piwik-script

Intern
    Rechenzentrum

    Süden und Gebote im Datenschutz

    Der Datenschutz wurde mit der Datenschutz-Grundverordnung refomiert. 

    Einige Sünden gegen den Datenschutz

      1. Glauben IP-Adressen, Hardware-Adressen oder Cookies seien keine personenbezogenen Daten!
      2. Verarbeitung personenbezogener Daten, ohne eine Aufgabe dafür zu haben!
      3. Personenbezogene Daten ohne Grund Dritten zu übermitteln oder Einsicht in diese gewähren!
      4. Bei einer direkten Datenerhebung Betroffene nicht über die Verarbeitung zu informieren!
      5. Die eigenen regelmäßigen Datenverarbeitung nicht zu dokumentieren!
      6. Keine angemessen Schutzmaßnahmen für personenbezogene Daten treffen!
      7. Datenschutzvorfälle verschweigen!

      Einige Gebote des Datenschutzes

      1. Personenbezogene Daten verschlüsseln, soweit es der Einsatzzweck erlaubt!
      2. Kritsch prüfen, welche personenbezogene Daten wirklich zur Verarbeitung benötigt!
      3. Informieren Sie verständlich und transparent!
      4. Lassen Sie sich bei Fragen von Ihren Datenschutzbeauftragten beraten!
      5. Befassen Sie sich ausführlich mit den Risiken Ihre Verarbeitungsprozesse!
      6. Gestalten Sie Ihre Prozesse von Anfang an mit Datenschutz aus!
      7. Geben Sie sich eine Datenschutzgeschäftsordnung oder ein Datenschutzkonzept!
      Vorschläge zur Umsetzung

      Ein Kochbuch für alle gibt es nicht, denn Datenschutz wie auch Informationssicherheit muss nicht nur in Papier dokumentiert sein, sondern auch gelebt werden.

      Aus der Beratungserfahrung stellt die Stabsstelle bewährte Schritte vor.

      Dienste und Leistungen mit höchster Priorität für Datenschutzkonformität

      Einschreibungsprozess

      • Datenschutzinformation
      • Immatrikulationssatzungen

      Einstellungsprozess

      • Datenschutzinformation
      • Umgang mit E-Mail-Bewerbungen
      • Verpflichtung auf Vertraulichkeit und das Datenschutzgeheimnis

      Portale wie Intranet oder Lernplattformen

      • Datenschutzinformation
      • Datenschutzfreundliche Voreinstellungen
      • Sicherheit

      Webauftritt

      • Aktualisierung der Datenschutzerklärung
      • Datenschutzfreundliche Suche
      • Defensive Veröffentlichung von Beschäftigtendaten
      • SocialMedia-Richtlinien
      • Verschlüsselung
      • Webseitenanalysen prüfen
      • Zwei-Klick-Lösung für Socialmedia-Plugins
      Hochschulleitung

      Bereitstellen von ausreichenden Ressourcen zur Umsetzung der Datensicherheit, insbesondere Serverräume

      Ergreifen organisatorischer Maßnahmen

      • Datenschutzgeschäftsordnung
      • Hausordnungen
      • Notfallpläne  
      • Vertragsmanagement  
      • Zentrales umfassendes Hard- und Software-Assetmanagement

      Einsetzen eines Gremiums zur Begleitung der Umsetzung

      Gewähren von ausreichenden Ressourcen und Kompetenzen für den Datenschutzbeauftragten

      Meldung des Datenschutzbeauftragten an die zuständige Aufsicht

      Organisations- und Letztverantwortung für die Einhaltung des Datenschutzes

      Prozessetablierung für die Gewährung von Betroffenenrechte  

      Prozessetablierung für die Meldung von Datenschutzvorfällen

      Datenschutzbeauftragte

      Organisieren und ggf. Abhalten von Schulungen und Sensibilisierungsmaßnahmen

      Beratung in allen Fragen des Datenschutzes für Mitglieder und Lehrbeauftragte der Universität wie auch Betroffene

      Beurteilung der Datenschutzrisiken und gewählten Abhilfemaßnahmen

      Stellungnahmen zu Verträgen zu Auftragsverarbeitungen, Verarbeitungstätigkeiten und Datenschutz-Folgeabschätzungen

      "Überwachen"/besser wohl Begleiten (engl. to monitor sth.) der Einhaltung des Datenschutzes

      Zusammenarbeit mit der Aufsichtsbehörde

      Nicht:

      • Erstellen der Verzeichnisse für die Verarbeitungstätigkeiten
      • Vornahme von Datenschutzfolgeabschätzungen
      Leitungen von Einrichtungen und Dekane

      Einfordern der Umsetzung des Datenschutzes bei der Hochschulleitung

      (Bei Bedarf) Einsetzen eines Gremiums zur Begleitung der Umsetzung in ihrem Bereich

      Organisations- und Letztverantwortung für Ihren Bereich hinsichtlich der Einhaltung des Datenschutzes  

      Prozesseinführung für die Meldung von Datenschutzvorfällen der Einrichtung vorgeben bzw. umsetzen

      Prozesseinführung für die Gewährung von Betroffenenrechte der Einrichtung vorgeben bzw. umsetzen

      Fach(anwendungs)-Verantwortliche

      Anwendungen auf Konformität mit Datenschutz prüfen

      Bereitstellen von Informationen und Daten für Betroffene

      Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis

      Einbeziehen von Datenschutzbeauftragten und Personalrat

      Umsetzung der Datensicherheit

      Für alle Mitglieder der Universität

      Clean-Desk

      • Abgeschlossenes Büro
      • Aufgeräumter Schreibtisch
      • Ausschalten des PCs nach Feierabend
      • Beim kurzen Verlassen des Büros Bildschirmsperre aktiveren
      • Nach Gebrauch Unterlagen mit personenbezogenen Daten wegsperren

      Datenschutzkonforme Entsorgung von Papier und Datenträgern

      Datenschutzvorfälle mindestens dem Vorgesetzten melden

      Einhalten der goldenen Regeln zur IT-Sicherheit

      Erlaubnis vor dem Einsatz neuer Dienste einholen (Vorgesetzte, Datenschutzbeauftragte, Einkauf, Personalräte)

      IT-Sicherheitsvorfälle dem Systemverantwortlichen und dem IT-Support des Rechenzentrums melden

      Vertragspartner

      Gewährleistung der Datenschutzgrundsätze, insbesondere nur erforderliche personenbezogene Daten zu erheben und Datenminimierung

      Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes verarbeitet werden

      Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes gespeichert werden

      Auftragsvereinbarung, die mindestens den gesetzlichen Anforderungen erfüllen

      Webinar-Reihe

      Wie wird die Datenschutzreform ein Gewinn für die Hochschule, was sind die Schritte zur Umsetzung.

      Die Webinarreihe gibt den Hochschulen Orientierung.

       

      Webinare-Reihe Datenschutz an Hochschulen
      TerminZielgruppeThemenFolien und Aufzeichnung
      13. April 2018
      11 Uhr
      Ebene strategische Entscheidungen

      Was galt bisher, was kommt neues?
      Auswahl von Dienstleistern
      Welche Dokumentationspflichten bestehen?
      Welche Prozesse und Meldewege sind zu etablieren?

      Folien

      Aufzeichnung auf Anfrage

      17. April 2018
      11 Uhr
      Ebene technische Entscheidungen

      Datenschutzrechtliche Grundanforderungen an technische Lösungen
      Verhinderung von Datenschutzvorfällen
      Umsetzung der Datensicherheit
      Leichtgewichtiges Datenschutzmanagement

      Folien

      Aufzeichnung auf Anfrage

      20. April 2018
      14 Uhr
      Ebene ForschungRechtmäßige Datenverarbeitung
      Forschungsprivilegien und -pflichten
      Kooperationen
      Informationspflichten
      Dokumentation

      Folien

      Aufzeichnung ab 25. Mai 2018

      04. Mai 2018
      11 Uhr
      Ebene Datenschutz am ArbeitsplatzNutzung von Diensten außerhalb der Hochschul-IT Umgang mit Passwörtern
      Mobile Geräte und Datenträger
      Mein Schreibtisch, mein Schrank, mein Büro Austausch von Kontaktinformationen

      Folien

      Aufzeichnung als Audio verfügbar

       

       

       

      Aktuelle Vorträge und Aufsätze

      DatumTitelVeranstalterOrtFolien
      24. April 2018 Sanfter Einstieg in die Datenschutzdokumentation AKIF Berlin ja
      23. April 2018Umsetzung der Datenschutzgrundverordnung BSKFeldkirchen
      20. März 2018 Wem gehören die Daten in gemeinsamen Forschungsprojekten und wer trägt Verantwortung für diese Daten? LRZGarchingja
      14. März 2018Umsetzung der DSGVO in HochschulenPrivacy RingHannoverja
      12. März 201825. Mai 2018 – da war doch was? Auswirkungen auf die Beschaffung und Bereitstellung von Software? ZKIKonstanzja

      StandTitel und DownloadVeröffentlichung auch in einem Verlag
      2017 AugustRechtsfragen zu Cloud-Angeboten für HochschulenDruck ausstehend


      Arbeitshilfen

      Informationen des Bayerischen Landesbeauftragten für den Datenschutz

      https://www.datenschutz-bayern.de/datenschutzreform2018/

      • Die Datenschutz-Grundverordnung (DSGVO) - Ein Überblick Teil 1: Geltung und Anwendungsbereich
      • Die Datenschutz-Grundverordnung (DSGVO) - Ein Überblick Teil 2: Begriffe und Grundsätze
      • Die Datenschutz-Grundverordnung (DSGVO) - Ein Überblick Teil 3: Die rechtmäßige (Weiter-)Verarbeitung personenbezogener Daten
      • Die Datenschutz-Grundverordnung (DSGVO) - Ein Überblick Teil 4: Verantwortlicher, Auftragsverarbeiter und Datenschutzbeauftragter
      • Die Einwilligung nach der Datenschutz-Grundverordnung (DSGVO)
      • Der Sozialdatenschutz unter Geltung der Datenschutz-Grundverordnung (DSGVO)
      • Die Datenschutz-Grundverordnung (DSGVO) - Anforderungen an Technik und Sicherheit der Verarbeitung
      • Krankenhäuser: Praxishilfe zur Umsetzung der Datenschutz-Grundverordnung
      • Das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Datenschutz-Grundverordnung (DSGVO)

       

       

      Arbeitshilfen des Bayerischen Innenministeriums

      https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen/index.php

      • Arbeitshilfen zur praktischen Umsetzung der Datenschutz-Grundverordnung 
      • Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO 
      • Mustertext für Informationspflichten
      • Mustertext für das Verarbeitungsverzeichnis
      Überführung alter technischer Maßnahmen zu Art. 32 DSGVO

      Sofern bisher die Datenschutzmaßnahmen nach den 10 Geboten des alten bayerischen Datenschutzgesetzes umgesetzt worden sind können die Maßnahmen auch weiter Bestandteil der Datenschutzmaßnahmen sein.

      Als kontrete Maßnahmen zur Datensicherheit nennt die DSGVO Pseudonymisierung und Verschlüsselung.

      Umwandlung
      Datenschutz-GrundverordnungAltes BundesdatenschutzgesetzAltes Bayerisches Datenschutzgesetz
      Organisationskontrolle

      Organisationskontrolle

      Auftragskontrolle

      Organisationskontrolle

      Auftragskontrolle

      Vertraulichkeit

      Zutrittskontrolle

      Zugriffskontrolle

      Trennungskontrolle

      Zugangskontrolle und Datenträgerkontrolle

      Benutzerkontrolle und Speicherkontrolle

      Integrität

      Weitergabekontrolle

      Eingabekontrolle

      Transportkontrolle und Übermittlungskontrolle

      Eingabekontrolle

      Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
      Rasche Wiederherstellbarkeit

       

       

       

      Beispiel für eine Einwilligungserklärung

      Ich stimme zu, dass meine Angaben und personenbezogene Daten zum

      !Zweck angeben!

      durch die Hochschule !Name (Impressum verlinkt)! verarbeitet werden

      und !Besonderheiten!

      Ich kann meine Einwilligung, jederzeit für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung gemäß Art. 6 Abs. 1 lit. a DSGVO berührt wird.

      Die vollständigen Datenschutzinformationen finden sie !hier!. Bei Fragen können Sie Sich an !unsere/n Datenschutzbeauftragte/n (Link)! wenden.

      Aktuelles

      Urteil EuGH vom 5. Juni 2018, Rechtssache C210/16

      Urteil und Dokumentation

      Parteien: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH
      Weitere Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

      Mit der Entscheidung des EuGH zur Verantwortlichkeit bei Facebook-Fanseiten stellt die Frage des Umgangs mit den zahlreichen Social Media Angeboten und Plugins wie Google Suche, Google Maps oder OpenStreetMap der Hochschulen erneut.

      Die Entscheidung bedeutet m.E., dass jede Hochschule grundsätzlich für die Datenverarbeitung z.B. auf der Fanseite vollständig Mitverantwortlich ist, und z.B. den Betrofffenen ihre Rechte gewähren muss oder Datenschutzverletzungen melden müsste.

      Aus meiner Sicht sollte im Hinblick auf das Urteil Folgendes unternommen werden:

      • Soweit möglich auf statistische Auswertungen, die Anbieter zur Verfügung stellen zu verzichten und diese zu deaktivieren. Dies Beschränkt den Verantwortungsumfang
      • Datenschutzinformationen zu dem Dienst bereitstellen und wie das Impressum im Profil verlinken.
      • Für Karten oder Suchen wären Alternativen anzubieten (soweit der Anbieter Daten der Nutzenden erhält), um die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sicher zu stellen.

      Hinweis zum Datenschutz

      Mit 'OK' verlassen Sie die Seiten der Universität Würzburg und werden zu Facebook weitergeleitet. Informationen zu den dort erfassten Daten und deren Verarbeitung finden Sie in deren Datenschutzerklärung.

      Hinweis zum Datenschutz

      Mit 'OK' verlassen Sie die Seiten der Universität Würzburg und werden zu Twitter weitergeleitet. Informationen zu den dort erfassten Daten und deren Verarbeitung finden Sie in deren Datenschutzerklärung.

      Kontakt

      Rechenzentrum
      Am Hubland
      97074 Würzburg

      Tel.: +49 931 31-85076
      Fax: +49 931 31-87070
      E-Mail

      Suche Ansprechpartner

      Hubland Süd, Geb. Z8