Haftungsausschluss

Die hier angeführten Vorgehensweisen entspringen einer nicht rechtsverbindlichen Rechtsmeinung und wollen nur als wohlgemeinte Tipps angesehen werden, die zu Rechtssicherheit führen können. Diese Tipps sind nach bestem Wissen und Gewissen zusammengetragen worden und sollen auch dazu dienen dienen, möglicherweise kostspielige Rechtsfolgen für die ArbeitnehmerInnen zu verhindern, wie etwa Strafen durch die DSB oder den EU-GH und/oder etwaige zivilrechtliche Ansprüche. Wollen Sie auf der rechtssicheren Seite sein, dann verwenden Sie bitte ausschließlich Dienste, die die Universität anbietet, denn dann ist die Universität - oder im Sinne der DSGVO - der Rektor oder die Rektorin verantwortlich. Eventuell können Sie auch mithelfen, dass die Universität weitere sinnvolle Dienste anbietet.

Bitte informieren Sie sich auch im Intranet und beim Datenschutzbeauftragten.

Wir sind für Tipps, Hinweise und Berichtigungen dankbar (an die E-Mail-Adresse rechts).

Personenbezogene Daten im Privatbereich

Es soll hier nur ganz kurz angerissen werden, dass die DSGVO im Privatbereich nur eingeschränkt gilt, allerdings auch hier müssen gewisse "Regeln" eingehalten werden, inbesondere die Persönlichkeitsrechte Dritter (Recht am eigenen Bild, Urheber- und Verwertungsrechte etc.) gewahrt werden.

Wer etwa Sprachassistenten installiert hat, muss BesucherInnen darauf aufmerksam machen oder diese während eines Besuchs abschalten, da diese Assistenten meist biometrische Daten (zB Sprache) an einen zentralen Server zur weiteren Verarbeitung übermitteln.

Durch die Vermengung von Privatem und Beruflichem, etwa auf dem eigenen Smartphone (Kontakte), ist in solchen Bereichen die DSGVO voll anzuwenden, damit keine beruflich anvertrauten Daten allgemein bekannt werden bzw. unerlaubtes Profiling damit begangen wird.

Applikationen und personenbezogene Daten

Werden Programme, Dienste oder Apps benutzt, die personenbezogene Daten "außer Haus" verarbeiten, muss ein bestimmtes Procedere eingehalten werden, um diese rechtskonform benutzen zu dürfen. Personenbezogene Daten sind bereits Verbindungsdaten und das viele Apps und Dienste weitere Verarbeitungen automatisch verwenden, die außerhalb der EU gehostet werden, muss man diese ebenfalls rechtlich bewerten (lassen). Benutzen Sie eine solche Applikation, die nicht im Portfolio der Universität angegeben ist, sind Sie der oder die datenschutzrechtlich Verantwortliche. Laut EU-DSGVO kann nur eine natürliche Person datenschutzrechtlich Verantwortliche/r sein.

Diese "Unbequemlichkeiten" haben folgende Gründe

• Den Schutz personenbezogener Daten gegen Missbrauch. Missbräuchliche Verwendung liegt bereits vor, wenn die Daten zu einem anderen Zweck als vorgegeben verwendet, weiterverarbeitet oder gar an Dritte weitergegeben werden.
• Den Schutz von "heiklen" Daten, die urheberrechtlich, verwertungsrechtlich, persönlichkeitsrechtlich, patentrechtlich oder anders geschützt sind bzw schützenswert sind, etwa auch Betriebsgeheimnisse aber auch und insbesondere Daten von anvertrauten Studierenden.
• Die Benutzung rechtskonformer zentraler Dienste der Universität. Die Universität hält sich an die rechtlichen Vorgaben und führt die unten angeführten Prüfungen durch, sodass alle ArbeitnehmerInnen der Universität diese Dienste rechtskonform nutzen können und dürfen. Die Universität ist damit die datenschutzrechtlich Verantwortliche und hier der Rektor oder die Rektorin die Letztverantwortliche.

Als Universität bzw. ArbeitnehmerInnen einer Universität haben wir hier eine gesellschaftliche Verantwortung und natürlich die Pflicht als EU-BürgerInnen, uns an die Gesetze zu halten und nicht aus "Bequemlichkeit" diese zu "verdammen". Als Universität können und sollten wir einerseits gesetzeskonforme Lösungen erarbeiten, verwenden und zur Verfügung stellen, andererseits auch auf die Gesetzgebung sinnvollen Einfluss ausüben - und nicht zuletzt, Bildung unter die Leute bringen. Digitale Kompetenzen sind essentiell.

Ziel ist es, dass alle, insbesondere "Firmen", mit den Daten anderer verantwortungsbewusst umgehen und die Privatsphäre der einzelnen achten. Dies gilt insbesondere für ArbeitgeberInnen ihren ArbeitnehmerInnen gegenüber.

Vorüberlegungen

Im Folgenden verwenden wir das Wort Dienst für jegliche zur Verfügung gestellte Funktionalität.

1. Gibt es einen Dienst der Universität, der ähnliches leistet?
   - Dann ist dieser zu verwenden.
2. Wird oder kann der Dienst zur Kontrolle der ArbeitnehmerInnen dienen, zB ein Kalender, Abwesenheitsverwaltung oÄ, so ist dazu eine Betriebsvereinbarung (BV) nach Arbeitsverfassungsrecht zwingend vorgeschrieben. Diese kann nur zwischem dem Rektorat und den Betriebsräten abgeschlossen werden. Unterlassen Sie daher die Verwendung dieses Dienstes.
3. Fallen neben dem Zweck des Dienstes weitere personenbezogene Daten an oder werden solche verarbeitet? Dies kann zB der Fall sein, wenn der anbietende Dienst externe Analysefunktionen oder aber auch extere Fonts von Drittanbietern einbindet, was heute (leider) fast zum Standard zählt, mit dem oft zusätzlich verdient wird, Schlagwort "Datenbroker".
   Können diese abgeblockt werden, ohne Funktionalität zu verlieren?
4. Überprüfung der Datenschutzrichtlinien und der Datenschutzerklärung des Dienste-Anbieters. Ist keine oder eine dem österreichischen Datenschutzgesetz widersprechende vorhanden, darf der Dienst nicht verwendet werden.
5. Erfolgen Datenübermittlungen ins EU-Ausland, dann muss sichergestellt werden, dass das Schutzniveau der DSGVO nicht ausgehebelt wird. Dazu dienen insbesondere die EU-Standardvertragsklauseln zum Datenschutz.
6. Geht der Dienst konform mit der Datenschutzrichtlinie der Universität Wien, die alle ArbeitnehmerInnen der Universität zu befolgen haben?
7. Werden alle Punkte bezüglich der Rahmenbetriebsvereinbarung Daten eingehalten, die ebenfalls befolgt werden muss?
8. Holen Sie sich eine Einschätzung des/der Datenschutzbeauftragten der Universität und handeln Sie nach dieser.
9. Machen sie eine Risikofolgeabschätzung.

Vorbereitung zur Verwendung

Haben Sie sich entschlossen, einen eigenen Dienst zu verwenden, der personenbezogene Daten außerhalb der Universität verarbeitet, so sind folgende Vorarbeiten durch Sie als Verantwortliche/r zu treffen:

1. Anfrage an den Datenschutzbeirat, da personenbezogene Daten verarbeitet werden.
2. Erfolgen Datenübermittlungen ins EU-Ausland, so muss das Drittland zumindest ein gleichwertiges Schutzniveau wie die DSGVO bieten.
   
   1. Wenn ja, ist ein Auftragsverarbeitervertrag abzuschließen - weiter bei Punkt 3.
   2. Wenn nein, ist für eine genehmigungsfreie Übermittlung der Daten die Vereinbarung der Standardvertragsklauseln der EU-Kommission zum Datenschutz zwingend vorgeschrieben. Anmerkung: Darunter fällt auch eine Zusicherung des bzw. der  Anbietenden, dass ein der D
3. Abschluss eines Auftragsverarbeitervertrages (AVV) nach Artikel 28 der DSGVO mit dem Diensteanbieter/der Diensteanbieterin (vgl WKÖ-AVV)
4. Einholung einer Datenschutzfolgeabschätzung nach Artikel 35 der DSGVO (vgl WKÖ-Ablauf DSFA)
5. Einholung einer Abschätzung des Datenschutzbeauftragten.
6. Eintrag in das Verarbeitungsverzeichnis der Universität. Hier muss Folgendes angegeben werden:
   • Zweck der Verarbeitung
   • Rechtsgrund der Verarbeitung
   • Verantwortlicher
   • Löschfristen
   • Maßnahmen zur Datensicherheit
   • Dokumentation des Dienstes

Historische Anmerkungen

Bei der Übertragung von Daten in die USA gab es folgende Abkommen, die allerdings alle durhc den EUGH gekippt wurden: Das Safe-Harbour-Abkommen und den EU-US Privacy Shield. Beide werden durch den USA PATRIOT Act und Foreign Intelligence Surveillance Act (FISA) ausgehebelt.
Anmerkung: Diese beiden US-Gesetze hebeln nach Meinung vieler DatenschützerInnen auch die EU-Datenschutz-Standardvertragsklauseln aus, da nach deren Meinung kein US-Unternehmen ein der DSGVO entsprechendes Datenschutzniveau zusagen kann, da US-Geheimdienste immer Zugriff auf alle Daten von US-Firmen verarbeiteten haben.

Verwendung des Dienstes

Sind die obigen Arbeiten abgschlossen, so kann der Dienst verwendet werden nachdem jene, die diesen benutzen sollen, über ihre Rechte nachweislich und in einfachen Worten aufgeklärt wurden und der Verwendung ihrer Daten nachweislich zustimmten. Hierbei darf kein "Zwang" auf diese Personen ausgeübt werden. Die Nachweislichkeit bedarf wohl der Schriftform.

Folgende Punkte müssen angegeben werden:

1. Verantwortliche/r
2. Zweck der Verarbeitung
3. Gespeicherte personenbezogene Daten, ev. Weitergabe von Daten
4. Löschfristen
5. Aufklärung über die Rechte der Betroffenen, die da sind:
   • Auskunftsrecht
   • Recht auf Berichtigung
   • Recht auf Löschung
   • Recht auf Einschränkung der Verarbeitung
   • Recht auf Datenübertragbarkeit
   • Widerspruchsrecht
   • Recht auf Beschwerde bei der Datenschutzbehörde

Vergleiche auch

• https://www.dsb.gv.at/rechte-der-betroffenen
• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Betroffenenrechte.html

EUGH-Urteile

• Urteil zum Privacy-Shield vom 16. Juli 2020
• Urteil zum Safe-Harbour-Abkommen vom 6. Oktober 2015