Vermeidung von Rechtsverletzungen

Folgen von Rechtsverletzungen

Beschreibung:

Rechtsverletzungen im Bereich Datenschutz können sich bei Anzeige durch einen geschädigten Betroffenen nach Nachweis einer unzulässigen oder unrichtigen automatisierten Datenverarbeitung durch die datenverarbeitende Stelle auf eine Schadenersatzleistung von bis zu 250.000,- € pro Person und schädigendes Ereignis belaufen (§ 20 Abs. 1 Satz 4 HmbDSG).

Viel schwieriger abzuschätzen ist der Imageschaden den eine Organisation nach einer öffentlich bekannt gewordenen Schadenersatzleistung im Zusammenhang mit unzulässiger oder unrichtiger Datenverarbeitung oder durch einen „Datenschutz-Skandal“ davon trägt. Der Vertrauensverlust  bei Kunden oder Mitglieder einer betroffenen Organisation dürfte dazu führen, dass bestehende Beziehungen beendet werden und neue Beziehungen schwieriger aufzubauen sind. Dies ist auch ein Thema für Hochschulen, die sich in einem immer mehr umkämpften Markt befinden.
Daher sollte der Fokus in Sachen Datenschutz auf Vermeidung von Rechtsverletzungen liegen.

Beispiele:

Typische Beispiele von Rechtsverletzungen im datenschutzrechtlichen Bereich sind:

  • Übermittlung personenbezogener Daten an Dritte ohne Rechtsgrundlage (und Zustimmung der Betroffenen; z.B. Easy Cash)
  • Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (und Einwilligung der Betroffenen; Videoüberwachung)
  • Verarbeitung personenbezogener Daten außerhalb ihrer Zweckbestimmung (z.B. Telekommunikations-Provider: Speicherung von Verbindungsdaten auf Vorrat).

Vermeidung von Rechtsverletzungen

Die erfolgversprechendste Methode um Rechtsverletzungen im Bereich Datenschutz zu vermeiden ist die Verbreitung von datenschutztechnischem und datenschutzrechtlichem Wissen sowie transparente Darstellung der an Hamburger Hochschulen betriebenen Verfahren. Folgende Maßnahmen wurden ergriffen um dieses Ziel zu erreichen:

  • Bestellung einer behördlichen Datenschutzbeauftragten
  • Screening aller an Hamburger Hochschulen betriebenen zentralen Verfahren
  • Erstellung von Verfahrensbeschreibungen und Vorabkontrollen (Risikoanalysen) von einem Großteil der an Hamburger Hochschulen betriebenen Verfahren und deren Abstimmung mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
  • Zeitplan über Erstellung von Verfahrensbeschreibungen und Vorabkontrollen (Risikoanalysen) von noch nicht beschriebenen Verfahren und deren Abstimmung mit der behördlichen Datenschutzbeauftragten
  • Kurzübersicht über alle beschriebenen Verfahren mit Auflistung der wesentlichsten datenschutzrechtlichen Anforderungen
  • Erstellung eines Datenschutz-Wiki
  • Veröffentlichung der Verfahrensbeschreibungen und einer Datenschutzerklärung auf den Webseiten der Hamburger Hochschulen

Handlungsgrundsatz: Grundsätzliche frühzeitige Beteiligung der behördlichen Datenschutzbeauftragten.

Prozessverantwortliche: Beschäftigte Hamburger Hochschulen, die unsicher sind, ob das von ihnen betriebene oder zukünftig zu betreibende Verfahren datenschutzkonform ist.