DS-GVO
Erwähnenswertes
Inzwischen können Inhalte einiger der großen sozialen Netzwerke auch über Alternativen mit einem datenschutzfreundlicheren Design betrachtet werden.
- Invidous YouTube
- Nitter statt Twitter
- Bibliogram stat Instagram
Für die Browser Chrome und Edge on Chromium sowie Firefox werden auch Plugins angeboten, die Links automatisch auf diese Dienste umlenken.
Viele weitere wertvolle Tipps finden Sie auch im Privacy-Handbuch.
Parteien: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH
Weitere Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
Mit der Entscheidung des EuGH zur Verantwortlichkeit bei Facebook-Fanseiten stellt die Frage des Umgangs mit den zahlreichen Social Media Angeboten und Plugins wie Google Suche, Google Maps oder OpenStreetMap der Hochschulen erneut.
Die Entscheidung bedeutet m.E., dass jede Hochschule grundsätzlich für die Datenverarbeitung z.B. auf der Fanseite vollständig Mitverantwortlich ist, und z.B. den Betrofffenen ihre Rechte gewähren muss oder Datenschutzverletzungen melden müsste.
Aus meiner Sicht sollte im Hinblick auf das Urteil Folgendes unternommen werden:
- Soweit möglich auf statistische Auswertungen, die Anbieter zur Verfügung stellen zu verzichten und diese zu deaktivieren. Dies Beschränkt den Verantwortungsumfang
- Datenschutzinformationen zu dem Dienst bereitstellen und wie das Impressum im Profil verlinken.
- Für Karten oder Suchen wären Alternativen anzubieten (soweit der Anbieter Daten der Nutzenden erhält), um die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sicher zu stellen.
Webinar-Reihe
Wie wird die Datenschutzreform ein Gewinn für die Hochschule, was sind die Schritte zur Umsetzung.
Die Webinarreihe gibt den Hochschulen Orientierung.
| Termin | Zielgruppe | Themen | Folien und Aufzeichnung |
|---|---|---|---|
| 13. April 2018 11 Uhr | Ebene strategische Entscheidungen | Was galt bisher, was kommt neues? | Aufzeichnung auf Anfrage |
| 17. April 2018 11 Uhr | Ebene technische Entscheidungen | Datenschutzrechtliche Grundanforderungen an technische Lösungen |
Aufzeichnung auf Anfrage |
| 20. April 2018 14 Uhr | Ebene Forschung | Rechtmäßige Datenverarbeitung Forschungsprivilegien und -pflichten Kooperationen Informationspflichten Dokumentation | Neue Aufzeichnung demnächst |
| 04. Mai 2018 11 Uhr | Ebene Datenschutz am Arbeitsplatz | Nutzung von Diensten außerhalb der Hochschul-IT Umgang mit Passwörtern Mobile Geräte und Datenträger Mein Schreibtisch, mein Schrank, mein Büro Austausch von Kontaktinformationen |
Sünden und Gebote im Datenschutz
Der Datenschutz wurde mit der Datenschutz-Grundverordnung refomiert.
Einige Sünden gegen den Datenschutz
- Glauben IP-Adressen, Hardware-Adressen oder Cookies seien keine personenbezogenen Daten!
- Verarbeitung personenbezogener Daten, ohne eine Aufgabe dafür zu haben!
- Personenbezogene Daten ohne Grund Dritten zu übermitteln oder Einsicht in diese gewähren!
- Bei einer direkten Datenerhebung Betroffene nicht über die Verarbeitung zu informieren!
- Die eigenen regelmäßigen Datenverarbeitung nicht zu dokumentieren!
- Keine angemessen Schutzmaßnahmen für personenbezogene Daten treffen!
- Datenschutzvorfälle verschweigen!
Einige Gebote des Datenschutzes
- Personenbezogene Daten verschlüsseln, soweit es der Einsatzzweck erlaubt!
- Kritisch prüfen, welche personenbezogene Daten wirklich zur Verarbeitung benötigt!
- Informieren Sie verständlich und transparent!
- Lassen Sie sich bei Fragen von Ihren Datenschutzbeauftragten beraten!
- Befassen Sie sich ausführlich mit den Risiken Ihre Verarbeitungsprozesse!
- Gestalten Sie Ihre Prozesse von Anfang an mit Datenschutz aus!
- Geben Sie sich eine Datenschutzgeschäftsordnung oder ein Datenschutzkonzept!
Ein Kochbuch für alle gibt es nicht, denn Datenschutz wie auch Informationssicherheit muss nicht nur in Papier dokumentiert sein, sondern auch gelebt werden.
Aus der Beratungserfahrung stellt die Stabsstelle bewährte Schritte vor.
Einschreibungsprozess
- Datenschutzinformation
- Immatrikulationssatzungen
Einstellungsprozess
- Datenschutzinformation
- Umgang mit E-Mail-Bewerbungen
- Verpflichtung auf Vertraulichkeit und das Datenschutzgeheimnis
Portale wie Intranet oder Lernplattformen
- Datenschutzinformation
- Datenschutzfreundliche Voreinstellungen
- Sicherheit
Webauftritt
- Aktualisierung der Datenschutzerklärung
- Datenschutzfreundliche Suche
- Defensive Veröffentlichung von Beschäftigtendaten
- SocialMedia-Richtlinien
- Verschlüsselung
- Webseitenanalysen prüfen
- Zwei-Klick-Lösung für Socialmedia-Plugins
Bereitstellen von ausreichenden Ressourcen zur Umsetzung der Datensicherheit, insbesondere Serverräume
Ergreifen organisatorischer Maßnahmen
- Datenschutzgeschäftsordnung
- Hausordnungen
- Notfallpläne
- Vertragsmanagement
- Zentrales umfassendes Hard- und Software-Assetmanagement
Einsetzen eines Gremiums zur Begleitung der Umsetzung
Gewähren von ausreichenden Ressourcen und Kompetenzen für den Datenschutzbeauftragten
Meldung des Datenschutzbeauftragten an die zuständige Aufsicht
Organisations- und Letztverantwortung für die Einhaltung des Datenschutzes
Prozessetablierung für die Gewährung von Betroffenenrechte
Prozessetablierung für die Meldung von Datenschutzvorfällen
Organisieren und ggf. Abhalten von Schulungen und Sensibilisierungsmaßnahmen
Beratung in allen Fragen des Datenschutzes für Mitglieder und Lehrbeauftragte der Universität wie auch Betroffene
Beurteilung der Datenschutzrisiken und gewählten Abhilfemaßnahmen
Stellungnahmen zu Verträgen zu Auftragsverarbeitungen, Verarbeitungstätigkeiten und Datenschutz-Folgeabschätzungen
"Überwachen"/besser wohl Begleiten (engl. to monitor sth.) der Einhaltung des Datenschutzes
Zusammenarbeit mit der Aufsichtsbehörde
Nicht:
- Erstellen der Verzeichnisse für die Verarbeitungstätigkeiten
- Vornahme von Datenschutzfolgeabschätzungen
Einfordern der Umsetzung des Datenschutzes bei der Hochschulleitung
(Bei Bedarf) Einsetzen eines Gremiums zur Begleitung der Umsetzung in ihrem Bereich
Organisations- und Letztverantwortung für Ihren Bereich hinsichtlich der Einhaltung des Datenschutzes
Prozesseinführung für die Meldung von Datenschutzvorfällen der Einrichtung vorgeben bzw. umsetzen
Prozesseinführung für die Gewährung von Betroffenenrechte der Einrichtung vorgeben bzw. umsetzen
Anwendungen auf Konformität mit Datenschutz prüfen
Bereitstellen von Informationen und Daten für Betroffene
Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis
Einbeziehen von Datenschutzbeauftragten und Personalrat
Umsetzung der Datensicherheit
Clean-Desk
- Abgeschlossenes Büro
- Aufgeräumter Schreibtisch
- Ausschalten des PCs nach Feierabend
- Beim kurzen Verlassen des Büros Bildschirmsperre aktiveren
- Nach Gebrauch Unterlagen mit personenbezogenen Daten wegsperren
Datenschutzkonforme Entsorgung von Papier und Datenträgern
Datenschutzvorfälle mindestens dem Vorgesetzten melden
Einhalten der goldenen Regeln zur IT-Sicherheit
Erlaubnis vor dem Einsatz neuer Dienste einholen (Vorgesetzte, Datenschutzbeauftragte, Einkauf, Personalräte)
IT-Sicherheitsvorfälle dem Systemverantwortlichen und dem IT-Support des Rechenzentrums melden
Gewährleistung der Datenschutzgrundsätze, insbesondere nur erforderliche personenbezogene Daten zu erheben und Datenminimierung
Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes verarbeitet werden
Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes gespeichert werden
Auftragsvereinbarung, die mindestens den gesetzlichen Anforderungen erfüllen
