Allgemeine Datenschutzinformation

Präambel
Die Paris Lodron Universität Salzburg (im Folgenden „PLUS“) hat als eine der größten Universitäten Österreichs eine Vorbildwirkung auch im Bereich des Datenschutzes. An der PLUS werden naturgemäß zahlreiche personenbezogene Daten auf verschiedenste Art und Weise verarbeitet. Der PLUS ist der Schutz dieser personenbezogenen Daten daher ein besonders wichtiges Anliegen. Mit der gegenständlichen Datenschutzerklärung entsprechen wir unserer Informationspflicht gemäß den Artikeln 13 und 14 der Datenschutz-Grundverordnung (im Folgenden „DSGVO“). Sie erhalten hier Informationen darüber, welche personenbezogenen Daten zu welchem Zweck und auf Basis welcher Rechtsgrundlage an der Universität verarbeitet werden.

Angehörige der Universität finden zur internen Handhabung detaillierte Informationen im Bereich  Datenschutz des Intranets.

Übersicht:
I. Datenschutz an der PLUS
II. Allgemeine Informationen zum Datenschutz
III. Rechte der Betroffenen
IV. Verarbeitungstätigkeiten der PLUS
V. Möglichkeit der Beschwerde bei der Datenschutzbehörde

Die Datenschutzinformation wurde zuletzt aktualisiert am 15.02.2024.

I. Datenschutz an der PLUS

Die PLUS ist bei der Verarbeitung personenbezogener Daten „Verantwortliche“ im Sinne des Artikels 4 Ziffer 7 DSGVO. Die tatsächliche datenschutzrechtliche Verantwortlichkeit kann je nach Verarbeitungstätigkeit und Geschäftsordnung variieren. Die aktuelle Geschäftsordnung ist hier aufrufbar. Werden Verarbeitungstätigkeiten durch weisungsfreie Organe der Universität (siehe Satzung) bestimmt oder handelt es sich um Aktivitäten der Lehre oder Forschung, so liegt in aller Regel gemeinsame Verantwortlichkeit nach Art 26 DSGVO zwischen den jeweiligen Organen bzw Lehrenden und Forschenden und der Universität vor. 

Verantwortlich für die Datenverarbeitung:
Paris Lodron Universität Salzburg
Kapitelgasse 4-6
5020 Salzburg

Tel: 0043(0) 662 8044-0

Kontakt Datenschutzbeauftragter:

Kapitelgasse 4-6
5020 Salzburg
Tel: 05 02067-2110

II. Allgemeine Informationen zum Datenschutz

Die wesentlichen Rechtsgrundlagen für den Datenschutz an der PLUS sind:

  • die Datenschutz-Grundverordnung (DSGVO)
  • das Datenschutzgesetz (DSG)
  • das Telekommunikationsgesetz (TKG)
  • das Universitätsgesetz (UG)
  • das Forschungsorganisationsgesetz (FOG)
  • das Bildungsdokumentationsgesetz (BilDokG)
  • das Bundesarchivgesetz

Dies ist keine abschließende Auflistung. Zahlreiche weitere Rechtsquellen können für die Lösung einer datenschutzrechtlichen Fragestellung relevant sein.
Die konkreten Rechtsgrundlagen für die Verarbeitung sind in den besonderen Teilen der Datenschutzinformation angeführt.

Welchen Stellenwert hat Datenschutz?
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, also ein verfassungsrechtlich gewährleistetes, subjektives Recht. Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht (siehe Verfassungsbestimmung § 1 DSG).

Was sind personenbezogene Daten?
Gemäß Artikel 4 Ziffer 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Was sind personenbezogene Daten besonderer Kategorie?
Artikel 9 DSGVO regelt die Verarbeitung personenbezogener Daten besonderer Kategorie (früher oft „sensible Daten“ genannt). Nach Artikel 9 Absatz 1 DSGVO sind personenbezogene Daten solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch sind genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person Daten besonderer Kategorie.

Was versteht man unter der „Verarbeitung“ von personenbezogenen Daten?
Gemäß Artikel 4 Ziffer 2 DSGVO versteht man „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Unter der „Verarbeitung“ von personenbezogenen Daten sind somit praktisch alle Verhaltensweisen umfasst, die personenbezogene Daten zum Gegenstand haben. Dies muss nicht zwingend digital erfolgen, personenbezogene Daten können auch analog verarbeitet werden, etwa durch den Einsatz von Papier.

Wann dürfen personenbezogene Daten verarbeitet werden?
Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten („Verbotsprinzip“). Sie ist jedoch erlaubt, wenn es eine Rechtsgrundlage gibt, die die Verarbeitung personenbezogener Daten im Einzelfall erlaubt („Erlaubnistatbestand“). Die DSGVO nennt in Artikel 6 Absatz 1 abschließend alle Fälle, in denen die Verarbeitung personenbezogener Daten ausnahmsweise erlaubt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
c) Erfüllung einer rechtlichen Verpflichtung.
d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Auf welche Art und Weise erfolgt die Verarbeitung?
Artikel 5 DSGVO legt die Verarbeitungsgrundsätze fest. Die PLUS ist für die Einhaltung dieser Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“). Personenbezogene Daten müssen nach Artikel 5 Absatz 1 DSGVO

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Wie wird die Sicherheit der Verarbeitung gewährleistet?
Das Datenschutzrecht räumt betroffenen Personen zahlreiche Rechte ein. Diese Rechte können jedoch nicht gänzlich ausschließen, dass bei einem Verantwortlichen personenbezogene Daten verloren gehen oder in die Hände Dritter gelangen. Artikel 32 DSGVO verpflichtet Verantwortliche wie die PLUS dazu, geeignete technische und organisatorische Maßnahmen zu treffen, um eine hohe Sicherheit der Verarbeitung zu erreichen. Die PLUS hat daher zahlreiche Maßnahmen getroffen, um die Sicherheit der Verarbeitung zu gewährleisten:

  • Erlass einer Datenschutzrichtlinie
  • Schulung von Universitätsangehörigen
  • Zweifaktorauthentifizierung
  • Verschlüsselung von Daten
  • VPN-Nutzung
  • IT-Sicherheits-Audits
  • Updatemanagement

Aus Sicherheitsgründen können nicht sämtliche Maßnahmen genannt werden, die die PLUS zur Sicherheit der Verarbeitung etabliert hat.

III. Rechte der Betroffenen

Sollte die PLUS Sie betreffende personenbezogene Daten verarbeiten, so räumt Ihnen die DSGVO verschiedene Rechte ein. Wenn Sie eines oder mehrere dieser Rechte geltend machen wollen, so können Sie Ihre entsprechende Anfrage an richten. Bitte beachten Sie, dass wir gemäß Artikel 12 DSGVO bei Zweifel über Ihre Identität dazu verpflichtet sind, Ihre Identität zu überprüfen. Die Überprüfung Ihrer Identität kann auch dann erforderlich sein, wenn Ihre Anfrage besonders wichtige oder umfangreiche Datensätze betrifft. Die Identitätsprüfung dient Ihrem Schutz, da beispielsweise jemand missbräuchlich in Ihrem Namen einen Antrag Auskunft oder Löschung stellen könnte. Würden wir einem solchen Antrag folge leisten, so könnten Sie in Ihrem Recht auf Schutz Ihrer personenbezogenen Daten verletzt werden.

Grundsätze zur Geltendmachung Ihrer Rechte
Gemäß Artikel 42 Datenschutzgesetz (DSG) ist die PLUS dazu verpflichtet, Ihre Anfragen in möglichst präziser, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu bearbeiten. Unsere Information hat nach Möglichkeit in gleicher Form wie Ihr Antrag zu erfolgen. Wenn Sie beispielsweise Ihren Antrag per Mail stellen, so werden wir Ihren Antrag per Mail beantworten. Ferner haben wir Sie unverzüglich schriftlich darüber zu informieren, wie mit Ihrem Antrag verfahren wurde. Wenn wir ihrem Antrag nicht umgehend entsprechen, so werden Sie darüber informieren, dass wir Ihren Antrag erhalten haben und dieser in Bearbeitung ist. Wir sind dazu verpflichtet – bei Vorliegen der Voraussetzungen – Ihrem Antrag spätestens nach einem Monat zu entsprechen. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. In diesem Fall erhalten Sie darüber eine Information. Ihre Rechte im Einzelnen finden Sie im Folgenden angeführt, wobei die relevanten Gesetzesstellen lediglich auszugsweise dargestellt sind.

Recht auf Auskunft – Art 15 DSGVO
Artikel 15 DSGVO räumt betroffenen Personen das Recht auf Auskunft ein. Sie haben das Recht, von der PLUS als Verantwortliche eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese personenbezogene Daten und auf folgende Informationen:

a) die Verarbeitungszwecke
b) die Kategorien personenbezogener Daten, die verarbeitet werden
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
f) das Bestehen des Beschwerderechts bei der Datenschutzbehörde
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Recht auf Berichtigung – Art 16 DSGVO
Sie haben das Recht, von der PLUS unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Recht auf Löschung – Art 17 DSGVO
Sie haben das Recht, von der PLUS zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und die PLUS ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Recht auf Einschränkung der Verarbeitung – Art 18 DSGVO
Sie haben das Recht, von der PLUS die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Recht auf Datenübertragbarkeit – Art 20 DSGVO
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie der PLUS bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Recht auf Widerspruch – Art 21 DSGVO
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

IV. Verarbeitungstätigkeiten der PLUS

Als Universität verarbeiten wir personenbezogene Daten auf zahlreiche Art und Weise. Wir sind im Rahmen der Datenschutzerklärung auf unserer Homepage lediglich dazu verpflichtet, Besucher*innen der Webseite umfassend zu informieren. Wenn wir auf andere Art und Weise personenbezogene Daten verarbeiten, dann kann die Information gesondert erfolgen, etwa im Rahmen eines Vertragsabschlusses. Für Angehörige der Universität haben wir zusätzliche Informationen im Intranet bereitgestellt. Dennoch stellen wir zahlreiche Informationen Online zur Verfügung. Im Folgenden erhalten Sie einen Überblick über die Betroffenenkategorien an der PLUS. Bei Betroffenenkategorien, bei denen ein Link hinterlegt ist, gelangen Sie über diesen Link zu Datenschutzinformationen über diese Betroffenenkategorie.

V. Möglichkeit der Beschwerde bei der Datenschutzbehörde

Sollten Sie sich in Ihrem Recht auf Schutz Ihrer personenbezogenen Daten als verletzt erachten, so steht Ihnen das Recht auf Beschwerde bei der österreichischen Datenschutzbehörde zu. Bevor Sie Kontakt mit der Datenschutzbehörde aufnehmen, empfehlen wir zuerst uns über zu kontaktieren und abzuklären, ob Ihr Anliegen auch ohne die Datenschutzbehörde geklärt werden kann. Ansonsten können Sie Ihre Beschwerde richten an:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E‑Mail: