piwik-script

Intern
    Rechenzentrum

    DS-GVO

    Aktuelles

     

    Urteil und Dokumentation

    Parteien: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH
    Weitere Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

    Mit der Entscheidung des EuGH zur Verantwortlichkeit bei Facebook-Fanseiten stellt die Frage des Umgangs mit den zahlreichen Social Media Angeboten und Plugins wie Google Suche, Google Maps oder OpenStreetMap der Hochschulen erneut.

    Die Entscheidung bedeutet m.E., dass jede Hochschule grundsätzlich für die Datenverarbeitung z.B. auf der Fanseite vollständig Mitverantwortlich ist, und z.B. den Betrofffenen ihre Rechte gewähren muss oder Datenschutzverletzungen melden müsste.

    Aus meiner Sicht sollte im Hinblick auf das Urteil Folgendes unternommen werden:

    • Soweit möglich auf statistische Auswertungen, die Anbieter zur Verfügung stellen zu verzichten und diese zu deaktivieren. Dies Beschränkt den Verantwortungsumfang
    • Datenschutzinformationen zu dem Dienst bereitstellen und wie das Impressum im Profil verlinken.
    • Für Karten oder Suchen wären Alternativen anzubieten (soweit der Anbieter Daten der Nutzenden erhält), um die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sicher zu stellen.

    Webinar-Reihe

    Wie wird die Datenschutzreform ein Gewinn für die Hochschule, was sind die Schritte zur Umsetzung.

    Die Webinarreihe gibt den Hochschulen Orientierung.

     

    Webinare-Reihe Datenschutz an Hochschulen
    TerminZielgruppeThemenFolien und Aufzeichnung
    13. April 2018
    11 Uhr
    Ebene strategische Entscheidungen

    Was galt bisher, was kommt neues?
    Auswahl von Dienstleistern
    Welche Dokumentationspflichten bestehen?
    Welche Prozesse und Meldewege sind zu etablieren?

    Folien

    Aufzeichnung auf Anfrage

    17. April 2018
    11 Uhr
    Ebene technische Entscheidungen

    Datenschutzrechtliche Grundanforderungen an technische Lösungen
    Verhinderung von Datenschutzvorfällen
    Umsetzung der Datensicherheit
    Leichtgewichtiges Datenschutzmanagement

    Folien

    Aufzeichnung auf Anfrage

    20. April 2018
    14 Uhr
    Ebene ForschungRechtmäßige Datenverarbeitung
    Forschungsprivilegien und -pflichten
    Kooperationen
    Informationspflichten
    Dokumentation

    Folien

    Neue Aufzeichnung demnächst

    04. Mai 2018
    11 Uhr
    Ebene Datenschutz am ArbeitsplatzNutzung von Diensten außerhalb der Hochschul-IT Umgang mit Passwörtern
    Mobile Geräte und Datenträger
    Mein Schreibtisch, mein Schrank, mein Büro Austausch von Kontaktinformationen

    Folien

    Aufzeichnung als Audio verfügbar

     

     

    Sünden und Gebote im Datenschutz

    Der Datenschutz wurde mit der Datenschutz-Grundverordnung refomiert. 

    Einige Sünden gegen den Datenschutz

    1. Glauben IP-Adressen, Hardware-Adressen oder Cookies seien keine personenbezogenen Daten!
    2. Verarbeitung personenbezogener Daten, ohne eine Aufgabe dafür zu haben!
    3. Personenbezogene Daten ohne Grund Dritten zu übermitteln oder Einsicht in diese gewähren!
    4. Bei einer direkten Datenerhebung Betroffene nicht über die Verarbeitung zu informieren!
    5. Die eigenen regelmäßigen Datenverarbeitung nicht zu dokumentieren!
    6. Keine angemessen Schutzmaßnahmen für personenbezogene Daten treffen!
    7. Datenschutzvorfälle verschweigen!

    Einige Gebote des Datenschutzes

    1. Personenbezogene Daten verschlüsseln, soweit es der Einsatzzweck erlaubt!
    2. Kritisch prüfen, welche personenbezogene Daten wirklich zur Verarbeitung benötigt!
    3. Informieren Sie verständlich und transparent!
    4. Lassen Sie sich bei Fragen von Ihren Datenschutzbeauftragten beraten!
    5. Befassen Sie sich ausführlich mit den Risiken Ihre Verarbeitungsprozesse!
    6. Gestalten Sie Ihre Prozesse von Anfang an mit Datenschutz aus!
    7. Geben Sie sich eine Datenschutzgeschäftsordnung oder ein Datenschutzkonzept!

     

    Ein Kochbuch für alle gibt es nicht, denn Datenschutz wie auch Informationssicherheit muss nicht nur in Papier dokumentiert sein, sondern auch gelebt werden.

    Aus der Beratungserfahrung stellt die Stabsstelle bewährte Schritte vor.

    Einschreibungsprozess

    • Datenschutzinformation
    • Immatrikulationssatzungen

    Einstellungsprozess

    • Datenschutzinformation
    • Umgang mit E-Mail-Bewerbungen
    • Verpflichtung auf Vertraulichkeit und das Datenschutzgeheimnis

    Portale wie Intranet oder Lernplattformen

    • Datenschutzinformation
    • Datenschutzfreundliche Voreinstellungen
    • Sicherheit

    Webauftritt

    • Aktualisierung der Datenschutzerklärung
    • Datenschutzfreundliche Suche
    • Defensive Veröffentlichung von Beschäftigtendaten
    • SocialMedia-Richtlinien
    • Verschlüsselung
    • Webseitenanalysen prüfen
    • Zwei-Klick-Lösung für Socialmedia-Plugins

    Bereitstellen von ausreichenden Ressourcen zur Umsetzung der Datensicherheit, insbesondere Serverräume

    Ergreifen organisatorischer Maßnahmen

    • Datenschutzgeschäftsordnung
    • Hausordnungen
    • Notfallpläne  
    • Vertragsmanagement  
    • Zentrales umfassendes Hard- und Software-Assetmanagement

    Einsetzen eines Gremiums zur Begleitung der Umsetzung

    Gewähren von ausreichenden Ressourcen und Kompetenzen für den Datenschutzbeauftragten

    Meldung des Datenschutzbeauftragten an die zuständige Aufsicht

    Organisations- und Letztverantwortung für die Einhaltung des Datenschutzes

    Prozessetablierung für die Gewährung von Betroffenenrechte  

    Prozessetablierung für die Meldung von Datenschutzvorfällen

    Organisieren und ggf. Abhalten von Schulungen und Sensibilisierungsmaßnahmen

    Beratung in allen Fragen des Datenschutzes für Mitglieder und Lehrbeauftragte der Universität wie auch Betroffene

    Beurteilung der Datenschutzrisiken und gewählten Abhilfemaßnahmen

    Stellungnahmen zu Verträgen zu Auftragsverarbeitungen, Verarbeitungstätigkeiten und Datenschutz-Folgeabschätzungen

    "Überwachen"/besser wohl Begleiten (engl. to monitor sth.) der Einhaltung des Datenschutzes

    Zusammenarbeit mit der Aufsichtsbehörde

    Nicht:

    • Erstellen der Verzeichnisse für die Verarbeitungstätigkeiten
    • Vornahme von Datenschutzfolgeabschätzungen

    Einfordern der Umsetzung des Datenschutzes bei der Hochschulleitung

    (Bei Bedarf) Einsetzen eines Gremiums zur Begleitung der Umsetzung in ihrem Bereich

    Organisations- und Letztverantwortung für Ihren Bereich hinsichtlich der Einhaltung des Datenschutzes  

    Prozesseinführung für die Meldung von Datenschutzvorfällen der Einrichtung vorgeben bzw. umsetzen

    Prozesseinführung für die Gewährung von Betroffenenrechte der Einrichtung vorgeben bzw. umsetzen

    Anwendungen auf Konformität mit Datenschutz prüfen

    Bereitstellen von Informationen und Daten für Betroffene

    Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis

    Einbeziehen von Datenschutzbeauftragten und Personalrat

    Umsetzung der Datensicherheit

    Clean-Desk

    • Abgeschlossenes Büro
    • Aufgeräumter Schreibtisch
    • Ausschalten des PCs nach Feierabend
    • Beim kurzen Verlassen des Büros Bildschirmsperre aktiveren
    • Nach Gebrauch Unterlagen mit personenbezogenen Daten wegsperren

    Datenschutzkonforme Entsorgung von Papier und Datenträgern

    Datenschutzvorfälle mindestens dem Vorgesetzten melden

    Einhalten der goldenen Regeln zur IT-Sicherheit

    Erlaubnis vor dem Einsatz neuer Dienste einholen (Vorgesetzte, Datenschutzbeauftragte, Einkauf, Personalräte)

    IT-Sicherheitsvorfälle dem Systemverantwortlichen und dem IT-Support des Rechenzentrums melden

    Gewährleistung der Datenschutzgrundsätze, insbesondere nur erforderliche personenbezogene Daten zu erheben und Datenminimierung

    Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes verarbeitet werden

    Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes gespeichert werden

    Auftragsvereinbarung, die mindestens den gesetzlichen Anforderungen erfüllen