piwik-script

Deutsch Intern
    Information Technology Centre

    Aktuelles

    Urteil EuGH vom 5. Juni 2018, Rechtssache C210/16

     

    Urteil und Dokumentation

    Parteien: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH
    Weitere Beteiligte: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

    Mit der Entscheidung des EuGH zur Verantwortlichkeit bei Facebook-Fanseiten stellt die Frage des Umgangs mit den zahlreichen Social Media Angeboten und Plugins wie Google Suche, Google Maps oder OpenStreetMap der Hochschulen erneut.

    Die Entscheidung bedeutet m.E., dass jede Hochschule grundsätzlich für die Datenverarbeitung z.B. auf der Fanseite vollständig Mitverantwortlich ist, und z.B. den Betrofffenen ihre Rechte gewähren muss oder Datenschutzverletzungen melden müsste.

    Aus meiner Sicht sollte im Hinblick auf das Urteil Folgendes unternommen werden:

    • Soweit möglich auf statistische Auswertungen, die Anbieter zur Verfügung stellen zu verzichten und diese zu deaktivieren. Dies Beschränkt den Verantwortungsumfang
    • Datenschutzinformationen zu dem Dienst bereitstellen und wie das Impressum im Profil verlinken.
    • Für Karten oder Suchen wären Alternativen anzubieten (soweit der Anbieter Daten der Nutzenden erhält), um die Freiwilligkeit einer Einwilligung in die Datenverarbeitung sicher zu stellen.

    Webinar-Reihe

    Webinar-Reihe Datenschutz an Hochschulen

    Wie wird die Datenschutzreform ein Gewinn für die Hochschule, was sind die Schritte zur Umsetzung.

    Die Webinarreihe gibt den Hochschulen Orientierung.

     

    Webinare-Reihe Datenschutz an Hochschulen
    TerminZielgruppeThemenFolien und Aufzeichnung
    13. April 2018
    11 Uhr
    Ebene strategische Entscheidungen

    Was galt bisher, was kommt neues?
    Auswahl von Dienstleistern
    Welche Dokumentationspflichten bestehen?
    Welche Prozesse und Meldewege sind zu etablieren?

    Folien

    Aufzeichnung auf Anfrage

    17. April 2018
    11 Uhr
    Ebene technische Entscheidungen

    Datenschutzrechtliche Grundanforderungen an technische Lösungen
    Verhinderung von Datenschutzvorfällen
    Umsetzung der Datensicherheit
    Leichtgewichtiges Datenschutzmanagement

    Folien

    Aufzeichnung auf Anfrage

    20. April 2018
    14 Uhr
    Ebene ForschungRechtmäßige Datenverarbeitung
    Forschungsprivilegien und -pflichten
    Kooperationen
    Informationspflichten
    Dokumentation

    Folien

    Neue Aufzeichnung demnächst

    04. Mai 2018
    11 Uhr
    Ebene Datenschutz am ArbeitsplatzNutzung von Diensten außerhalb der Hochschul-IT Umgang mit Passwörtern
    Mobile Geräte und Datenträger
    Mein Schreibtisch, mein Schrank, mein Büro Austausch von Kontaktinformationen

    Folien

    Aufzeichnung als Audio verfügbar

     

     

    Sünden und Gebote im Datenschutz

    Der Datenschutz wurde mit der Datenschutz-Grundverordnung refomiert. 

    Einige Sünden gegen den Datenschutz

      1. Glauben IP-Adressen, Hardware-Adressen oder Cookies seien keine personenbezogenen Daten!
      2. Verarbeitung personenbezogener Daten, ohne eine Aufgabe dafür zu haben!
      3. Personenbezogene Daten ohne Grund Dritten zu übermitteln oder Einsicht in diese gewähren!
      4. Bei einer direkten Datenerhebung Betroffene nicht über die Verarbeitung zu informieren!
      5. Die eigenen regelmäßigen Datenverarbeitung nicht zu dokumentieren!
      6. Keine angemessen Schutzmaßnahmen für personenbezogene Daten treffen!
      7. Datenschutzvorfälle verschweigen!

      Einige Gebote des Datenschutzes

      1. Personenbezogene Daten verschlüsseln, soweit es der Einsatzzweck erlaubt!
      2. Kritisch prüfen, welche personenbezogene Daten wirklich zur Verarbeitung benötigt!
      3. Informieren Sie verständlich und transparent!
      4. Lassen Sie sich bei Fragen von Ihren Datenschutzbeauftragten beraten!
      5. Befassen Sie sich ausführlich mit den Risiken Ihre Verarbeitungsprozesse!
      6. Gestalten Sie Ihre Prozesse von Anfang an mit Datenschutz aus!
      7. Geben Sie sich eine Datenschutzgeschäftsordnung oder ein Datenschutzkonzept!

       

      Vorschläge zur Umsetzung

      Ein Kochbuch für alle gibt es nicht, denn Datenschutz wie auch Informationssicherheit muss nicht nur in Papier dokumentiert sein, sondern auch gelebt werden.

      Aus der Beratungserfahrung stellt die Stabsstelle bewährte Schritte vor.

      Dienste und Leistungen mit höchster Priorität für Datenschutzkonformität

      Einschreibungsprozess

      • Datenschutzinformation
      • Immatrikulationssatzungen

      Einstellungsprozess

      • Datenschutzinformation
      • Umgang mit E-Mail-Bewerbungen
      • Verpflichtung auf Vertraulichkeit und das Datenschutzgeheimnis

      Portale wie Intranet oder Lernplattformen

      • Datenschutzinformation
      • Datenschutzfreundliche Voreinstellungen
      • Sicherheit

      Webauftritt

      • Aktualisierung der Datenschutzerklärung
      • Datenschutzfreundliche Suche
      • Defensive Veröffentlichung von Beschäftigtendaten
      • SocialMedia-Richtlinien
      • Verschlüsselung
      • Webseitenanalysen prüfen
      • Zwei-Klick-Lösung für Socialmedia-Plugins
      Hochschulleitung

      Bereitstellen von ausreichenden Ressourcen zur Umsetzung der Datensicherheit, insbesondere Serverräume

      Ergreifen organisatorischer Maßnahmen

      • Datenschutzgeschäftsordnung
      • Hausordnungen
      • Notfallpläne  
      • Vertragsmanagement  
      • Zentrales umfassendes Hard- und Software-Assetmanagement

      Einsetzen eines Gremiums zur Begleitung der Umsetzung

      Gewähren von ausreichenden Ressourcen und Kompetenzen für den Datenschutzbeauftragten

      Meldung des Datenschutzbeauftragten an die zuständige Aufsicht

      Organisations- und Letztverantwortung für die Einhaltung des Datenschutzes

      Prozessetablierung für die Gewährung von Betroffenenrechte  

      Prozessetablierung für die Meldung von Datenschutzvorfällen

      Datenschutzbeauftragte

      Organisieren und ggf. Abhalten von Schulungen und Sensibilisierungsmaßnahmen

      Beratung in allen Fragen des Datenschutzes für Mitglieder und Lehrbeauftragte der Universität wie auch Betroffene

      Beurteilung der Datenschutzrisiken und gewählten Abhilfemaßnahmen

      Stellungnahmen zu Verträgen zu Auftragsverarbeitungen, Verarbeitungstätigkeiten und Datenschutz-Folgeabschätzungen

      "Überwachen"/besser wohl Begleiten (engl. to monitor sth.) der Einhaltung des Datenschutzes

      Zusammenarbeit mit der Aufsichtsbehörde

      Nicht:

      • Erstellen der Verzeichnisse für die Verarbeitungstätigkeiten
      • Vornahme von Datenschutzfolgeabschätzungen
      Leitungen von Einrichtungen und Dekane

      Einfordern der Umsetzung des Datenschutzes bei der Hochschulleitung

      (Bei Bedarf) Einsetzen eines Gremiums zur Begleitung der Umsetzung in ihrem Bereich

      Organisations- und Letztverantwortung für Ihren Bereich hinsichtlich der Einhaltung des Datenschutzes  

      Prozesseinführung für die Meldung von Datenschutzvorfällen der Einrichtung vorgeben bzw. umsetzen

      Prozesseinführung für die Gewährung von Betroffenenrechte der Einrichtung vorgeben bzw. umsetzen

      Fach(anwendungs)-Verantwortliche

      Anwendungen auf Konformität mit Datenschutz prüfen

      Bereitstellen von Informationen und Daten für Betroffene

      Dokumentation der Verarbeitungstätigkeiten in einem Verzeichnis

      Einbeziehen von Datenschutzbeauftragten und Personalrat

      Umsetzung der Datensicherheit

      Für alle Mitglieder der Universität

      Clean-Desk

      • Abgeschlossenes Büro
      • Aufgeräumter Schreibtisch
      • Ausschalten des PCs nach Feierabend
      • Beim kurzen Verlassen des Büros Bildschirmsperre aktiveren
      • Nach Gebrauch Unterlagen mit personenbezogenen Daten wegsperren

      Datenschutzkonforme Entsorgung von Papier und Datenträgern

      Datenschutzvorfälle mindestens dem Vorgesetzten melden

      Einhalten der goldenen Regeln zur IT-Sicherheit

      Erlaubnis vor dem Einsatz neuer Dienste einholen (Vorgesetzte, Datenschutzbeauftragte, Einkauf, Personalräte)

      IT-Sicherheitsvorfälle dem Systemverantwortlichen und dem IT-Support des Rechenzentrums melden

      Vertragspartner

      Gewährleistung der Datenschutzgrundsätze, insbesondere nur erforderliche personenbezogene Daten zu erheben und Datenminimierung

      Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes verarbeitet werden

      Datenschutzgarantien, wenn Daten durch eine verantwortliche Stelle mit Sitz außerhalb des europäischen Wirtschaftsraumes gespeichert werden

      Auftragsvereinbarung, die mindestens den gesetzlichen Anforderungen erfüllen