----
****====== Die neuen EU-Verordnungen ======
****
----
===== Datenschutz vom Mai 2018=====
Informationen zur neuen DS-GVO sind {{:intern:DS-GVO.pdf|hier}} zu finden.
===== Urheberrechtsgesetz vom März 2018 =====
Informationen zum neuen Urheberrechtsgesetz sind {{:intern:Urheberrecht.pdf|hier}} zu finden.
===== Datenschutzerklärung für Fotografien und Videoaufnahmen=====
Das Informationsblatt zur Datenschutzerklärung für Fotografien und Videoaufnahmen, die im Zusammenhang mit der Tätigkeit in der Arbeitsgruppe Numerik (Prof. Dr. Marlis Hochbruck) stehen, kann {{:intern:2018-10-26_Datenschutzerklärung_Fotos_IANM_DSB.pdf|hier}} nachgelesen werden.
===== Zum Datenschutz =====
Was heißt Datenschutz?
Aufgabe ist, |
den Einzelnen davor zu schützen, |
dass er durch die |
Verarbeitung seiner personenbezogenen Daten |
durch öffentliche Stellen |
in seinem Persönlichkeitsrecht beeinträchtigt wird. |
(§1 LDSG) |
Nicht Schutz von Daten an sich,\\
sondern **Schutz der Persönlichkeit**
==== Rechtliche Grundlagen ====
**Automatisierte Datenverarbeitung** erhöht:
-> Verfügbarkeit
-> Kombinationsmöglichkeiten
-> Kontextverlust
Kein Datum ist belanglos.
**Verarbeitungs**- und **Verknüpfungsmöglichkeiten** der Informationstechnologie können einem für sich gesehen belanglosen Datum einen **neuen Stellenwert** geben.
Datenschutz ist Grundrechtschutz
**Grunderecht auf freie Entfaltung der Persönlichkeit** umfasst auch das **Grundrecht auf informationelle Selbstbestimmung**
Grundregel: **Was nicht ausdrücklich erlaubt ist, ist verboten.**
(sog. //Verbot mit Erlaubnisvorbehalt//)
Einschränkung des Grundrechts
Problem: Wäre Grundrecht auf informationelle Selbstbestimmung schrankenlos gewährleistet, wäre das Gemeinwesen nicht funktionsfähig.
**Zwei Möglichkeiten**, in das Grundrecht auf informationelle Selbstbestimmung **in zulässiger Weise einzugreifen**:
- **Rechtsvorschrift**
- **Einwilligung** des Betroffenen
Grundsätze
- **Erforderlichkeit**
* Daten müssen für Zweck zwingend erforderlich sein)
- **Zweckbindung**
* Zweck der Verarbeitung vorher festlegen
* Daten später nicht für anderen Zweck verwenden
- **Datenvermeidung** / **Datensparsamkeit**
- **Transparenz** für die Betroffenen
Gegenstand datenschutzrechtlicher Regelungen
**Personenbezogene Daten** sind
Einzelangaben
über **persönliche oder sachliche Verhältnisse**
einer **bestimmten oder bestimmbaren**
natürlichen **Person** (Betroffener).
(§3 Abs. 1 LDSG)
Beispiele für personenbezogene Daten
Name, Adresse, Telefon, Geburtsdatum, Geburtsort, Religion, Mitgliedschaft in Gewerkschaften, Parteien, Vereinen, Krankheiten, Einstellungsdatum, Gehalt, Urlaubszeiten, Evaluationsergebnis, Studienfächer, Fachsemester, Noten, Gutachten
Daten einer "bestimmbaren" Person
**bestimmbar** = **mit Hilfe von Zusatzwissen identifizierbar**
* die **Möglichkeit** einer Zuordnung **reicht aus**
* die **ganze Universität** zählt als **eine verantwortliche Stelle**
Was heißt Anonymität?
LDSG BW: Daten können "nicht mehr oder nur mit einem **unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft** einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden"
Gegenstand datenschutzrechtlicher Regelungen
Verarbeitung personenbezogener Daten:
* Erheben
* Speichern
* Verändern
* Übermitteln
* Nutzen
* Sperren
* Löschen
Das KIT unterliegt den datenschutzrechtlichen Regelungen des Landesdatenschutzgesetzes (LDSG).
Bundes- und Landesdatenschutzgesetze regeln **allgemeine Fragen** wie z.B.
* Begriffsbestimmungen
* Anforderungen an eine rechtswirksame Einwilligung
* Rechte der Betroffenen (Auskunft, Berichtigung)
* technische und organisatorische Maßnahmen beim Einsatz von EDV
* Aufgaben und Befugnisse der Aufsichtsbehörde (LfD)
==== Gestaltung von Formularen ====
Erhebung
* Erheben ist das **Beschaffen** von Daten
* **unabhängig vom Verfahren**
* Aushang einer Liste zum Eintragen
* Herumgeben einer Liste in der Veranstaltung
* Online-Formular
* persönliche Nachfrage beim Betroffenen
* Nachfrage bei einem Dritten
Datenschutz bei (Online-)Formularen
- **Zulässigkeit** der Erhebung und Weiterverarbeitung personenbezogener Daten
- **Hinweispflichten** bei der Erhebung von Daten mit Formularen
- **sichere Übertragung und Speicherung** der erhobenen Daten
1. Zulässigkeit
**Rechtsvorschrift** oder **Einwilligung** des Betroffenen
Grundsatz der **Erforderlichkeit** (Daten müssen für einen konkreten Zweck **zwingend erforderlich** sein.
Rechtsgrundlagen
Erhebung von Studierendendaten
* Erfüllung der **Aufgaben der Hochschule** (§§13 Abs. 1 und 15 Abs. 1 LDSG)
* für bestimmte Aufgaben wie z.B. **Prüfungsanmeldung**: abschließende Regelung, welche Daten erhoben werden dürfen (HDSVO iVm § 12 Abs. 1 LHG)
Erhebung von Mitarbeiterdaten
* § 36 Abs. 1 LDSG: soweit erforderlich
* zur Eingehung, Durchführung, Beendigung oder Abwicklung **Dienst- oder Arbeitsverhältnisses**
* oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushats- und kostenrechnerischer Maßnahmen,
* insbesondere für **Personalplanung** und **Personaleinsatz**
* bereichsspezifische Vorschriften, z.B. Landesbeamtengesetz (LBG), Landesnebentätigkeitsverordnung (LNTVO)
Was heißt das für die Gestaltung von Formularen?
**Sorgfältige Auswahl der zu erhebenden Daten**!
sich Rechenschaft ablegen:
Wozu dient das Formular?
Welche Daten sind dazu erforderlich?
-> für jede einzelne Angabe prüfen
2. Hinweispflichten der Hochschule
nach § 14 LDSG BW:
* **Verwendungszweck**
* etwaige **Übermittlung** und deren Empfänger
* **Rechtsvorschrift**, die zur Auskunft verpflichtet,
* bzw. Obliegenheit zur Auskunft, sonst Freiwilligkeit der Angaben
* **Auskunfts- und Berichtigungsrechte** des Betroffenen
Gestaltung der Hinweise
Wozu Hinweise?
Betroffene sollen **bewußt entscheiden können**, was sie von sich preisgeben
Darum
* **umfassend**
* **verständlich**
* **sinnvoll positioniert**
(Hinweis __vor__ der Eingabe; Zweck, Folge der Verweigerung, Alternative für Anmeldung; Pflicht bzw. Freiwilligkeit der Angaben; Speicherdauer; Auskunfts-/Berichtigungsrecht) Gilt auch für Papierformulare.
3. Datenschutzrechtliche Übertragung
* verschlüsselte Übertragung
* personenbezogene Daten dürfen nicht in der URL sichtbar sein
Übermittlung
Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass
* Daten **weitergegeben** werden oder
* Daten zur Einsicht / **zum Abruf bereitgehalten** werden
unabhängig vom Verfahren
Nutzung und Übermittlung
Hochschulinterne Weitergaben sind Nutzung. An Dritte ist Übermittlung.
Vorsicht: Bei (Papier-) Listen findet eine Übermittlung an Dritte statt, da Einsicht möglich.
Lösung:
* **Einwilligung** durch **eigenhändigen Eintrag** in die Liste erklären lassen
* **Voraussetzungen**
* entsprechende Hinweise auf dem Formular
* Angebot einer **zweiten Möglichkeit** zur Anmeldung, die **ohne Übermittlung** auskommt
==== Noten und Scheine ====
Übermittlung
Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass
* Daten **weitergegeben** werden oder
* Daten **zur Einsicht / zum Abruf bereitgehalten** werden
(unabhängig vom Verfahren)
Matrikelnummer = personenbezogenes Datum
Veröffentlichung mit Matrikelnummer = Übermittlung personenbezogener Daten
In welcher Form dar man Noten bekannt geben?
**Abwägung**: Eingriff in Persönlichkeitsrecht <-> Praktikabilität des Verfahrens
-> **Institutsaushang** wird grundsätzlich als **zulässig** angesehen
-> Veröffnetlichung im **Internet** grundsätzlich **nicht**
Probleme der Veröffentlichung im Internet
* weltweite **Öffentlichkeit**
* **automatisierte** Sammlung / Auswertung
* **Profilbildung** möglich
=> **Veröffentlichung Matrikel + Note** ist nicht das am wenigsten beeinträchtigende Mittel und daher **unzulässig**
Zulässige Veröffentlichung im Internet
* **passwortgeschützte** Notenabfrage -> verhindert unbefugten Zugriff
* **Pseudonym** statt Matrikelnummer -> verhindert Profilbildung
grundsätzlich: **SSL-verschlüsselte Übertragung**
Nur das, was zwingend erforderlich ist!
**Attest**
* Gesundheitsdatum
* unterliegt besonders strengem Schutz
* dem Betroffenen __sowieso bekannt__
**nicht erschienen**
* dem Betroffenen __sowieso bekannt__
Veröffentlichung nicht erforderlich -> **Aushang unzulässig**
Umgang mit Notenaushängen
* nur die Daten, die **erforderlich** sind
* **Zeit** für Aushang **kurz** halten
* Aushang möglichst **in kontrollierbarem Bereich**, z.B. nah am Büro, im abschließbaren Institutsflur, im Glaskasten o.ä.
Anfragen nach Klausurergebnissen
* **durch den Studierenden selbst**
* wenn nicht persönlich bekannt: Studentenausweis vorlegen lassen
* Anfragen per Mail oder Telefon: Problem der Identifizierung
* **durch andere (z.B. Kommilitonen, Eltern)**
* nur mit Vollmacht!
==== Aufbewahrung und Vernichtung ====
=== Aufbewahrung von personenbezogenen Daten ===
Viele rechtliche Anforderungen ...
* Datenvermeidung
* Korrekte Daten
* Verfügbarkeit (Backup)
* Aufbewahrungsfristen- und Löschfristen
* Vertraulichkeit
Vertraulichkeit = **Nur Befugte** können personenbezogene Daten zur Kenntnis nehmen.
**Befugt** ist, wer die Daten zur Erfüllung seiner **dienstlichen Aufgaben zwingend benötigt**.
Personenbezogene Daten gehören **grundsätzlich unter Verschluß**!
Vertrauliche Aufbewahrung
**Unterlagen** in verschlossenem Schrank
**Elektronische Daten**
* eigenes Konto für jeden Mitarbeiter
* Dateizugriffsrechte
* ggf. Verschlüsselung
* Bildschirmschoner mit Passwort
* sichere Passwörter
In Büros mit Sprechstunden
... darauf achten, dass **Besucher keine fremden personenbezogenen Daten einsehen** können!
Unbefugten Zugriff verhindern!
* **Einsicht in Akten und Bildschirm** verhindern
* bei kurzer Abwesenheit
* **Fremde** nicht im Büro allein lassen
* **Tür** abschließen
* **Bildschirm** sperren (Passwortschutz)
* bei längerer Abwesenheit Daten und Unterlagen **wegschließen**
* **Ausdrucke** / **Faxe** sofort holen
Das richtige Passwort
Die **Vertraulichkeit der Daten** hängt -- neben dem verwendeten **Verschlüsselungsalgorithmus** --
von der **Länge und Zusammensetzung** (Komplexität) **des Passworts** ab.
Merkbare Passwörter
* Anfangsbuchstaben eines längeren Satzes nehmen
* Groß- / Kleinschreibung und Zeichensetzung beibehalten
* einige Buchstaben durch Ziffern ersetzen
z.B. "Wer nie sein Brot im Bette aß, weiß nicht wie Krümel pieken."
wird zu Wns8i8a,wnwKp.
Umgang mit Passwörtern für Dokumente
* Passwörter grundsätzlich **nicht per E-Mail mitteilen**,
* sondern zB. per **Telefon**, **Fax** oder **Brief**
* nicht identisch mit Passwörtern für Windows-, Mail-, eBay- und andere eigene Accounts
* Praktisch für Einmal-Passwörter, die man sich nicht merken muss: **[[https://www.zendas.de/service/passwort_generator.html|Passwort-Generator]]**
Verschlüsselte Speicherung
* **sensible** Daten auf **PCs** -> Schutz vor Administrator
* Daten auf **mobilen Geräten**
* Notebooks
* CDs, USB-Sticks u.ä.
-> besonders gefährdet durch Diebstahl / Verlust
Zugriff auf personenbezogene Daten
nur für
* **die Mitarbeiter, die damit arbeiten müssen**
* eigenes Konto für jeden Mitarbeiter
* Dateizugriffsrechte
* ggf. gemeinsame Laufwerke
* **den Vorgesetzten** oder von ihm **bestimmten Personen**
* ständige Vertreter im Amt
* Administrator?
Strukturierte Ablage
erleichtert
* **Wiederfinden**
* Überblick, der **Zugriff** hat
* **Versionen** an einem Platz
* Vermeidung von **Kopien**
* **Backup**
* Einhaltung von **Löschfristen**
Grundsatz für die Löschung
Personenbezogene Daten sind zu löschen, wenn sie zur **Aufgabenerfüllung nicht mehr erforderlich** sind. (§23 Abs. 1 LDSG)
Die Löschung unterbleibt, wenn schutzwürdige Interessen des Betroffenen beeinträchtigt würden.
spezialgesetzlich festgelegte Aufbewahrungsfristen -> Personalbereich, Archivgesetz, **Prüfungsordnungen** ...
Daten in Akten
sind zu löschen, wenn im Einzelfall **die gesamte Akte nicht mehr erforderlich** ist.
* **kein selektives Entfernen** aus der Akte
* Akten **nach Aufbewahrungsfristen gliedern**
Wenn eine Löschung unterbleibt, sidn die Daten als gesperrt zu betrachten.
Aufbewahrungsfristen für Prüfungsunterlagen
abhängug von
* Regelung der Frist in **Prüfungsordnung**
* **Organisation des Prüfungswesens**
* Aufgabenteilung und Datenfluss: Lehrstuhl <-> Prüfungsamt
* Bekanntgabe von Noten / Entscheidungen mit **Rechtsmittelbelehrung** oder ohne
wenn keine Regelung in Prüfungsordnung o.ä: § 23 LDSG
Speicherung solange
* für Aufgabenerfüllung der Hochschule "erfoderlich"
* Schutz bei gerichtlicher Anfechtung von Noten / Entscheidungen
* im Interesse der Studierenden "geboten"
* erneute Ausstellung von Schein / Zeugnis, z.B. für Prüfungsanmeldung, Bewerbung
Prüfungsleistungen
wenn keine explizite Regelung vorhanden:
* bis **1 Jahr nach Ende des Prüfungsverfahrens**: **Widerspruch** gegen Bewerung von Prüfungsleistungen und gegen Entscheidungen des Prüfungsausschusses (Prüfungsordnungen, § 58 Abs. 2 VwGO)
* bis **1 Jahr nach Ablauf der Widerspruchsfrist**: auf Antrag "**Wiedereinsetzung in den vorigen Stand**" (§ 32 Abs. 3 VwVfG)
* evtl. Ungültigkeit / Abererkennung des Titels bei Täuschung geregelt -> oft bis 5 Jahre nach Ausstellen des Zeugnis möglich (Prüfungsordnung)
Aufbwahrung von Prüfungsunterlagen im Fachbereich **mindestens 2 bis evtl. 5 Jahre**
Prüfungs__vor__leistungen
* Nachweise der Vorleistung an die Studierenden ausgegeben
* Schein / Teilnahmebestätigung
* Verwaltung der Vorleistungen in Form einer Kartei / Datenbank am Institut
* Einwilligung
* Voraussetzung zur Prüfungsanmeldung
* Praktika / Übungsaufgaben -> **Können nach Bestehen der Prüfung gelöscht werden**
* wenn Lehrstuhl keine Rückmeldung über Bestehen der Prüfung bekommt, zur Wahrung des Prüfungsanspruch
* -> **max. bis Ende der Regelstudienzeit**
* -> **in begründeten Einzelfällen auch länger**