Datenschutz

Datenschutz

Datenschutzmanagement der Med Uni Graz

Verantwortlich für die Verarbeitung ist

  • die juristische Person (z .B. Med Uni Graz), in deren Interesse die Verarbeitung betrieben wird und die hierüber verfügen kann (Verantwortliche),
  • die juristische Person (KAGES, externe Firmen, etc.), die im Auftrag des Verantwortlichen Verarbeitungstätigkeiten durchführt (Auftragsverarbeiter*in),
  • natürliche Personen (z .B. Mitarbeiter*innen), die Daten als Verantwortliche oder Auftragsverarbeiter*in oder für einen solchen personenbezogene Daten verarbeiten.

 

Umsetzung

Durch die Implementierung von internen Vorgaben (Richtlinien, etc.), strategischen und operativen Prozessen, sowie eines laufenden Kontroll- und Verbesserungsprozesses werden folgende Anforderungen (Rechte und Pflichten) bzw. Ziele an ein Datenschutzmanagement sichergestellt:

  • Einhaltung der Verordnungskonformität (Verantwortung für die Zulässigkeit der Datenverwendung (Zweckbindung: Erhebung und Verarbeitung ausschließlich für festgelegte, eindeutige und rechtmäßige Zwecke), Auswahl geeigneter Auftragsverarbeiter*in, Wahrung des Datengeheimnisses, Datenminimierung, Melde-,Informations- und Offenlegungspflichten, Vorkehrung hinsichtlich geeigneter Datensicherheitsmaßnahmen (z.B. Speicherbegrenzung: ehestmögliche bzw. Pseudonymisierung oder endgültiges Entfernen des Personenbezuges, etc.)
  • Einhaltung der Betroffenenrechte
  • Meldepflicht bei Datenschutzverletzung
  • Nachweispflicht und Rechenschaftspflicht (Nachweisbarkeit bzw. Dokumentation der Einhaltung der Pflichten)
  • Gewährleistung der Transparenz

 

Allgemeine Informationen zu personenbezogenen Daten

EU-Datenschutz-Grundverordnung (EU-DSGVO) und Datenschutzanpassungsgesetz 2018 (DSG): Datenschutz gilt für alle Verarbeitungstätigkeiten mit personenbezogenen Daten.


Verarbeitungstätigkeiten sind:

  • elektronische Verarbeitungstätigkeiten mit personenbezogenen Daten (z.B. Excel-Tabellen etc.)
  • nicht-elektronische Dateisysteme (die nach personenbezogenen Informationen geordnet sind, z.B. Namenslisten etc.)

Personenbezogene Daten sind:

  • direkt personenbezogene Daten (Namen, Standortdaten, Online-Kennung etc.)
  • indirekt personenbezogene Daten, wenn die Daten einer Person mit Hilfe weiterer Informationen oder technischer Hilfsmittel zugeordnet werden können (pseudonymisierte Daten, IP-Adresse, genetische Daten etc.)

Pseudonymisierte Daten sind:

personenbezogene Daten, die ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Achtung: Pseudonymisierte Daten unterliegen dem Datenschutz!

Anonymisierte Daten sind:

Daten, die keiner Person zugeordnet werden können. Anonyme bzw. anonymisierte Daten sind vom Datenschutz ausgenommen.

Betroffenenrechte

Betroffene an der Med Uni Graz sind:

Forschung: Datenschutzerklärung der Medizinischen Universität Graz zum Umgang mit personenbezogenen Daten zu Forschungszwecken

Nach der DSGVO haben die Betroffenen ein Auskunftsrecht (Art. 15), ein Recht auf Berichtigung (Art. 16), ein Recht auf Löschung (Art. 17), ein Recht auf Einschränkung der Verarbeitung (Art. 18), ein Recht auf Datenübertragbarkeit (Art. 20) sowie ein Recht auf Widerspruch (Art. 21).

Begehren sind grundsätzlich in schriftlicher Form inkl. näherer Angaben per E-Mail oder postalisch an die genannten Kontaktdaten zu stellen.

 

An der Medizinischen Universität Graz können diese Betroffenenrechte wie folgt wahrgenommen werden:

Wir weisen auf Ihre Mitwirkungspflicht bei der Antragstellung eines Auskunftsbegehrens hin. Daher bitten wir Sie höflichst uns mitzuteilen, in welchem Zusammenhang (zB. Mitarbeiter*in, Studierende, Bewerber*in, etc.) bzw. welche verarbeiteten Daten oder auf welche Informationen  sich Ihr Auskunftsbegehren bezieht.

Mitarbeiter*innen und Studierende können über die E-Mail Adresse der Med Uni Graz (keine Auskunft über besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, Glaubensbekenntnis, etc.) ihr Begehren stellen.

In allen übrigen Fällen ist ein Identitätsnachweis in Form eines amtlichen Lichtbildausweises notwendig.

Kontakt Betroffenenrechte

OE Recht und Risikomanagement
z.H. Koordinationsstelle Datenschutz 
Medizinische Universität Graz
Neue Stiftingtalstraße 6, 8010 Graz
T: +43 316 385 74032

Datenschutzbeauftragte*r

Aufgaben des*der Datenschutzbeauftragten (geregelt in der Datenschutzordnung der Med Uni Graz)

Der*Die Datenschutzbeauftragte ist bei der Erfüllung seiner/ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden (Art 37 Abs. 4 und 5).

  • Anlaufstelle für die betroffenen Personen für  die Verarbeitung ihrer personenbezogenen Daten und die   Wahrnehmung ihrer Rechte betreffenden Fragen;
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten MitarbeiterInnen und der diesbezüglichen Überprüfungen;
  • Beratung auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art 35; 
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Datenschutzverletzung (DataBreach)

Datenschutzverletzung nach Art. 4, Z 12 der DSGVO ist die "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung, von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Beispiele für den Verlust personenbezogener Daten der Med Uni Graz:

  • Verlust eines Endgerätes (Laptop, Tablet, Smartphone etc.)
  • E-Mail an falsche externe Empfängerinnen
  • Verdacht auf Virenbefall
  • Datenspionage
  • andere sicherheitsgefährdende Umstände

Die Meldung einer Datenschutzverletzung hat unverzüglich an den Datenschutzbeauftragten der Med Uni Graz zu erfolgen. Dies ist einerseits notwendig zum Schutz der personenbezogenen Daten bzw. zum Schutz der Integrität der IT-Struktur und anderseits, um der Meldungspflicht an die Aufsichtsbehörde nachkommen zu können.

Bei vertraulichen Anfragen zum personenbezogenen Datenschutz sowie Meldung einer (möglichen) Datenschutzverletzung (Data Breach) kontaktieren Sie uns per E-Mail (siehe Kontaktdaten "Datenschutzbeauftragter").
Begehren von Betroffenen und allgemeine Anfragen zu personenbezogenen Datenschutz und deren Datensicherheit sind ebenfalls an die Koordinationsstelle Datenschutz per E-Mail (office.datenschutz@medunigraz.at) zu richten.

Kontakt Datenschutzbeauftragter

 
T: +43 664 88961748