FAQ

Suchen und finden Sie wichtige Informationen rund um den Datenschutz.

Praktische Fragen aus dem Institutsalltag

Ist unter den Begriffen „Verarbeitungsverzeichnis“ ↔ „Verfahrensverzeichnis“ das Gleiche zu verstehen?

Ja, wird oft als Synonym verwendet. Die DSGVO spricht von einem Verzeichnis der Verarbeitungstätigkeiten.

Was bedeutet Verantwortlicher?

Verantwortlicher im Sinne von Art 4 der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Sinne der DSGVO ist die Universität Innsbruck Verantwortliche. Es handelt sich dabei also nicht um den intern "Verantwortlichen"/Zuständigen, sondern denjenigen, der die Umsetzung des Themas Datenschutz nach Außen hin zu verantworten hat und dafür haftet.

Gibt es so viele Verarbeitungen, für die es Einwilligungen braucht? Verarbeiten wir nicht v.a. Daten, die wir unbedingt für die "Vertragserfüllung" benötigen?

Es gibt immer wieder Verarbeitungen, die einer Einwilligung benötigen. Es ist richtig, dass wir uns bei vielen Verarbeitungen auf einen Vertrag stützen können. Z.B. in der Personalverwaltung, alle Verarbeitungen die für die „Abwicklung des Arbeitsverhältnisses“ notwendig sind, können wir beispielsweise auf den Arbeitsvertrag mit den MitarbeiterInnen stützen. Eine Einwilligung brauchen wir, wenn wir keine andere Rechtsgrundlage (Vertrag, Gesetz, etc.) haben oder eine Verarbeitung nicht mehr vom Vertragszweck gedeckt ist.

Wer gewährleistet die Datensicherheit an der Universität?

Gem. Art 24 DSGVO hat die Universität für die Verarbeitung von personenbezogenen Daten geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, die sicherstellen, dass es zu keiner Verletzung der DSGVO kommen kann. Werden also personenbezogene Daten von MitarbeiterInnen der Universität Innsbruck (also im Namen der Universität) verarbeitet, ist die Sicherheit der Daten damit gewährleistet, dass dafür ausschließlich Anwendungen (IT-Systeme) verwendet werden, die durch die Universität geprüft wurden. Werden personenbezogene Daten auf andere Weise verarbeitet (z.B. Projektdaten, institutsinterne Systeme, Systeme aus dem Internet) ist die Person für die Gewährleistung der Datensicherheit verantwortlich, welche die Daten verarbeitet hat.

Was ist die korrekte Vorgangsweise bei der Entsorgung von Altgeräten (Arbeitsplatz PCs, Notebooks, ...), Festplatten etc.?

Siehe hierzu den Service des ZID unter https://www.uibk.ac.at/zid/servicekatalog/servicebeschreibungen/loeschung-datentraeger.html

Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung personenbezogener Daten?

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Bei anonymisierten Daten wird der Personenbezug entfernt, weshalb die DSGVO nicht mehr zur Anwendung kommt.

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. In der Praxis werden zB Namen der Betroffenen durch Codes/Identifikationsnummern (Sozialversicherungsnummer, Matrikelnummer etc.) ersetzt.

Bei pseudonymisierten Daten handelt es sich weiterhin um personenbezogene Daten, die in den Anwendungsbereich der DSGVO fallen.

Was muss ich in Bezug auf E-Mails beachten? Brauche ich einen Datenschutzhinweis in meiner Signatur?

Sie benötigen keinen Datenschutzhinweis in der Signatur – Ihr Gegenüber ist unabhängig davon zum Schutz personenbezogener Daten verpflichtet.

Beim Versand von E-Mails sollten Sie aber folgende Punkte berücksichtigen:

Cc und Bcc:

Bei Einladungen und Informationen, die an einen breiten Adressatenkreis gehen, sollten alle EmpfängerInnen in bcc gesetzt werden. Es gibt keine Notwendigkeit dafür, dass die EmpfängerInnen wissen, wer noch eingeladen ist/informiert wird und wie dessen/deren Mailadresse lautet.
Bitte Mails mit personenbezogenen Informationen (zB Note, Einstufung, Informationen zu Arbeitszeit etc.) nur an diejenigen Personen schicken, die aufgrund ihrer Funktion oder persönlicher Betroffenheit unbedingt eingebunden sein müssen, und in diesem Fall kein bcc verwenden (das gilt zB auch für Kommissionen).

Anhänge mit personenbezogenen Daten

Wichtig ist auch, dass Anhänge mit personenbezogenen Daten (zB Notenlisten, Gehaltslisten etc.) durch ein Passwort geschützt werden.

Darf ich die Daten von Personen, die mir eine Visitenkarte gegeben haben, abspeichern?

Ja, weil das Übergeben einer Visitenkarte als schlüssige Zustimmung zur Verarbeitung der Kontaktdaten gilt.

Darf ich eine mir übergebene Visitenkarte an Dritte weitergeben?

Nicht ohne Zustimmung der Person, der die Visitenkarte gehört.

Ist ein gemeinsamer Kalender aus Sicht des Datenschutzes zulässig?

Ja, solange für die Beteiligten nur sichtbar ist, ob die KollegInnen anwesend oder abwesend sind. Die Gründe für Abwesenheiten (Urlaub, Krankenstand, Kur etc.) dürfen nicht ersichtlich sein.

Das freiwillige Freischalten einer anderen Person für den eigenen Kalender ist selbstverständlich zulässig.

Darf man noch Protokolle schreiben, abspeichern und aussenden?

Ja, allerdings sollte das Protokoll im Sinne der Transparenz an den TeilnehmerInnenkreis übermittelt werden. Wenn das Protokoll oder Auszüge davon auch an Dritte gehen, sollte das im Protokoll vermerkt werden.

Was ist zu tun, wenn ein Laptop, ein Handy, ein USB-stick oder auch ein Papierakt mit personenbezogenen Daten verlorengehen?

Bitte schreiben Sie schnell an databreach@uibk.ac.at oder wenden Sie sich an den Datenschutzbeauftragten: (0)7242 2155 65065 oder das ZID 0512 507-23010. Die Universität ist verpflichtet, einen Verlust personenbezogener Daten binnen 72 Stunden an die Datenschutzbehörde und – unter bestimmten Umständen – an die Betroffenen zu melden. Mehr Infos finden sie hier.

Wer ist für das Löschen von personenbezogenen Daten auf Ebene des Instituts/der Abteilung verantwortlich? Die Institutsleitung oder die Person, die die Daten abgespeichert/abgelegt hat oder die/der Vorgesetzte? Muss das Vernichten/Löschen der Daten kontrolliert werden?

Jede Mitarbeiterin/jeder Mitarbeiter unterliegt dem Datengeheimnis und muss für den Schutz personenbezogenen Daten am Arbeitsplatz Sorge tragen.

Die Aufgabe der LeiterInnen von Organisationseinheiten besteht darin, die MitarbeiterInnen für dieses Thema zu sensibilisieren und ihnen die Teilnahme an entsprechenden Schulungen zu ermöglichen. Sie müssen das Vernichten und Löschen von Daten – wie alle anderen Aufgaben auch –nur dann nachkontrollieren, wenn sie Zweifel an der Umsetzung haben.

Wir arbeiten zu Forschungszwecken mit einer Datenbank, in der Name und Mailadresse nicht zur Gänze gelöscht werden können, ohne den gesamten Datensatz zu „verlieren“. Was, wenn der/die Betroffene eine Löschung verlangt?

In diesen Fällen bitte Name und Mailadresse durch XXXX ersetzen. Das müsste in jeder Datenbank möglich sein.

Gibt es Vorlagen bzw. Richtlinien für Einwilligungen an der Uni Ibk?

Ja, es gibt eine allgemeine Vorlage des Datenschutzbeauftragten.

Dürfen Daten in webbasierten Cloud-Diensten (zB. Drop-box), die nicht von der Universität Innsbruck betrieben werden, gespeichert werden?

Es wird derzeit an einer Policy über die Verwendung von cloud-Diensten an der Universität gearbeitet. Die Nutzung von Online-Diensten, die nicht von der Universität Innsbruck betrieben werden, zu Zwecken der Lehre und Forschung ist aus rechtlichen Gründen und dem Gesichtspunkt der Datensicherheit problematisch Ebenso darf kein Zwang für Studierende bestehen, soziale Netzwerke wie Facebook, whats-app etc. zu nutzen. Wenn personenbezogene Daten in Fremdsystemen verarbeitet werden, muss dies vorab insbesondere lizenz-, urheber- und datenschutzrechtlich geklärt werden.

Ist die Angabe von „Geburtstag“ und „weiblich“ personenbezogen, da es weltweit gesehen doch eine große Anzahl ist?

Sobald sie in Zusammenhang mit einer natürlichen, identifizierbaren Person erhoben werden, handelt es sich um personenbezogene Daten.

Darf die Universität anderen Einrichtungen des Landes/ Bundes Auskunft über MitarbeiterInnen geben - sog. Amtshilfe leisten? (z.B. dem Finanzamt):

Ja, wenn im Schreiben der betreffenden Behörde die Begründung für die Erteilung der Information angeführt und die Universität somit gesetzlich verpflichtet is,t die erforderlichen Informationen zur Verfügung zu stellen. Bei Unklarheiten bitte unter datenschutzkoordination@uibk.ac.at melden!

Agenturen stellen an die Universität Anfragen bzgl. Studiendaten, weil sie diese für Unternehmen brauchen, die Nachforschungen zu BewerberInnen anstellen. Darf die Universität hier Auskunft erteilen?

Hegt der zukünftige Arbeitgeber berechtigte Zweifel am Wahrheitsgehalt von Urkunden (z.B.: Studien- oder Arbeitszeugnis) und kann er dies nachvollziehbar argumentieren, so hat er ein berechtigtes Interesse zu erfahren, ob die Urkunden echt sind. Die Universität kann in einem solchen Fall Auskunft über die Echtheit geben.

Informationen über den Bewerber/die Bewerberin dürfen nur dann erteilt werden, wenn der zukünftige Arbeitgeber nachweisen kann, dass der Bewerber/ die Bewerberin zugestimmt hat, Erkundigungen an der Universität Innsbruck einzuholen.

Aber Achtung: Sie dürfen aus arbeitsrechtlicher Sicht nichts sagen, was für das Fortkommen des Bewerbers/ der Bewerberin schädlich sein könnte.

Darf we-transfer zur Übertragung personenbezogener Daten an Dritte genutzt werden?

Eine Nutzung von we-transfer ist im Arbeitsumfeld NICHT vorgesehen. Es gibt für die Nutzung von Cloud Systemen zur Zeit keine Regelung an der Universität. Für die Nutzung von Web-Plattformen we we-transfer für berufliche Daten (Forschung, Lehre und Verwaltung) gibt es damit derzeit keine Grundlage, die eine Verwendung solcher Dienste erlauben würde.
Datenschutzrelevante Daten dürfen somit nicht auf die Plattform hochgeladen werden.

Die Universität Innsbruck (ZID) stellt Fileshare, eine Sync&Share Anwendung basierend auf der Software Seafile, zur Verfügung. Fileshare bietet eine einfache und flexible Möglichkeit, Daten innerhalb der Universität, sowie auch mit externen Personen, zu teilen und damit kollaborativ zu arbeiten.

Praktische Fragen zum Datenschutz bei Ausschreibungsverfahren

Darf ich Bewerbungen ausdrucken und/oder andernorts speichern?

Bewerbungen müssen 6 Monate nach Abschluss eines Ausschreibungsverfahrens gelöscht werden. Im VIS-Besetzungsverfahren ist diese Frist hinterlegt und die Löschung erfolgt automatisch. Die Unterlagen der eingestellten Person werden in deren Personalakt übernommen.

Wenn Sie Bewerbungsunterlagen ausdrucken oder andernorts speichern, denken Sie bitte an die 6-Monats-Frist und vernichten/löschen die Daten spätestens nach Ablauf dieser Frist!

Wer darf in die BewerberInnendaten Einsicht nehmen?

Bitte halten Sie den Kreis an MitarbeiterInnen, die Einsicht in das VIS-Besetzungsverfahren haben, möglichst klein. Anlässlich des Inkrafttretens der DSGVO werden wir das Berechtigungssystem im VIS überarbeiten. Mehr dazu im kommenden Jahr.

Dürfen BewerberInnendaten per Mail verschickt oder auf einem Sharepoint abgelegt werden?

Hier gilt im Wesentlichen dasselbe wie bei der ersten Frage. Wichtig ist, dass Sie personenbezogene Daten nur verschlüsselt verschicken und dafür Sorge tragen, dass die Daten nach Ablauf der 6-Monats-Frist wieder gelöscht werden. Insofern sollte von einem Versenden von BewerberInnendaten per Mail eher Abstand genommen werden.

Ist es aus Sicht des Datenschutzes ok, ein Hearing zu veranstalten?

Durch ein – in der Regel zumindest institutsöffentliches – Hearing erfahren Dritte von der Bewerbung einer Kandidatin/eines Kandidaten. Ein Hearing ist daher nur dort zulässig,

wo BewerberInnen aufgrund der Stellenkategorie damit rechnen müssen (Berufungsverfahren, QV-Verfahren) oder
wenn das Hearing bereits in der Ausschreibung angekündigt wurde.

Muss ich mich um das Löschen der BewerberInnendaten kümmern?

Bewerbungen müssen sechs Monate nach Abschluss eines Ausschreibungsverfahrens gelöscht werden. Im VIS-Besetzungsverfahren ist diese Frist hinterlegt und die Löschung erfolgt automatisch. Die Unterlagen der eingestellten Person werden in deren Personalakt übernommen.

Wenn Sie Bewerbungsunterlagen ausdrucken, andernorts speichern oder per Mail verschicken, denken Sie bitte an die Sechs-Monats-Frist und vernichten/löschen die Daten spätestens nach Ablauf dieser Frist! Dasselbe gilt für Bewerbungsunterlagen, die nicht im vis:online abgebildet sind (zB Blindbewerbungen direkt an das Institut/die Abteilung, Bewerbungen auf Drittmittelstellen etc.).

Praktische Fragen zum Datenschutz in Forschung und Lehre

Wie geht man damit um, dass Einverständniserklärungen nur z.T. noch vorhanden sind – muss dieses Material (ohne Einverständniserklärung) vernichtet werden?

Das lässt sich nicht allgemein sagen. Es muss im Einzelfall geklärt werden, ob eine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten in Frage kommt.

Müssen die früheren Mitarbeiter, unter deren Regie das Material erhoben wurde, dazu ihre Einwilligung geben?

Auch das lässt sich nicht allgemein sagen. Es ist in jedem Fall wichtig, für eine jederzeitige Verfügbarkeit der Einwilligung zu sorgen. Wer dafür die Verantwortung übernimmt, ist im Einzelfall zu klären.

Wie lange ist die Aufbewahrungsfrist für Einverständniserklärungen der TeilnehmerInnen zu Forschungszwecken (z.B. Einverständniserklärung bezüglich der Verarbeitung von Daten bei Interviews etc.)

Einwilligungen können solange aufbewahrt werden, wie dies notwendig ist. In der Regel bewahrt man sie 3 Jahre bis nach Zweckerfüllung (= Ende der Datenverarbeitung) auf (wegen der 3-jährigen Beschwerdemöglichkeit bei der Datenschutzbehörde). Sollte sie für den Nachweis der Einhaltung der guten wissenschaftlichen Praxis notwendig sein, so wird man sie 10 Jahre aufbewahren dürfen.

Dürfen E-Mail-Adressen aus einem alten Projekt für Einladungen zu neuen Studien verwendet werden?

Wenn es sich bei Ihrer Umfrage um eine wissenschaftliche Umfrage handelt bzw. um die Anfrage an einer wissenschaftlichen Studie teilzunehmen, können die vorhandenen E-Mail-Adressen aus datenschutzrechtlicher Sicht dazu verwendet werden.

Die Zusendung einer E-Mail an Betroffene mit der Bitte an einer wissenschaftlichen Studie bzw. Forschungsprojekt teilzunehmen ist grundsätzlich nicht als Direktwerbung zu qualifizieren und daher auch ohne Einwilligung zulässig. Hier kann man sich auf das berechtigte Interesse nach Art 6 Abs 1 lit f bzw. lit e DSGVO iVm § 7 Abs 1 Z2 DSG stützen. Die betroffenen Personen müssen dann nach Art 14 DSGVO bei der ersten Kommunikation informiert werden.

Wer ist direkter Ansprechpartner für uns bzw. Forschende bei konkreten Fragen?

Die MitarbeiterInnen der Datenschutzkoordination sind zentrale Ansprechpersonen für die operative Umsetzung datenschutzrechtlicher Themen innerhalb der Universität. Schreiben Sie uns ein email: datenschutzkoordination@uibk.ac.at.

Für die meisten Forschenden sind die vagen Rechtsauskünfte unbefriedigend. Können klare rechtlich begründete Empfehlungen ausgesprochen werden?

IdR werden vom Datenschutzbeauftragten bzw. von der Datenschutzkoordination klare Empfehlungen ausgesprochen. Lässt jedoch die DSGVO mehrere Varianten zur datenschutzkonformen Umsetzung des Verarbeitungsvorganges zu, so obliegt die endgültige Entscheidung über die Art der Umsetzung der Person, welche die personenbezogenen Daten verarbeitet.

Was tun bei Hinweisen darauf, dass es zu nicht konformen Verhalten in Bezug auf Datenschutz aber auch zu ethischem Handeln in der Forschung kommt?

Aus datenschutzrechtlicher Sicht stellt jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt eine Datenschutzvorfall (data breach) dar. Bereits bei Vorliegen des Verdachts auf einen Datenschutzvorfall, melden Sie das bitte umgehend an databreach@uibk.ac.at oder wenden Sie sich an den Datenschutzbeauftragten: (0)7242 2155-65065 oder das ZID 0512 507-23010.

Bei ethnischen Fragen im Rahmen der Forschung wenden Sie sich bitten an den Ethikbeirat der Universität.

Bei online Umfragen: Welche Rolle spielt der Provider im Kontext Datenschutz? Viele Umfragen werden über deutsche oder englische Anbieter von Umfragetools durchgeführt. Ist das im Sinne des Datenschutzes und des österreichischen Rechts erlaubt? Wenn ja, generell oder mit Einschränkungen?

Das lässt sich nicht allgemein sagen, eine datenschutzrechtliche Prüfung im Einzelfall ist erforderlich. Werden Systeme, die der ZID anbietet verwendet, ist die datenschutzrechtliche Prüfung in der Regel bereits erfolgt.

Wir möchten studentische Arbeiten (3D Renderings, Fotocollagen, Schaubilder von Entwürfen, die innerhalb unserer Lehrveranstaltungen entstehen) auf unserer Website publizieren. Was müssen wir beachten?

Diese Frage betrifft v.a. das Urheberrecht und ist mit dem Zentralen Rechtsdienst zu klären. Sollen personenbezogene Daten der Studierenden veröffentlicht werden, bedarf es idR deren Einwilligung.

Dürfen wir externen Lehrenden die Teilnehmerlisten, Studierendendaten etc. per Mail zukommen lassen?

Grundsätlich sollte für die Kommunikation zwischen/mit den Lehrenden und den Studierenden OLAT genutzt werden. Nur in Ausnahmefällen (zB keine Berechtigung für OLAT) dürfen personenbezogene Daten der Studierenden übermittelt werden. Für die sichere Datenübermittlung empfehlen wir https://fileshare.uibk.ac.at/. Bitte beachten Sie die personenbezogenen Daten zu löschen, sobald die dienstliche Notwendigkeit zur Speicherung wieder wegfällt.

Muss eine Einwilligung schriftlich sein?

Wird aus Beweisgründen jedenfalls empfohlen! Einwilligungen müssen aber nicht eigenhändig unterschrieben werden. Die Zustimmung kann auch bei Online-Einwilligungserklärungen mittels Häkchen erfolgen. Näheres zu Einwilligungen unter: https://www.uibk.ac.at/intranet/datenschutz/unterlagen/vorlagen/voraussetzungen-fuer-die-guelitigkeit-einer-einwilligung.pdf

Wer hat welchen Zugriff auf Studierendendaten?

Für die Erfassung von Lehrveranstaltungsprüfungen ist die/der Vortragende automatisch freigegeben, zusätzlich können MitarbeiterInnen aus dem Sekretariat freigeschaltet werden. Dasselbe gilt für die Lehrdatenverwaltung inkl. TeilnehmerInnenverwaltung.
Auf die Studierendenabfrage haben Studienbeauftragte, StudiendekanInnen und Sekretariate Zugang, damit sie die Voraussetzungen für die Anmeldung zu Prüfungen überprüfen und/oder die Anerkennung von Prüfungen abwickeln können.
In der zentralen Verwaltung gibt es im Wesentlichen zwei Berechtigungen mit Einsicht in Studierendendaten: Die sog. Prüfungsevidenz (nur für Prüfungsreferate) und die Studierendenverwaltung (nur für Studienabteilung).

Dürfen Lehrende die Telefonnummern der Studierenden erheben (z.B. zur Einrichtung einer Whatsapp-Gruppe)?

Nein. Bitte nutzen Sie für die Kommunikation mit den Studierenden OLAT und tauschen Sie nur in absoluten Ausnahmefällen (zB im Rahmen einer Exkursion) Telefonnummern mit den Studierenden aus. In diesen Fällen müssen die Telefonnummern gelöscht werden, sobald die dienstliche Notwendigkeit wieder wegfällt.

WhatsApp sollte nicht verwendet werden!
Für eine schnelle, einfache und sichere Kommunikation zwischen MitarbeiterInnen, Studierenden, Projektgruppen uvm., stellt die Universität Innsbruck (ZID) das OpenSource Chatsystem Matrix/Element zur Verfügung.

Dürfen Telefonnummern von Studierenden aus dem vis:online an die Lehrenden weitergeben werden?

Nein. (siehe oben).

Wer ist die Ansprechperson für Urheberrecht an der Universität Innsbruck?

Der Zentrale Rechtsdienst an der Universität Innsbruck kümmert sich um Ihre Fragen zum Urheberrecht.

Grundlegende Informationen finden alle Universitätsangehörigen im Kurs "Rechtsinformation" des Zentralen Rechtsdienstes in der Lernplattform OLAT.

Ist es zulässig, für eine LV/einen Kurs eine Teilnehmerliste mit Foto der Studierenden (Auszug VIS) zu erstellen (die Studierenden wissen nichts davon)?

Das ist vom Zweck abhängig. Ohne ein klares Interesse der Universität, die den Schutz der Studierenden überwiegt, wird das in den allermeisten Fällen unzulässig sein.

Die Studierenden-Mails sind nicht mehr auf der Homepage einsehbar, hängt dies mit der DSGVO zusammen?

Ja, die Universität verfügt über keine Rechtsgrundlage, die Mailadressen und Namen der Studierenden im Internet zu veröffentlichen.

Darf ich den Namen eines/r Studierenden am Institut veröffentlichen? z.B., wenn er Preisträger eines Wettbewerbs ist?

Es wird im berechtigten Interesse der Universität liegen, die Namen von Preisträgern (Studierende, Mitarbeiter), die im Rahmen einer Veranstaltung prämiert werden auf der Website zu veröffentlichen.

Die Personen müssen aber bereits bei Erstellung des Fotos genau und möglichst transparent darüber Informiert werden (siehe: Informationspflicht nach DSGVO). Sollten die Preisträger keine Aufnahme/Veröffentlichung wollen, sollte das respektiert werden.

Was genau ist der Unterschied von Daten und Datenverarbeitung?

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;

„Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Dürfen Studierendendaten dauerhaft institutsintern gespeichert werden?

Für Zwecke der Lehre und der Verwaltung ist eine dauerhafte Speicherung von Daten nur in den zentralen universitären Systemen zulässig. Für Datenhaltung zur darüber hinaus gehenden Betreuung Studierender und von Alumni empfiehlt sich aus rechtlichen Gründen und aus Gründen der Verwaltungsvereinfachung, die Dienste der Transferstelle Wissenschaft - Wirtschaft – Gesellschaft bzw. des Alumni Service zu nutzen.

Gibt es datenschutzrechtliche Möglichkeiten für Lehrveranstaltungsleiter sich vor dem Heraustragen von Informationen (im Rahmen von LV präsentierte Inhalte wie persönliche Einstellungen, Haltungen des Vortragenden zu politischen Themen etc.) durch Studierende aus ihrer LV zu schützen?

Die DSGVO greift hier nicht, da es sich bei der Weitergabe von mündlichen Informationen nicht um strukturierte personenbezogene Daten handelt. Hingegen könnte ein Geheimhaltungsanspruch nach § 1 DSG vorliegen. Jedoch besteht hier kein schutzwürdiges Geheimhaltungsinteresse iSd § 1 DSG, da der Vortragende die Informationen über sich selber preisgibt. Datenschutzrechtlich sind solche Informationen also nicht geschützt.

Hinweis: Je nachdem um welche Informationen es sich handelt, sind eventuell die urheberrechtlichen Bestimmungen relevant; Um dies abzuklären und herauszufinden, ob es auf zivilrechtlichem Weg (Geheimhaltungsvereinbarung) Wege gibt, sich zu schützen – kontaktieren Sie bitte den zentralen Rechtsdienst.

Was bedeutet eine Veröffentlichung personenbezogener Daten eigentlich datenschutzrechtlich – dass Datenschutz NICHT mehr gilt?

Wenn personenbezogene Daten veröffentlicht werden, dann bedeutet das nicht, dass das Datenschutzrecht nicht mehr gilt. Wer veröffentlichte pb Daten weiterverarbeitet, der muss ebenfalls eine Rechtsgrundlage für diese Verarbeitung haben. Sollten Studierende bestimmte Informationen z.B. im Internet veröffentlichen, so wäre dieser Sachverhalt aus datenschutzrechtlicher Sicht eignes auf Zulässigkeit zu prüfen, hingegen wird das bloße Weitersagen der Informationen grundsätzlich nicht datenschutzrechtlich relevant sein.

Praktische Fragen zum Datenschutz in der Personalverwaltung

Dürfen die Kontaktdaten und Lebensläufe der MitarbeiterInnen im Internet veröffentlicht werden?

Ja, sofern sie dem zustimmen. In diesem Fall besteht ein jederzeitiges Widerrufsrecht.

Bei Professuren besteht ein berechtigtes „wirtschaftliches“ Interesse der Universität, den Lebenslauf zu veröffentlichen, weshalb in diesen Fällen eine Zustimmung für allgemeine berufliche Angaben (Abschlüsse, Karriere, Themengebiete, Publikationen etc.) nicht erforderlich ist.

Dürfen z. B. im Kalender konkrete Abwesenheitsgründe von Mitarbeiter*innen oder Kolleg*innen wie Arzt oder Krankheit eingetragen werden?

In für andere Personen zugänglichen oder anders einsehbaren Kalendern sollte nur eingetragen werden, ob die Kolleg*innen anwesend oder abwesend sind. Die Gründe für die Abwesenheit (Urlaub, Krankenstand, Reha, Kur etc.) dürfen nicht für andere Personen ersichtlich sein oder an diese anderweitig weitergegeben werden, da es sich dabei rechtlich um Gesundheitsdaten handelt.

Dürfen Anträge aus dem VIS (Urlaub, Krankenstand, Dienstreise/Freistellung etc.) ausgedruckt und abgelegt werden?

Alle im VIS:online unter dem Reiter „Personal“ geführten Anwendungen enthalten personenbezogene Daten. Für all diese Anwendungen sind im vis automatische Löschfristen hinterlegt. Bitte vermeiden Sie es, Informationen aus dem VIS auszudrucken und/oder abzulegen, weil sie dann für deren Löschung selbst verantwortlich sind.

Wie ist mit ärztlichen Bestätigungen umzugehen, die die Mitarbeiterin/der Mitarbeiter statt an die Personalabteilung an das Institut/die Abteilung schickt?

Bitte leiten Sie die Bestätigung entweder im Original oder per Mail an die Personalabteilung weiter. Im Falle einer elektronischen Weiterleitung das Original bitte an die Mitarbeiterin/den Mitarbeiter zurückgeben oder mit deren/dessen Einverständnis vernichten.

Wie ist künftig mit „Geburtstagslisten“ umzugehen?

Sie dürfen den Geburtstag nicht ohne Wissen der/des Betroffenen in die Liste übernehmen (zB aus den Bewerbungsunterlagen). Es ist aber selbstverständlich möglich und die meisten MitarbeiterInnen freuen sich darüber, wenn Sie ihr Einverständnis einholen und sie in die Geburtstagsliste des Instituts/der Abteilung aufnehmen.

Siehe Vorlage Einwilligung

Wie lange und in welcher Form sind Sicherheitsunterweisungen aufzubewahren?

Sicherheitsunterweisungen müssen so lange aufbewahrt werden, so lange die Arbeitnehmerin/der Arbeitnehmer an dem betreffenden Arbeitsplatz tätig ist und noch weitere drei Jahre nach Verlassen des Arbeitsplatzes.

Was muss ich beachten, wenn MitarbeiterInnen ausscheiden?

Bitte vernichten Sie auf Ebene des Instituts/der Abteilung alle Unterlagen, die personenbezogene Daten der Mitarbeiterin/des Mitarbeiters enthalten (einzige Ausnahme: Sicherheitsunterweisungen – diese müssen noch drei Jahre aufbewahrt werden). In den zentralen Systemen (insbesondere VIS:online) werden die Daten automatisch ausgeblendet und nach den gesetzlichen Fristen gelöscht.

Alle zentral durch die Gebäude und Infrastruktur verwalteten Zugangsmedien werden automatisch gesperrt. Sollten Sie am Institut/in der Abteilung eigene Zugangsmedien verwalten, müssen Sie diese anlässlich des Ausscheidens der Mitarbeiterin/des Mitarbeiters bitte unbedingt zurückfordern.

Die Mitarbeiterin/der Mitarbeiter behält ihre/seine BenutzerInnenkennung und damit auch ihre/seine personenbezogene Mailadresse noch für sieben Monate, danach wird diese aus arbeits-, datenschutz- und lizenzrechtlichen Gründen gesperrt und nach einem Jahr endgültig gelöscht. Die Mitarbeiterin/der Mitarbeiter wird hierüber rechtzeitig per Mail informiert.

Wie lange soll man Unterlagen von ausgeschiedenen MitarbeiterInnen aufbewahren?

Bitte bewahren Sie nur Unterlagen auf, die nicht ohnehin in den zentralen Systemen (VIS:online, SAP) gespeichert sind und für deren Aufbewahrung es einen wichtigen Grund gibt. Bewerbungsunterlagen, Urlaubsanträge, Unterlagen zu Dienstreisen oder Krankenständen etc. können im VIS im Rahmen der zulässigen Fristen jederzeit wieder eingesehen werden und müssen daher am Institut nicht abgelegt werden.

Wenn MitarbeiterInnen ausscheiden, sollten allfällige am Institut vorhandene personenbezogenen Daten spätestens nach sechs Monaten vernichtet/gelöscht werden.

Da MitarbeiterInnen 30 Jahre lang einen Anspruch auf Ausstellung eines Dienstzeugnisses geltend machen können, dann aber in der Regel niemand mehr etwas Konkretes zur Tätigkeit der/des Betroffenen sagen kann, ist es am besten, wenn Sie binnen sechs Monaten ein Dienstzeugnis ausstellen und dieses zur Ablage im Personalakt auch an die Personalabteilung übermitteln.

Das gilt übrigens für alle MitarbeiterInnen unabhängig von der Dauer und vom Umfang der Anstellung (also auch für GastprofessorInnen, best-practice-Anstellungen, geringfügige Anstellungen, stud. MitarbeiterInnen etc.).

Praktische Fragen zu Datenschutz bei Prüfungen

Sind mündliche Prüfungen in Hinblick auf die DSGVO überhaupt noch zulässig?

Ja. Laut Satzung der Universität sind mündliche Prüfungen öffentlich. Es ist zulässig, den Zutritt erforderlichenfalls auf eine den räumlichen Verhältnissen entsprechende Anzahl von Personen zu beschränken.

Die Beratung und Abstimmung über das Ergebnis einer Prüfung vor einem Prüfungssenat erfolgt in nichtöffentlicher Sitzung.

Das Ergebnis einer mündlichen Prüfung ist der oder dem Studierenden unter Ausschluss der Öffentlichkeit unmittelbar nach der Prüfung bekannt zu geben. Wurde die Prüfung negativ beurteilt, sind der oder dem Studierenden die Gründe dafür zu erläutern.

Wie erfolgt die Bekanntgabe von Prüfungsergebnissen?

Bitte nutzen Sie zur Bekanntgabe von schriftlichen Prüfungsergebnissen möglichst das VIS. Zur Bekanntgabe der Ergebnisse mündlicher Prüfungen siehe die Frage zuvor.

Dürfen Prüfungsergebnisse veröffentlicht / ausgehängt werden?

Nein. Auch nicht, wenn „nur“ die Matrikelnummer angeführt wird und auch nicht im OLAT.

Darf ich Notenlisten aushängen, wenn es nur positive Noten gibt?

Nein, datenschutzrechtlich macht es keinen Unterschied, ob es sich um eine positive oder negative Information handelt, die zu einer Person veröffentlicht wird.

Darf man Notenlisten mit Matrikelnummer aushängen?

Nein. Die Matrikelnummer ist keine ausreichende Pseudonymisierung und ein Rückschluss auf den Studierenden ist einfach möglich.

Darf ich ein Prüfungsergebnis telefonisch mitteilen?

Sie dürfen ein Prüfungsergebnis dann telefonisch mitteilen, wenn Sie keinerlei Zweifel an der Identität der/des Anruferin/Anrufers haben. Wenn Sie aber ganz sicher sein möchten, bleiben Sie lieber beim Eintrag im VIS.

Darf ich ein Prüfungsergebnis per Mail mitteilen?

Sie dürfen ein Prüfungsergebnis per Mail mitteilen, wenn Sie die Uni-Studierendenadresse nutzen. Bitte keine personenbezogenen Daten an externe Mailadressen schicken.

Dürfen wir im Rahmen von Prüfungen noch mit Listen (Excel, Word) arbeiten?

Ja, sofern sie – wenn sie nicht mehr benötigt werden – auch wieder gelöscht und/oder vernichtet werden. Sollten Sie Listen mittels Mail verschicken, verschlüsseln Sie sie bitte mit einem Passwort.

Darf das Sekretariat in Vertretung für Professorinnen und Professoren Noten eintragen?

Grundsätzlich Ja. Das gehört zum Arbeitsprozess und ist eine unterstützende Tätigkeit. Die Daten sind vertraulich zu behandeln. Sekretärinnen und Sekretäre haben eine Vertrauensklausel mit ihrem Arbeitsvertrag unterschrieben. Empfohlen wird, die Noten selbst ins VIS einzutragen!

Wann können Prüfungsunterlagen gelöscht werden?

Eine allgemeine Regelung für die Universität ist in Bearbeitung. Prüfungsprotokolle müssen jedenfalls mind. 6 Monate aufbewahrt werden.

Ist ein vorgegebener Sitzplan mit Namen an der Türe zur Prüfung erlaubt?

Gibt es andere, zumutbare Lösungen, sollte darauf verzichtet werden. z.B. könnte der Platz bereits im Vorfeld dem Studierenden persönlich mitgeteilt werden, oder die Namen der Studierenden werden codiert /pseudonomisiert (jeder Studierende erhält zB eine eindeutige Prüfungsnummer). Die Verhältnismäßigkeit steht hier im Vordergrund. Eine Lösung muss hier von Fall zu Fall gefunden werden.

Sind Aufnahmen bei Prüfungen erlaubt, um im Nachhinein beweisen zu können, ob die Leistung gut oder schlecht war?

Nur mit Einwilligung der Studierenden.

Ist die Mindestzeit und Höchstzeit für die Aufbewahrung von Daten gleich?

Nein nicht unbedingt. Gesetze schreiben idR vor, wie lange bestimmte Daten und Unterlagen mindestens aufzubewahren sind. Die Universität hat nach Abwägung der Interessen Fristen festzulegen, wie lange Daten höchstens gespeichert werden dürfen, bevor sie zu löschen sind.

Einzelfälle, wo es nach Jahren noch eine Anfrage zur Note gibt oder Studierende, die ihr Studium unterbrochen haben- dieses später fertigmachen möchte – wie soll hier bzgl. Löschung der Unterlagen vorgegangen werden

Die Universität Innsbruck wird Löschfristen festlegen, worin solche Einzelfälle Berücksichtigung finden werden.

Gibt es Richtlinien seitens der Universität Innsbruck für Lehrende zur Löschung?

Entsprechende Vorgaben für die Löschung personenbezogener Daten an der Universität Innsbruck sind in Bearbeitung.

Praktische Fragen zu Veranstaltungen

Dürfen in Einladungen/Broschüren die Namen der zu ehrenden Personen angeführt werden?

Eine Veröffentlichung der Namen auf der Website genauso wie die Aufzählung in einer elektronischen bzw. gedruckten Einladung/Broschüre ist ohne Einvernehmen mit den betroffenen Personen nicht möglich. Einzige Ausnahme liegt bei öffentlichen Personen bzw. Personen die einen öffentlichen Bekanntheitsgrad haben wie z.B. Ärzte, Politiker, Professoren, Autoren usw.

D.h. entweder die Namen (mit Ausnahme der genannten Gruppen) entfernen oder eine Zustimmung der betroffenen Personen einholen. Die Zustimmung müsste jedenfalls die Information nach Art. 13 DSGVO enthalten.

Wie lange dürfen die Daten für eine Veranstaltung gespeichert bleiben?

Anonymisierte Daten (über die kein Personenbezug mehr herstellbar ist) dürfen unbefristet gespeichert werden.

Alle anderen personenbezogenen Daten müssen gelöscht werden, sobald sie nicht mehr für den vorgesehenen Zweck benötigt werden bzw. eine Aufbewahrung (z.B. gesetzliche Fristen) aus rechtlichen Gründen nicht mehr geboten ist.

Wir haben vor, im Rahmen einer Veranstaltung Fotos zu machen. Wie hole ich die Einwilligung der TeilnehmerInnen zur Veröffentlichung der Bilder ein?

Wenn es sich um eine Veranstaltung der Universität Innsbruck handelt, benötigen Sie idR – wenn es um Fotos zur allgemeinen Dokumentation der Veranstaltung geht, keine Einwilligung. Wenn aber eine konkrete Person im Vordergrund steht, kann das anders sein. Im Datenschutzleitfaden für Veranstaltungen finden Sie hilfreiche Informationen zum Thema Datenschutz bei der Durchführung von Veranstaltungen.

Bitte informieren Sie zu Beginn der Veranstaltung jedenfalls über die Tatsache, dass fotografiert wird und geben sie die Möglichkeit, wenn man nicht abgebildet werden möchte, sich entsprechend mit den Fotografen in Verbindung zu setzen. Es sollte auch für die Dauer der gesamten Veranstaltung einen Aushang geben, der in diesem Sinne informiert.

Auf unserer Intranetseite Datenschutz finden Sie Vorlagen für die Organisation von Veranstaltungen.

Sind TeilnehmerInnen- und Anwesenheitslisten zulässig?

Wie immer im Umgang mit personenbezogenen Daten ist die Frage, wozu die Liste dient. Wenn es keine andere Möglichkeit gibt, die Anwesenheit nachzuweisen, sind Anwesenheitslisten nach wie vor erlaubt. Jedenfalls zulässig sind

TeilnehmerInnenlisten für Vortragende zur Vorbereitung auf ihr Publikum
Anwesenheitslisten, sofern die Erfassung der Anwesenheit erforderlich ist (zB für eine Teilnahmebestätigung oder zur Übermittlung von Unterlagen).

Die Listen sollten jedoch nur jene Informationen enthalten, die für die Erfüllung des jeweiligen Zwecks unbedingt erforderlich sind (entweder Matrikelnummer oder Name, nicht beides, Mailadresse nur dann, wenn nicht ohnehin vorhanden, etc). Bitte Listen, die nicht mehr benötigt werden, löschen. Bitte achten Sie, dass eine missbräuchliche Verwendung der Liste möglichst ausgeschlossen wird, am besten Liste selbst abfragen bzw. während des Herumgehens im Auge zu behalten. So kann Missbräuchen vorgebeugt werden.

Im Datenschutzleitfaden für Veranstaltungen finden Sie hilfreiche Informationen zu diesem Thema.

Dürfen wir die Alumni unserer Fakultät zu Veranstaltungen einladen?

Sie dürfen AbsolventInnen Ihrer Fakultät nur dann zu Veranstaltungen einladen bzw. sie anschreiben, wenn diese einer weiteren Verarbeitung ihrer personenbezogenen Daten ausdrücklich zugestimmt haben. Ein Zugriff auf „alte“ Daten ist nicht zulässig.

Was ist bei der Erhebung von Daten externer Personen zu beachten zB KundInnen, VeranstaltungsteilnehmerInnen?

Die Informationspflicht muss eingehalten werden. Dazu kann man sie auf die Datenschutzinformation der Universität verweisen: https://www.uibk.ac.at/de/datenschutz/.

Auf diese Texte können auch auf Einladungen, Geschäftspapiere, E-Mail Signatur etc. verlinkt werden. Dabei muss jedoch der individuelle Anlass berücksichtigt werden. In manchen Fällen wird der allgemeine Text nicht passen. Im Zweifel bei der Datenschutzkoordinatorin nachfragen.

Auf unserer Intranetseite Datenschutz finden Sie Vorlagen für die Organisation von Veranstaltungen.

Darf man vor Veranstaltungen TeilnehmerInnen-Listen ausschicken?

Um das zu machen, muss man vorab eine Einverständniserklärung der TeilnehmerInnen einholen. Nur in seltenen Fällen ist das legitim. Bitte individuell abklären.

Im Datenschutzleitfaden für Veranstaltungen finden Sie hilfreiche Informationen zu diesem Thema.

Darf ich einen Newsletter an Kontakte versenden, die öffentlich sind (Herold, Internetseite)?

Nein!

Dass TeilnehmerInnen im Internet im Impressum seiner Website oder in einem öffentlichen Telefon-Teilnehmerverzeichnis (hier: Herold) Kontaktdaten und den Unternehmensgegenstand veröffentlichen, ist nicht zwingend so zu verstehen, dass damit die vorherige Zustimmung zum Erhalt von Anrufen zu Werbezwecken erteilt worden wäre. Der Hinweis auf die gewerbliche Tätigkeit allein rechtfertigt keineswegs die Annahme, dass damit schlechthin die Zustimmung zum Erhalt von Anrufen zu Werbezwecken gegeben wird. Dass die Angerufenen im konkreten Fall eine Unternehmenswebsite samt Impressum unterhalten und Kontaktdaten auch im Telefonverzeichnis des Herold veröffentlichen, dient wohl primär den eigenen Werbeinteressen und nicht denen einer Wirtschaftsauskunftei, ihre Telefonakquise ohne große Mühen durchzuführen.

Wir haben vor, im Rahmen einer Veranstaltung Fotos zu machen. Wie hole ich die Einwilligung der TeilnehmerInnen zur Veröffentlichung der Bilder ein?

Wenn es sich um eine Veranstaltung der Universität Innsbruck handelt benötigen Sie keine Einwilligung. Bitte informieren Sie zu Beginn der Veranstaltung über die Tatsache, dass fotografiert wird und geben sie die Möglichkeit, wenn man nicht abgebildet werden möchte, sich entsprechend mit den Fotografen in Verbindung zu setzen. Es sollte auch für die Dauer der gesamten Veranstaltung einen Aushang geben, der in diesem Sinne informiert. Im Datenschutzleitfaden für Veranstaltungen finden Sie hilfreiche Informationen zu diesem Thema.

Auf unserer Intranetseite Datenschutz finden Sie Vorlagen für die Organisation von Veranstaltungen.

Webseitensuche

Personensuche

FAQ