Allgemeine Informationen
Information | |
---|---|
Informationen | |
Betriebssystem | Alle |
Service | TYPO3 und Verschiedenes |
Interessant für | Angestellte |
HilfeWiki des ZIM der Uni Paderborn |
Hinweise zur Nutzung der Muster-Datenschutzerklärung für Formulare[Bearbeiten | Quelltext bearbeiten]
Diese Hinweise beziehen sich auf Formulare, mit denen Daten im TYPO3-System der Universität erhoben werden (bspw. Anmeldung zu Tagungen, Eintragung in Mailing-Listen, Bestellung von Broschüren, ...).
Die mit TYPO3 generierten Webseiten enthalten im Footer eine allgemeine Datenschutzerklärung, die sich auf die Datenverarbeitung bei der lesenden Nutzung der Webseiten bezieht (Generieren von Log-Daten, Webseitenanalyse, Setzen von Cookies, Suche). Darin ist ein Hinweis auf mögliche Formulare enthalten.
Da mit den Formularen aber zusätzliche Daten erhoben werden, müssen von den Formularanbietern für alle Formulare einzeln die Informationspflichten erfüllt werden, die sich aus Artikel 12, 13 der EU-Datenschutz-Grundverordnung (DSGVO) ergeben.
Die Betroffenen müssen über die allgemeine Datenschutzerklärung hinaus umfassend über die folgenden Punkte informiert werden:
- Kontaktdaten des Formularanbieters
- verarbeitete Daten / Kategorien verarbeiteter Daten, Zweck der Verarbeitung, Rechtsgrundlage
- Empfänger
- Dauer der Verarbeitung
- Betroffenenrechte
- Hinweis auf die zusätzlich geltende allgemeine Datenschutzerklärung
Die Rechtsgrundlage für die Verarbeitung der mit den TYPO3-Formularen erhobenen Daten wird in der Regel eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sein. Hierzu werden die Standard-Formulare automatisch mit einer entsprechenden Einwilligungserklärung versehen, die über dem Button "Formular absenden" angezeigt wird. Zusätzlich muss die für das Formular erstellte Einwilligungserklärung verlinkt werden.
Beispielformulierungen für eine Formular-Datenschutzerklärung[Bearbeiten | Quelltext bearbeiten]
Die [Hinweise (im Formular nicht anzugeben): ...] in eckigen Klammen sind nur Ausfüllhilfen und nicht in die erstellte Erkärung einzufügen.
Die <Textbeispiele> in spitzen Klammern sind Beispiele und an die mit dem konkreten Formular verbundene Datenverarbeitung anzupassen.
Datenschutzerklärung für das Formular <XYZ>[Bearbeiten | Quelltext bearbeiten]
Gemäß Artikel 13 der EU-Datenschutzgrundverordnung (DSGVO) werden Sie hiermit über die mit der Eingabe Ihrer personenbezogenen Daten in das Formular verbundene Verarbeitung informiert. Über die folgende Beschreibung hinaus gilt die allgemeine Datenschutzerklärung für das Webangebot der Universität Paderborn.
Name und Kontaktdaten des Formularanbieters in der Universität:[Bearbeiten | Quelltext bearbeiten]
<Name der Person, die das Formular anbietet>
<Bereich in der Uni: Fakultät, Lehrstuhl, Einrichtung, …>
E-Mail: <…>
Tel.: 05251 / 60 - <…>
Universität Paderborn
Warburger Str. 100
33098 Paderborn
Verantwortlich für das Webangebot ist die Universität Paderborn (siehe allgemeine Datenschutzerklärung für das Webangebot).
Verarbeitete Daten / Kategorien verarbeiteter Daten[Bearbeiten | Quelltext bearbeiten]
Folgende Daten werden mit dem Formular erhoben und zu den angegebenen Zwecken und Rechtsgrundlagen verarbeitet:
- <Vorname, Name *>
- <Adresse>
- …
Erforderliche Datenfelder sind mit einem * markiert.
Zusätzlich werden folgende Daten automatisiert erfasst:
- <die Bestätigung Ihrer Einwilligungserklärung>
- <Datum und Uhrzeit des Absendens des Formulars>
- <ggf. IP-Adresse der Nutzerin / des Nutzers> (bei allen Formularen deaktiviert/es erfolgt eine Speicherung der IP in den Logs des Webservers für 7 Tage – siehe allgemeine Datenschutzerklärung für das zentrale Webangebot)
- …
Zweck der Datenverarbeitung[Bearbeiten | Quelltext bearbeiten]
[Hinweis (im Formular nicht anzugeben): Hier muss detailliert beschrieben werden, welche Zwecke der Formularanbieter mit der Verarbeitung der personenbezogenen Daten verfolgt.]
Das Formular dient der <… Beschreibung des Zwecks, den das Formular verfolgt, bspw. Anmeldung zur Teilnahme an der Studienfahrt am ...>.
Rechtsgrundlage[Bearbeiten | Quelltext bearbeiten]
[Hinweis (im Formular nicht anzugeben): Hier muss die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten genannt werden. Einschlägige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten normiert v. a. Art. 6 DS-GVO, wobei häufig über Art. 6 Abs. 2 und Abs. 3 DS-GVO weitere konkretisierende Vorschriften für die konkrete Datenverarbeitung hinzutreten (bspw. das HG NRW und/oder Ordnungen der Hochschule (wie PO, EvaO etc.).
Für sensible Daten ist Art. 9 DS-GVO ggf. mit weiteren Konkretisierungen; für die Verarbeitung von Beschäftigtendaten Art. 88 DS-GVO i. V. m. Art. 18 Abs. 1 DSG NRW und/oder weitere konkretisierende Vorschriften einschlägig. Für die konkrete Verarbeitung personenbezogener Daten ist in den Vorschriften der konkrete Absatz und Buchstabe zu wählen (Hinweis: Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO greift nur in Ausnahmefällen)
Es sind außerdem Angaben zu einer etwaigen Pseudonymisierung/Anonymisierung zu beschreiben.]
- <Die Erhebung der Formulardaten basiert auf einer Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a DSGVO.>
- <oder>
- <Die Erhebung der Daten erfolgt im Rahmen der Erfüllung einer Aufgabe, die der Universität übertragen wurde, und die Daten sind dazu erforderlich gemäß Art. 6 Abs. 1 lit. e DSGVO. Näheres regelt § [... hier Angabe des Paragrafen, der die entsprechende Aufgabe der Hochschule beschreibt] des Hochschulgesetzes des Landes Nordrhein-Westfalen (HG NRW) [Hinweis: ggf. in Verbindung mit weiteren Rechtsgrundlagen/Ordnungen der Hochschule]>.
- …
Empfänger Ihrer personenbezogenen Daten[Bearbeiten | Quelltext bearbeiten]
[Hinweis (im Formular nicht anzugeben): Es sind sämtliche Empfänger oder Kategorien von Empfänger im Rahmen der Datenverarbeitung zu beschreiben; gibt es keine, ist dies ebenfalls erkenntlich zu machen. Bei bereits bestehenden gesetzlichen Verpflichtungen oder vertraglichen Verhältnissen, sind diese zu beschreiben. Ist eine vertragliche Beziehung bloß potenziell möglich, ist zumindest klarzustellen, dass (ggf.) Drittdienstleister eingeschaltet werden oder eine gemeinsame Datenverarbeitung i. S. d. Art. 26 DS-GVO stattfinden kann (s. o.).]
<Die mit dem Formular erhobenen Daten werden an keine Dritten (d. h. keine externe Personen oder Stellen) weitergegeben.>
<Ihre personenbezogenen Daten, die im Rahmen von […]' von der Universität Paderborn verarbeitet werden, übermitteln wir, vorbehaltlich der nachstehend beschriebenen Datenverarbeitung, grundsätzlich nicht an Dritte. In Einzelfällen kann dies auf Grundlage einer gesetzlichen Erlaubnis erfolgen, zum Beispiel eine Übermittlung an Strafverfolgungsbehörden zur Aufklärung von Straftaten im Rahmen der Regelungen der Strafprozessordnung (StPO) oder zwecks Geltendmachung von Schadensersatzansprüchen bei Urheberrechtsverletzungen.] Sofern technische Dienstleister Zugang zu personenbezogenen Daten erhalten, geschieht dies auf Grundlage eines Vertrags gemäß Art. 28 DS-GVO. Für Datenverarbeitungen die mit anderen Verantwortlichen stattfinden, geschieht dies im Bedarfsfall auf Grundlage einer Vereinbarung gemäß Art. 26 DS-GVO. Innerhalb der Universität Paderborn erhalten nur diejenigen Stellen und Beschäftigten Ihre personenbezogenen Daten, wenn diese befugt sind und sie diese zur Erfüllung der/s o. g. Zwecke/s benötigen.>
[Hinweis (im Formular nicht anzugeben): Falls Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, gelten dazu besondere Bedingungen. Kontaktieren Sie in diesem Fall Ihre Datenschutzkoordinatorin bzw. Ihren Datenschutzkoordinator. ]
Dauer der Speicherung Ihrer personenbezogenen Daten[Bearbeiten | Quelltext bearbeiten]
[Hinweis (im Formular nicht anzugeben): Grundsätzlich muss eine Löschung der Daten erfolgen, sobald der Zweck ihrer Erhebung erfüllt wurde. Es ist näher anzugeben, wann dies für den konkreten Einsatzfall gegeben ist. Können keine genauen Angaben gemacht werden, so sind zumindest Kriterien zu nennen, die dem Nutzer eine Bestimmung des Löschungszeitpunktes erleichtern, bspw.:]
- <Die Daten werden für eine Dauer <x Tagen, Wochen, Monaten> gespeichert und dann gelöscht.>
- <oder>
- <Ihre Daten, die wir im Rahmen Ihrer Anmeldung zur Tagung erheben, werden 3 Wochen nach Durchführung der Tagung gelöscht. Abweichend davon speichern wir Ihren Namen und Ihre Adresse solange, bis der Tagungsband erstellt und an Sie verschickt wurde. Danach werden Ihre Daten vollständig gelöscht.>
- <Ihre personenbezogenen Daten, die wir im Rahmen von […] an der Universität Paderborn wie oben beschrieben, verarbeiten, werden grundsätzlich gelöscht, sobald sie nicht mehr für die Zwecke, für die sie erhoben wurden, benötigt werden, d. h. […]. Gegebenenfalls werden die Unterlagen vom Universitätsarchiv übernommen und dort in der Regel unbegrenzt aufbewahrt.>
[Hinweis (im Formular nicht anzugeben): Für eine Datenverarbeitung, die ausschließlich auf einer Einwilligung beruht:]
- <Wenn und soweit die Verarbeitung Ihrer personenbezogenen Daten auf Ihrer Einwilligung beruht, werden Ihre Daten nur solange gespeichert, bis Sie Ihre Einwilligung widerrufen, es sei denn, es besteht auch eine andere Rechtsgrundlage für die Verarbeitung (Art. 17 Abs. 1 lit. b) DS-GVO).>
Betroffenenrechte[Bearbeiten | Quelltext bearbeiten]
Sie können als betroffene Person jederzeit die Ihnen durch die DSGVO gewährten Rechte geltend machen. Diese Rechte werden in der allgemeinen Datenschutzerklärung für das Webangebot beschrieben.