---- ****====== Die neuen EU-Verordnungen ====== **** ---- ===== Datenschutz vom Mai 2018===== Informationen zur neuen DS-GVO sind {{:intern:DS-GVO.pdf|hier}} zu finden. ===== Urheberrechtsgesetz vom März 2018 ===== Informationen zum neuen Urheberrechtsgesetz sind {{:intern:Urheberrecht.pdf|hier}} zu finden. ===== Datenschutzerklärung für Fotografien und Videoaufnahmen===== Das Informationsblatt zur Datenschutzerklärung für Fotografien und Videoaufnahmen, die im Zusammenhang mit der Tätigkeit in der Arbeitsgruppe Numerik (Prof. Dr. Marlis Hochbruck) stehen, kann {{:intern:2018-10-26_Datenschutzerklärung_Fotos_IANM_DSB.pdf|hier}} nachgelesen werden. ===== Zum Datenschutz ===== Was heißt Datenschutz?
Aufgabe ist,
den Einzelnen davor zu schützen,
dass er durch die
Verarbeitung seiner personenbezogenen Daten
durch öffentliche Stellen
in seinem Persönlichkeitsrecht beeinträchtigt wird.
(§1 LDSG)
Nicht Schutz von Daten an sich,\\ sondern **Schutz der Persönlichkeit** ==== Rechtliche Grundlagen ==== **Automatisierte Datenverarbeitung** erhöht: -> Verfügbarkeit -> Kombinationsmöglichkeiten -> Kontextverlust Kein Datum ist belanglos. **Verarbeitungs**- und **Verknüpfungsmöglichkeiten** der Informationstechnologie können einem für sich gesehen belanglosen Datum einen **neuen Stellenwert** geben. Datenschutz ist Grundrechtschutz **Grunderecht auf freie Entfaltung der Persönlichkeit** umfasst auch das **Grundrecht auf informationelle Selbstbestimmung** Grundregel: **Was nicht ausdrücklich erlaubt ist, ist verboten.** (sog. //Verbot mit Erlaubnisvorbehalt//) Einschränkung des Grundrechts Problem: Wäre Grundrecht auf informationelle Selbstbestimmung schrankenlos gewährleistet, wäre das Gemeinwesen nicht funktionsfähig. **Zwei Möglichkeiten**, in das Grundrecht auf informationelle Selbstbestimmung **in zulässiger Weise einzugreifen**: - **Rechtsvorschrift** - **Einwilligung** des Betroffenen Grundsätze - **Erforderlichkeit** * Daten müssen für Zweck zwingend erforderlich sein) - **Zweckbindung** * Zweck der Verarbeitung vorher festlegen * Daten später nicht für anderen Zweck verwenden - **Datenvermeidung** / **Datensparsamkeit** - **Transparenz** für die Betroffenen Gegenstand datenschutzrechtlicher Regelungen **Personenbezogene Daten** sind Einzelangaben über **persönliche oder sachliche Verhältnisse** einer **bestimmten oder bestimmbaren** natürlichen **Person** (Betroffener). (§3 Abs. 1 LDSG) Beispiele für personenbezogene Daten Name, Adresse, Telefon, Geburtsdatum, Geburtsort, Religion, Mitgliedschaft in Gewerkschaften, Parteien, Vereinen, Krankheiten, Einstellungsdatum, Gehalt, Urlaubszeiten, Evaluationsergebnis, Studienfächer, Fachsemester, Noten, Gutachten Daten einer "bestimmbaren" Person **bestimmbar** = **mit Hilfe von Zusatzwissen identifizierbar** * die **Möglichkeit** einer Zuordnung **reicht aus** * die **ganze Universität** zählt als **eine verantwortliche Stelle** Was heißt Anonymität? LDSG BW: Daten können "nicht mehr oder nur mit einem **unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft** einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden" Gegenstand datenschutzrechtlicher Regelungen Verarbeitung personenbezogener Daten: * Erheben * Speichern * Verändern * Übermitteln * Nutzen * Sperren * Löschen Das KIT unterliegt den datenschutzrechtlichen Regelungen des Landesdatenschutzgesetzes (LDSG). Bundes- und Landesdatenschutzgesetze regeln **allgemeine Fragen** wie z.B. * Begriffsbestimmungen * Anforderungen an eine rechtswirksame Einwilligung * Rechte der Betroffenen (Auskunft, Berichtigung) * technische und organisatorische Maßnahmen beim Einsatz von EDV * Aufgaben und Befugnisse der Aufsichtsbehörde (LfD) ==== Gestaltung von Formularen ==== Erhebung * Erheben ist das **Beschaffen** von Daten * **unabhängig vom Verfahren** * Aushang einer Liste zum Eintragen * Herumgeben einer Liste in der Veranstaltung * Online-Formular * persönliche Nachfrage beim Betroffenen * Nachfrage bei einem Dritten Datenschutz bei (Online-)Formularen - **Zulässigkeit** der Erhebung und Weiterverarbeitung personenbezogener Daten - **Hinweispflichten** bei der Erhebung von Daten mit Formularen - **sichere Übertragung und Speicherung** der erhobenen Daten 1. Zulässigkeit **Rechtsvorschrift** oder **Einwilligung** des Betroffenen Grundsatz der **Erforderlichkeit** (Daten müssen für einen konkreten Zweck **zwingend erforderlich** sein. Rechtsgrundlagen Erhebung von Studierendendaten * Erfüllung der **Aufgaben der Hochschule** (§§13 Abs. 1 und 15 Abs. 1 LDSG) * für bestimmte Aufgaben wie z.B. **Prüfungsanmeldung**: abschließende Regelung, welche Daten erhoben werden dürfen (HDSVO iVm § 12 Abs. 1 LHG) Erhebung von Mitarbeiterdaten * § 36 Abs. 1 LDSG: soweit erforderlich * zur Eingehung, Durchführung, Beendigung oder Abwicklung **Dienst- oder Arbeitsverhältnisses** * oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushats- und kostenrechnerischer Maßnahmen, * insbesondere für **Personalplanung** und **Personaleinsatz** * bereichsspezifische Vorschriften, z.B. Landesbeamtengesetz (LBG), Landesnebentätigkeitsverordnung (LNTVO) Was heißt das für die Gestaltung von Formularen? **Sorgfältige Auswahl der zu erhebenden Daten**! sich Rechenschaft ablegen: Wozu dient das Formular? Welche Daten sind dazu erforderlich? -> für jede einzelne Angabe prüfen 2. Hinweispflichten der Hochschule nach § 14 LDSG BW: * **Verwendungszweck** * etwaige **Übermittlung** und deren Empfänger * **Rechtsvorschrift**, die zur Auskunft verpflichtet, * bzw. Obliegenheit zur Auskunft, sonst Freiwilligkeit der Angaben * **Auskunfts- und Berichtigungsrechte** des Betroffenen Gestaltung der Hinweise Wozu Hinweise? Betroffene sollen **bewußt entscheiden können**, was sie von sich preisgeben Darum * **umfassend** * **verständlich** * **sinnvoll positioniert** (Hinweis __vor__ der Eingabe; Zweck, Folge der Verweigerung, Alternative für Anmeldung; Pflicht bzw. Freiwilligkeit der Angaben; Speicherdauer; Auskunfts-/Berichtigungsrecht) Gilt auch für Papierformulare. 3. Datenschutzrechtliche Übertragung * verschlüsselte Übertragung * personenbezogene Daten dürfen nicht in der URL sichtbar sein Übermittlung Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass * Daten **weitergegeben** werden oder * Daten zur Einsicht / **zum Abruf bereitgehalten** werden unabhängig vom Verfahren Nutzung und Übermittlung Hochschulinterne Weitergaben sind Nutzung. An Dritte ist Übermittlung. Vorsicht: Bei (Papier-) Listen findet eine Übermittlung an Dritte statt, da Einsicht möglich. Lösung: * **Einwilligung** durch **eigenhändigen Eintrag** in die Liste erklären lassen * **Voraussetzungen** * entsprechende Hinweise auf dem Formular * Angebot einer **zweiten Möglichkeit** zur Anmeldung, die **ohne Übermittlung** auskommt ==== Noten und Scheine ==== Übermittlung Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass * Daten **weitergegeben** werden oder * Daten **zur Einsicht / zum Abruf bereitgehalten** werden (unabhängig vom Verfahren) Matrikelnummer = personenbezogenes Datum Veröffentlichung mit Matrikelnummer = Übermittlung personenbezogener Daten In welcher Form dar man Noten bekannt geben? **Abwägung**: Eingriff in Persönlichkeitsrecht <-> Praktikabilität des Verfahrens -> **Institutsaushang** wird grundsätzlich als **zulässig** angesehen -> Veröffnetlichung im **Internet** grundsätzlich **nicht** Probleme der Veröffentlichung im Internet * weltweite **Öffentlichkeit** * **automatisierte** Sammlung / Auswertung * **Profilbildung** möglich => **Veröffentlichung Matrikel + Note** ist nicht das am wenigsten beeinträchtigende Mittel und daher **unzulässig** Zulässige Veröffentlichung im Internet * **passwortgeschützte** Notenabfrage -> verhindert unbefugten Zugriff * **Pseudonym** statt Matrikelnummer -> verhindert Profilbildung grundsätzlich: **SSL-verschlüsselte Übertragung** Nur das, was zwingend erforderlich ist! **Attest** * Gesundheitsdatum * unterliegt besonders strengem Schutz * dem Betroffenen __sowieso bekannt__ **nicht erschienen** * dem Betroffenen __sowieso bekannt__ Veröffentlichung nicht erforderlich -> **Aushang unzulässig** Umgang mit Notenaushängen * nur die Daten, die **erforderlich** sind * **Zeit** für Aushang **kurz** halten * Aushang möglichst **in kontrollierbarem Bereich**, z.B. nah am Büro, im abschließbaren Institutsflur, im Glaskasten o.ä. Anfragen nach Klausurergebnissen * **durch den Studierenden selbst** * wenn nicht persönlich bekannt: Studentenausweis vorlegen lassen * Anfragen per Mail oder Telefon: Problem der Identifizierung * **durch andere (z.B. Kommilitonen, Eltern)** * nur mit Vollmacht! ==== Aufbewahrung und Vernichtung ==== === Aufbewahrung von personenbezogenen Daten === Viele rechtliche Anforderungen ... * Datenvermeidung * Korrekte Daten * Verfügbarkeit (Backup) * Aufbewahrungsfristen- und Löschfristen * Vertraulichkeit Vertraulichkeit = **Nur Befugte** können personenbezogene Daten zur Kenntnis nehmen. **Befugt** ist, wer die Daten zur Erfüllung seiner **dienstlichen Aufgaben zwingend benötigt**. Personenbezogene Daten gehören **grundsätzlich unter Verschluß**! Vertrauliche Aufbewahrung **Unterlagen** in verschlossenem Schrank **Elektronische Daten** * eigenes Konto für jeden Mitarbeiter * Dateizugriffsrechte * ggf. Verschlüsselung * Bildschirmschoner mit Passwort * sichere Passwörter In Büros mit Sprechstunden ... darauf achten, dass **Besucher keine fremden personenbezogenen Daten einsehen** können! Unbefugten Zugriff verhindern! * **Einsicht in Akten und Bildschirm** verhindern * bei kurzer Abwesenheit * **Fremde** nicht im Büro allein lassen * **Tür** abschließen * **Bildschirm** sperren (Passwortschutz) * bei längerer Abwesenheit Daten und Unterlagen **wegschließen** * **Ausdrucke** / **Faxe** sofort holen Das richtige Passwort Die **Vertraulichkeit der Daten** hängt -- neben dem verwendeten **Verschlüsselungsalgorithmus** -- von der **Länge und Zusammensetzung** (Komplexität) **des Passworts** ab. Merkbare Passwörter * Anfangsbuchstaben eines längeren Satzes nehmen * Groß- / Kleinschreibung und Zeichensetzung beibehalten * einige Buchstaben durch Ziffern ersetzen z.B. "Wer nie sein Brot im Bette aß, weiß nicht wie Krümel pieken." wird zu Wns8i8a,wnwKp. Umgang mit Passwörtern für Dokumente * Passwörter grundsätzlich **nicht per E-Mail mitteilen**, * sondern zB. per **Telefon**, **Fax** oder **Brief** * nicht identisch mit Passwörtern für Windows-, Mail-, eBay- und andere eigene Accounts * Praktisch für Einmal-Passwörter, die man sich nicht merken muss: **[[https://www.zendas.de/service/passwort_generator.html|Passwort-Generator]]** Verschlüsselte Speicherung * **sensible** Daten auf **PCs** -> Schutz vor Administrator * Daten auf **mobilen Geräten** * Notebooks * CDs, USB-Sticks u.ä. -> besonders gefährdet durch Diebstahl / Verlust Zugriff auf personenbezogene Daten nur für * **die Mitarbeiter, die damit arbeiten müssen** * eigenes Konto für jeden Mitarbeiter * Dateizugriffsrechte * ggf. gemeinsame Laufwerke * **den Vorgesetzten** oder von ihm **bestimmten Personen** * ständige Vertreter im Amt * Administrator? Strukturierte Ablage erleichtert * **Wiederfinden** * Überblick, der **Zugriff** hat * **Versionen** an einem Platz * Vermeidung von **Kopien** * **Backup** * Einhaltung von **Löschfristen** Grundsatz für die Löschung Personenbezogene Daten sind zu löschen, wenn sie zur **Aufgabenerfüllung nicht mehr erforderlich** sind. (§23 Abs. 1 LDSG) Die Löschung unterbleibt, wenn schutzwürdige Interessen des Betroffenen beeinträchtigt würden. spezialgesetzlich festgelegte Aufbewahrungsfristen -> Personalbereich, Archivgesetz, **Prüfungsordnungen** ... Daten in Akten sind zu löschen, wenn im Einzelfall **die gesamte Akte nicht mehr erforderlich** ist. * **kein selektives Entfernen** aus der Akte * Akten **nach Aufbewahrungsfristen gliedern** Wenn eine Löschung unterbleibt, sidn die Daten als gesperrt zu betrachten. Aufbewahrungsfristen für Prüfungsunterlagen abhängug von * Regelung der Frist in **Prüfungsordnung** * **Organisation des Prüfungswesens** * Aufgabenteilung und Datenfluss: Lehrstuhl <-> Prüfungsamt * Bekanntgabe von Noten / Entscheidungen mit **Rechtsmittelbelehrung** oder ohne wenn keine Regelung in Prüfungsordnung o.ä: § 23 LDSG Speicherung solange * für Aufgabenerfüllung der Hochschule "erfoderlich" * Schutz bei gerichtlicher Anfechtung von Noten / Entscheidungen * im Interesse der Studierenden "geboten" * erneute Ausstellung von Schein / Zeugnis, z.B. für Prüfungsanmeldung, Bewerbung Prüfungsleistungen wenn keine explizite Regelung vorhanden: * bis **1 Jahr nach Ende des Prüfungsverfahrens**: **Widerspruch** gegen Bewerung von Prüfungsleistungen und gegen Entscheidungen des Prüfungsausschusses (Prüfungsordnungen, § 58 Abs. 2 VwGO) * bis **1 Jahr nach Ablauf der Widerspruchsfrist**: auf Antrag "**Wiedereinsetzung in den vorigen Stand**" (§ 32 Abs. 3 VwVfG) * evtl. Ungültigkeit / Abererkennung des Titels bei Täuschung geregelt -> oft bis 5 Jahre nach Ausstellen des Zeugnis möglich (Prüfungsordnung) Aufbwahrung von Prüfungsunterlagen im Fachbereich **mindestens 2 bis evtl. 5 Jahre** Prüfungs__vor__leistungen * Nachweise der Vorleistung an die Studierenden ausgegeben * Schein / Teilnahmebestätigung * Verwaltung der Vorleistungen in Form einer Kartei / Datenbank am Institut * Einwilligung * Voraussetzung zur Prüfungsanmeldung * Praktika / Übungsaufgaben -> **Können nach Bestehen der Prüfung gelöscht werden** * wenn Lehrstuhl keine Rückmeldung über Bestehen der Prüfung bekommt, zur Wahrung des Prüfungsanspruch * -> **max. bis Ende der Regelstudienzeit** * -> **in begründeten Einzelfällen auch länger**