Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Rechenzentrum

DS-GVO

Erwähnenswertes

Inzwischen können Inhalte einiger der großen sozialen Netzwerke auch über Alternativen mit einem datenschutzfreundlicheren Design betrachtet werden.

Für die Browser Chrome und Edge on Chromium sowie Firefox werden auch Plugins angeboten, die Links automatisch auf diese Dienste umlenken.

Viele weitere wertvolle Tipps finden Sie auch im Privacy-Handbuch.

 

Urteil und Dokumentation

Parteien: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH
Weitere Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Mit der Entscheidung des EuGH zur Verantwortlichkeit bei Facebook-Fanseiten stellt die Frage des Umgangs mit den zahlreichen Social Media Angeboten und Plugins wie Google Suche, Google Maps oder OpenStreetMap der Hochschulen erneut.

Die Entscheidung bedeutet m.E., dass jede Hochschule grundsätzlich für die Datenverarbeitung z.B. auf der Fanseite vollständig Mitverantwortlich ist, und z.B. den Betrofffenen ihre Rechte gewähren muss oder Datenschutzverletzungen melden müsste.

Aus meiner Sicht sollte im Hinblick auf das Urteil Folgendes unternommen werden:

  • Soweit möglich auf statistische Auswertungen, die Anbieter zur Verfügung stellen zu verzichten und diese zu deaktivieren. Dies Beschränkt den Verantwortungsumfang
  • Datenschutzinformationen zu dem Dienst bereitstellen und wie das Impressum im Profil verlinken.
  • Für Karten oder Suchen wären Alternativen anzubieten (soweit der Anbieter Daten der Nutzenden erhält), um die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sicher zu stellen.

Webinar-Reihe

Wie wird die Datenschutzreform ein Gewinn für die Hochschule, was sind die Schritte zur Umsetzung.

Die Webinarreihe gibt den Hochschulen Orientierung.

 

Webinare-Reihe Datenschutz an Hochschulen
TerminZielgruppeThemenFolien und Aufzeichnung
13. April 2018
11 Uhr
Ebene strategische Entscheidungen

Was galt bisher, was kommt neues?
Auswahl von Dienstleistern
Welche Dokumentationspflichten bestehen?
Welche Prozesse und Meldewege sind zu etablieren?

Folien

Aufzeichnung auf Anfrage

17. April 2018
11 Uhr
Ebene technische Entscheidungen

Datenschutzrechtliche Grundanforderungen an technische Lösungen
Verhinderung von Datenschutzvorfällen
Umsetzung der Datensicherheit
Leichtgewichtiges Datenschutzmanagement

Folien

Aufzeichnung auf Anfrage

20. April 2018
14 Uhr
Ebene ForschungRechtmäßige Datenverarbeitung
Forschungsprivilegien und -pflichten
Kooperationen
Informationspflichten
Dokumentation

Folien

Neue Aufzeichnung demnächst

04. Mai 2018
11 Uhr
Ebene Datenschutz am ArbeitsplatzNutzung von Diensten außerhalb der Hochschul-IT Umgang mit Passwörtern
Mobile Geräte und Datenträger
Mein Schreibtisch, mein Schrank, mein Büro Austausch von Kontaktinformationen

Folien

Aufzeichnung als Audio verfügbar

 

 

Sünden und Gebote im Datenschutz

Der Datenschutz wurde mit der Datenschutz-Grundverordnung refomiert. 

Einige Sünden gegen den Datenschutz

  1. Glauben IP-Adressen, Hardware-Adressen oder Cookies seien keine personenbezogenen Daten!
  2. Verarbeitung personenbezogener Daten, ohne eine Aufgabe dafür zu haben!
  3. Personenbezogene Daten ohne Grund Dritten zu übermitteln oder Einsicht in diese gewähren!
  4. Bei einer direkten Datenerhebung Betroffene nicht über die Verarbeitung zu informieren!
  5. Die eigenen regelmäßigen Datenverarbeitung nicht zu dokumentieren!
  6. Keine angemessen Schutzmaßnahmen für personenbezogene Daten treffen!
  7. Datenschutzvorfälle verschweigen!

Einige Gebote des Datenschutzes

  1. Personenbezogene Daten verschlüsseln, soweit es der Einsatzzweck erlaubt!
  2. Kritisch prüfen, welche personenbezogene Daten wirklich zur Verarbeitung benötigt!
  3. Informieren Sie verständlich und transparent!
  4. Lassen Sie sich bei Fragen von Ihren Datenschutzbeauftragten beraten!
  5. Befassen Sie sich ausführlich mit den Risiken Ihre Verarbeitungsprozesse!
  6. Gestalten Sie Ihre Prozesse von Anfang an mit Datenschutz aus!
  7. Geben Sie sich eine Datenschutzgeschäftsordnung oder ein Datenschutzkonzept!

 

Ein Kochbuch für alle gibt es nicht, denn Datenschutz wie auch Informationssicherheit muss nicht nur in Papier dokumentiert sein, sondern auch gelebt werden.

Aus der Beratungserfahrung stellt die Stabsstelle bewährte Schritte vor.

Einschreibungsprozess

  • Datenschutzinformation
  • Immatrikulationssatzungen

Einstellungsprozess

  • Datenschutzinformation
  • Umgang mit E-Mail-Bewerbungen
  • Verpflichtung auf Vertraulichkeit und das Datenschutzgeheimnis

Portale wie Intranet oder Lernplattformen

  • Datenschutzinformation
  • Datenschutzfreundliche Voreinstellungen
  • Sicherheit

Webauftritt

  • Aktualisierung der Datenschutzerklärung
  • Datenschutzfreundliche Suche
  • Defensive Veröffentlichung von Beschäftigtendaten
  • SocialMedia-Richtlinien
  • Verschlüsselung
  • Webseitenanalysen prüfen
  • Zwei-Klick-Lösung für Socialmedia-Plugins

Bereitstellen von ausreichenden Ressourcen zur Umsetzung der Datensicherheit, insbesondere Serverräume

Ergreifen organisatorischer Maßnahmen

  • Datenschutzgeschäftsordnung
  • Hausordnungen
  • Notfallpläne  
  • Vertragsmanagement  
  • Zentrales umfassendes Hard- und Software-Assetmanagement

Einsetzen eines Gremiums zur Begleitung der Umsetzung

Gewähren von ausreichenden Ressourcen und Kompetenzen für den Datenschutzbeauftragten

Meldung des Datenschutzbeauftragten an die zuständige Aufsicht

Organisations- und Letztverantwortung für die Einhaltung des Datenschutzes

Prozessetablierung für die Gewährung von Betroffenenrechte  

Prozessetablierung für die Meldung von Datenschutzvorfällen

Organisieren und ggf. Abhalten von Schulungen und Sensibilisierungsmaßnahmen

Beratung in allen Fragen des Datenschutzes für Mitglieder und Lehrbeauftragte der Universität wie auch Betroffene

Beurteilung der Datenschutzrisiken und gewählten Abhilfemaßnahmen

Stellungnahmen zu Verträgen zu Auftragsverarbeitungen, Verarbeitungstätigkeiten und Datenschutz-Folgeabschätzungen

"Überwachen"/besser wohl Begleiten (engl. to monitor sth.) der Einhaltung des Datenschutzes

Zusammenarbeit mit der Aufsichtsbehörde

Nicht:

  • Erstellen der Verzeichnisse für die Verarbeitungstätigkeiten
  • Vornahme von Datenschutzfolgeabschätzungen

Einfordern der Umsetzung des Datenschutzes bei der Hochschulleitung

(Bei Bedarf) Einsetzen eines Gremiums zur Begleitung der Umsetzung in ihrem Bereich

Organisations- und Letztverantwortung für Ihren Bereich hinsichtlich der Einhaltung des Datenschutzes  

Prozesseinführung für die Meldung von Datenschutzvorfällen der Einrichtung vorgeben bzw. umsetzen

Prozesseinführung für die Gewährung von Betroffenenrechte der Einrichtung vorgeben bzw. umsetzen

Anwendungen auf Konformität mit Datenschutz prüfen

Bereitstellen von Informationen und Daten für Betroffene

Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis

Einbeziehen von Datenschutzbeauftragten und Personalrat

Umsetzung der Datensicherheit

Clean-Desk

  • Abgeschlossenes Büro
  • Aufgeräumter Schreibtisch
  • Ausschalten des PCs nach Feierabend
  • Beim kurzen Verlassen des Büros Bildschirmsperre aktiveren
  • Nach Gebrauch Unterlagen mit personenbezogenen Daten wegsperren

Datenschutzkonforme Entsorgung von Papier und Datenträgern

Datenschutzvorfälle mindestens dem Vorgesetzten melden

Einhalten der goldenen Regeln zur IT-Sicherheit

Erlaubnis vor dem Einsatz neuer Dienste einholen (Vorgesetzte, Datenschutzbeauftragte, Einkauf, Personalräte)

IT-Sicherheitsvorfälle dem Systemverantwortlichen und dem IT-Support des Rechenzentrums melden

Gewährleistung der Datenschutzgrundsätze, insbesondere nur erforderliche personenbezogene Daten zu erheben und Datenminimierung

Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes verarbeitet werden

Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes gespeichert werden

Auftragsvereinbarung, die mindestens den gesetzlichen Anforderungen erfüllen