Vertragsinhalt
Datenschutzvereinbarung im Kooperationsprojekt Absolventenstudien (KOAB)
Zwischen dem Institut für angewandte Statistik und den Hochschulen besteht eine vertraglich festgeschriebene und rechtlich bindende Vereinbarung, wie mit den Befragungsergebnissen der Absolventenbefragungen zu verfahren ist. Die entsprechende Vereinbarung lautet wie folgt:
§ 3 Gemeinsam Verantwortliche
3.1 Im Rahmen der Durchführung des Kooperationsprojekts Absolventenstudien (KOAB) sind die Hochschule und ISTAT gemeinsam Verantwortliche nach Artikel 26 DS-GVO.
3.2 Aufgabenbeschreibung KOAB: ISTAT koordiniert ein Forschungsprojekt im deutschsprachigen Raum. Die Hochschule unterstützt dieses Forschungsprojekt durch ein Adressmittlungsverfahren. Zudem implementiert ISTAT im Auftrag der Hochschule hochschulspezifische Fragebogenelemente in den KOAB-Fragebogen und erstellt einen hochschulspezifischen Datensatz. Darüber hinaus erstellt ISTAT zum einen hochschulspezifische und zum anderen hochschulübergreifende (alle teilnehmenden Hochschulen) statistische Auswertungen. Die Hochschule nutzt die durch ISTAT gelieferten Daten und Auswertungen für ihr hausinternes Qualitätsmanagement. ISTAT verwendet die Daten zur Erstellung von wissenschaftlichen Auswertungen und stellt auf der Grundlage der Daten öffentlich zugängliche Forschungsergebnisse bereit (ohne Bezug auf einzelne Hochschulen).
3.3 Zweck und Mittel der Datenverarbeitung in KOAB:Zweck der Datenverarbeitung ist auf Seiten der Hochschule die Kontaktierung ihrer Absolvent*innen, so dass diese an der KOAB-Befragung freiwillig teilnehmen können. Die Hochschule bedient sich dabei der innerhalb der Hochschule vorliegenden Adressdatenbank und nutzt diese um das Forschungsprojekt (KOAB) zu unterstützen. Bei Teilnahme der Absolvent*innen stimmen diese bei Befragungsbeginn freiwillig zu, dass die Befragungsdaten an die Hochschule zum Zweck des Qualitätsmanagements übermittelt werden dürfen. Die Hochschule verfährt entsprechend dieser Zweckbindung mit den Daten und Auswertungen. ISTAT nutzt die erhobenen Daten für hochschulübergreifende wissenschaftliche Berichtslegungen, wissenschaftliche Publikationen, die Erzeugung von Scientific-Use-Files und die Leistungen, welche vertraglich zwischen den teilnehmenden Hochschulen und ISTAT vereinbart wurden.
3.4 Prozess: Die im Rahmen von KOAB bestehende gemeinsame Verantwortlichkeit lässt sich in die folgend beschriebenen jeweiligen Verantwortlichkeiten aufschlüsseln:
- Erstellung von Zugangscodes (als Marge) durch ISTAT
- Übergabe der Zugangscodes an die Hochschule durch ISTAT
- Auswahl der Teilnehmer*innen durch die Hochschule
- Die Hochschule schreibt die Absolvent*innen an und versendet zufällig ausgewählte Zugangscodes. Die Namen und Adressen der Absolvent*innen bleiben ISTAT unbekannt
- Die Befragungsdaten werden auf dem Server des ISTAT gesammelt
- Auswertung und Analyse erfolgen im ISTAT
- Übergabe der statistischen Auswertungen und eines hochschulspezifischen Datensatzes an die Hochschule durch ISTAT
- Weiterführende Interpretationen und Auswertungen innerhalb der Hochschule
3.5 Pflichten der Hochschule.
Die Hochschule trägt die Verantwortung für den hausinternen Ablauf der Befragung selbst, insbesondere bei der Beschaffung der Adressen der Absolvent*innen. Hierzu sollte die Hochschule mit ihrer*m Datenschutzbeauftragten vor Ort die Schritte der Adressrecherche und des Einladungsprozesses abstimmen. Es muss gewährleistet sein, dass die personenbezogenen Daten zugangsgesichert aufbewahrt werden, für die Adressdatenbank eine Löschfrist angesetzt und diese auch eingehalten wird. Darüber hinaus informiert die Hochschule die Eingeladenen darüber, dass die erhobenen Daten sowohl Forschungszwecken dienen als auch für das Qualitätsmanagement der Hochschule genutzt werden und die Einladung der Absolvent*innen im Rahmen des von ISTAT koordinierten Kooperationsprojekts Absolventenstudien (KOAB) erfolgt. Des Weiteren verpflichtet sich die Hochschule, Auswertungen immer nur in der Art vorzunehmen, dass die Identifikation einzelner Absolvent*innen unmöglich ist.
Über die sich aus der DS-GVO für die Hochschule als Verantwortliche direkt ergebenden Pflichten, von denen sie im Rahmen der gemeinsamen Verantwortung nicht entbunden wird, ist die Hochschule im Rahmen des Einladungsprozesses zu Folgendem verpflichtet:
- Im Einladungsschreiben ist ein*e verantwortliche*r Ansprechpartner*in zu benennen.
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sind zu benennen, dies sind hier, die Einladung zur Teilnahme an einem Forschungsprojekt und Qualitätsmanagement sowie Studiengangentwicklung innerhalb der Hochschule.
- Die Rechtsgrundlage der Verarbeitung ist zu benennen, dies sind etwa die Evaluationsordnung und/oder ein entsprechendes Landesgesetzt.
- Die Dauer, für die die personenbezogenen Daten gespeichert werden (für die Dauer des Einladungsprozesses bzw. der Feldphase (01. Januar des ersten Projektjahres bis Juli des zweiten Projektjahres)) sowie die Umsetzung entsprechender Löschfristen ist zu nennen.
- Das Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie die eigenständige Bearbeitung entsprechender Ersuchen Betroffener ist zu benennen. Betrifft die Geltendmachung vorgenannter Rechte die Verarbeitung durch ISTAT im Rahmen des Befragungsprozesses, leitet die Hochschule diese Ersuchen unverzüglich an ISTAT zur eigenständigen Bearbeitung weiter. Soweit erforderlich unterstützen sich die Parteien gegenseitig bei der fristgerechten Bearbeitung der Ersuchen Betroffener.
- Das Beschwerderecht bei einer Aufsichtsbehörde ist darzustellen.
- Die Freiwilligkeit der Teilnahme an der Befragung ist deutlichzumachen.
- Die Hochschule gewährleistet, dass der Einladungsprozess im Verzeichnis der Verarbeitungstätigkeiten abgebildet wird.
- Datenpannen im Rahmen des Einladungsprozesses sind zu melden.
- Die Hochschule haftet für Schäden, die bei der Durchführung des Einladungsprozesses entstehen und ist verantwortlich etwaig entstehende Schadensersatzforderungen zu begleichen.
Im Rahmen der innerhalb der Hochschule erfolgenden Datenverarbeitung ist die Hochschule zu Folgendem verpflichtet:
- Wahrung des Datengeheimnisses. Die Hochschule erkennt an, dass es untersagt ist, die anonymen Befragungsdaten mit personenbezogenen Daten unbefugt zusammenzuführen.
- Die Hochschule wird keine Auswertungen mittels des an sie gelieferten Datensatzes vornehmen, die geeignet sind, einzelne Personen identifizierbar zu machen.
- Die Hochschule gewährleistet, dass der Datenanalyseprozess im Verzeichnis der Verarbeitungstätigkeiten abgebildet wird.
- Datenpannen im Rahmen des Auswertungsprozesses sind zu melden.
- Die Hochschule haftet für Schäden, die bei der Datenverarbeitung innerhalb der Hochschule entstehen und ist verantwortlich etwaig entstehende Schadensersatzforderungen zu begleichen.
3.6 Pflichten des ISTAT
Über die sich aus der DS-GVO für ISTAT als Verantwortliche direkt ergebenden Pflichten, von denen sie im Rahmen der gemeinsamen Verantwortung nicht entbunden wird, ist die ISTAT im Rahmen des Befragungsprozesses zu Folgendem verpflichtet:
- ISTAT hat den Befragungsprozess gegenüber den Teilnehmer*innen transparent zu machen, soweit erforderlich nach Maßgabe der Art. 13, 14 DS-GVO.
- Im Rahmen der Online-Befragung ist ein*e verantwortliche*r Ansprechpartner*in zu benennen. Dies kann auf Wunsch der Hochschule auch ein*e Hochschulmitarbeiter*in sein, die sich somit verpflichtet alle datenschutzrechtlichen Belange an ISTAT zu melden.
- Die Zwecke, für die die Befragungsdaten verarbeitet werden, sind zu benennen (wissenschaftliche Auswertungen durch ISTAT und die Übermittlung der Befragungsergebnisse an die Hochschule zum Zwecke der Studiengangsentwicklung und des Qualitätsmanagements).
- Die Rechtsgrundlage der Verarbeitung ist zu benennen. Da es sich um ein freiwilliges Einverständnis handelt, ist die Freiwilligkeit der Teilnahme an der Befragung deutlich zu machen.
- Benennung des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden Befragungsdaten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung. sowie die eigenständige Bearbeitung entsprechender Ersuchen Betroffener. Betrifft die Geltendmachung vorgenannter Rechte die Verarbeitung durch die Hochschule, leitet die ISTAT diese Ersuchen unverzüglich an die Hochschule zur eigenständigen Bearbeitung weiter. Soweit erforderlich unterstützen sich die Parteien gegenseitig bei der fristgerechten Bearbeitung der Ersuchen Betroffener.
- Das Beschwerderecht bei einer Aufsichtsbehörde ist zu benennen.
- ISTAT gewährleistet, dass der Datenerhebungsprozess im Verzeichnis der Verarbeitungstätigkeiten abgebildet wird.
- Datenpannen im Rahmen des Datenerhebungsprozesses sind zu melden.
- ISTAT haftet für Schäden, die bei der Durchführung des Befragungsprozesses entstehen und ist verantwortlich etwaig entstehende Schadensersatzforderungen zu begleichen.
Im Rahmen der erfolgenden Datenanalyse im KOAB-Projekt und bei der Erstellung von hochschulspezifischen Analysen ist ISTAT zu Folgendem verpflichtet:
- ISTAT wird keine Auswertungen mittels des an sie gelieferten Datensatzes vornehmen, die geeignet sind, einzelne Personen identifizierbar zu machen.
- ISTAT führt ein Verarbeitungsverzeichnis für den Datenanalyseprozess.
- Datenpannen im Rahmen des Datenanalyseprozesses werden gemeldet.
- ISTAT haftet für Schäden, die bei der Durchführung des Datenanalyseprozesses entstehen und ist verantwortlich etwaig entstehende Schadensersatzforderungen zu begleichen.
3.7 Die Vertragsparteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
3.8 Beiden Vertragsparteien obliegen die aus Art. 33, 34 DS-GVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.
3.9 Die Vertragsparteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DS-GVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer oder alleiniger Verantwortung. Ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich, unterstützen sich die Parteien gegenseitig.
3.10 Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen. Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieses Vertrages, nur für Schäden, die innerhalb ihres jeweiligen Wirkbereiches entstanden sind.
3.11 Die Vertragsparteien sind als gemeinsam Verantwortliche für die Verarbeitung für die Festlegung der erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO und zu deren Anpassung gemeinsam verantwortlich. Die Parteien legen die Sicherheitsmaßnahmen für den eigenen Wirkbereich fest.