hinsichtlich Telekommunikationsgesetz TKG unkritisch. Auch die Löschverpflichtung ist nicht besonders zu beachten, da die Listen über Personenstammdatenkriterien automatisiert generiert werden.

Kritisch ist hier jedoch die - üblicherweise zentrale - Moderation zur Abwehr einer Mailüberflutung. Deshalb erfolgt die Moderation anhand BOKUweit vereinbarter "Grundregeln für den Versand" mit BOKUinterner Gültigkeit (siehe ZID DOKU „Benutzung von Mailinglisten“.
Weitere Informationen zu Mailinglisten (Nutzung, Welche gibt es? Bei welchen bin ich Mitglied? wichtige Mailingbefehle etc) finden Sie hier.

- Sonstige/BOKUexterne Listen werden von einer/mehreren Person/en manuell erstellt und beinhalten sowohl BOKU-Accounts als auch Kontaktdaten von Externen. Der Zweck einer solchen Liste kann im Rahmen der gesetzlichen Vorgaben vom jeweiligen „Listeninhaber“ gewählt werden und leitet sich nicht unmittelbar aus der Beziehung der Listenmitglieder zur BOKU (zB Studium, Dienstverhältnis) ab.
Die Zugehörigkeit zu einer solchen Liste basiert auf einer Einwilligung, die jederzeit widerrufen werden kann. Dies ist insbesondere bei Externen – aber auch bei BOKU-Angehörigen - zu beachten.
Wir empfehlen daher bei jeder Aussendung innerhalb der Sonstigen/BOKUexternen Listen auf die Möglichkeit des Widerrufes (zB Einfügen eines Links zur direkten Abmeldung oder zu einer Seite, die den Abmeldeprozess erklärt) hinzuweisen und im Falle eines erfolgten Widerrufes die entsprechenden Kontaktdaten des/r Betroffenen - sofern keine sonstigen Aufbewahrungspflichten bestehen - zu löschen (aus dem Verteiler, aus allfälligen Kontaktbüchern in Mailclients oder Excel-Listen etc).
Eine grundsätzliche Löschverpflichtung kann sich darüber hinaus aus dem konkreten Zweck (wurde erfüllt, ist nicht mehr gegeben) ergeben und ist ebenso einzuhalten.

Bei diesen Listen sind somit die DSGVO und deren Vorgaben (insbesondere Rechtsgrundlage, Zweckbindung, Information der Betroffenen, Einhaltung der Löschfristen) sowie das Telekommunikationsgesetz TKG (Stichwort: Spam) jedenfalls zu berücksichtigen.

Zugriffsrechte Projektpartner: Wie soll mit personenbezogenen Daten von Projektpartnern umgegangen werden, die jedoch für die Arbeit benötigt werden?

Dem/r jeweiligen Projektpartner/in, von dem/r die BOKU personenbezogene Daten erhält, obliegt die Verantwortung dafür, dass er/sie diese Daten an die BOKU weitergeben darf.

Seitens BOKU ist jedoch darauf zu achten, dass die Daten gemäß den datenschutzrechtlichen Bestimmungen verarbeitet werden, insbesondere

  • nur für diejenigen Zwecke verwendet werden dürfen, für welche die BOKU die entsprechenden Daten erhalten hat;
  • die Sicherheit der Daten gewährleistet ist;
  • die Daten nach der jeweiligen Löschfrist auch tatsächlich gelöscht werden.
Hauspost: Wie verhält sich die DSGVO in Bezug auf den Umgang mit der Hauspost?

Grundsätzlich spricht nichts dagegen, personenbezogene Daten per Hauspost zu versenden (Verwendung der Hauspostkuverts sowie verschlossener Fächer/Räume, Einsatz von BOKU-MitarbeiterInnen bzw. beauftragten Personen, die grundsätzlich zum Datengeheimnis verpflichtet sind), da die Daten nicht für jedermann zugänglich in öffentlichen Bereichen „liegen“.

Bei Bedarf können Daten darüber hinaus auch in einem verschlossenen Briefkuvert in einem Hauspostkuvert versendet werden.

Empirie: Muss man ein Häckchen setzen (können), um den Versand von Fragebögen datenschutzrechtlich zu rechtfertigen?

In den meisten Fällen werden solche Fragebögen (die Verarbeitung der darin angegebenen personenbezogenen Daten) auf einer Einwilligung der/s jeweils Betroffenen beruhen. Eine solche Einwilligung kann im Regelfall konkludent erfolgen (d.h. die/der Betroffene willigt mit Ausfüllen und Retournieren des Fragebogens der Verarbeitung seiner darin enthaltenen personenbezogenen Daten ein).
Im Sinne der Nachweisbarkeit der erteilten Einwilligung empfehlen wir jedoch, ein Kästchen samt entsprechendem Text als Teil des Fragebogens vorzusehen, welches der/die Betroffene aktiv ankreuzen muss und damit seine/ihre Einwilligung erteilt.
Textbeispiel: Ich willige in die Verarbeitung meiner, im Rahmen dieses Fragebogens angegebenen personenbezogenen Daten gemäß beiliegendem Informationsblatt, insbesondere dem darin genannten Zweck ein.
Bitte verwenden Sie hierbei auch das unten genannten Muster-Informationsblatt für Fragebögen.

Sofern es sich bei den Daten um „besondere Kategorie personenbezogener Daten“ handelt, ist es jedenfalls erforderlich, dass die Einwilligung der/des Betroffenen ausdrücklich (= tunlichst handschriftliche Unterfertigung einer Einwilligungserklärung) erfolgt.
Zu diesem Zweck stellen wir BOKU-MitarbeiterInnen eine Muster-Einwilligung zur Verfügung.

In beiden Fällen ist die/der Betroffene über die Verarbeitung zu informieren (zB Zu welchem Zweck erfolgt die Verarbeitung? Werden die Daten an Dritte weitergegeben?).
Hierzu finden Sie ein Muster-Informationsblatt für Fragebögen im Downloadbereich.

Auslandsexkursionen: Gibt es ein spezielles Formular, das bei (Dienst-)Reisen bzw. Exkursionen ins Ausland befüllt werden muss?

Sofern die Daten nicht von der/dem Betroffenen selber, sondern von einer/m BOKU-MitarbeiterIn verarbeitet werden (zB im Falle einer Exkursion Erfassung aller für die organisatorische Abwicklung der Exkursion relevanten Daten, Hotelbuchung für einzelne/alle an einer Exkursion teilnehmenden StudentInnen und/oder MitarbeiterInnen) ist darauf zu achten, dass eine entsprechende Einwilligung (im Falle der Verarbeitung „besonderer Kategorien personenbezogener Daten“ ist eine ausdrückliche Einwilligung erforderlich) vorliegt.

In Kürze eine Muster-Einwilligung im Downloadbereich zur Verfügung gestellt werden (eine entsprechende Benachrichtigung erfolgt über die DSGVOinfo sowie hier).