Table of Contents
Die neuen EU-Verordnungen
Datenschutz vom Mai 2018
Informationen zur neuen DS-GVO sind hier zu finden.
Urheberrechtsgesetz vom März 2018
Informationen zum neuen Urheberrechtsgesetz sind hier zu finden.
Datenschutzerklärung für Fotografien und Videoaufnahmen
Das Informationsblatt zur Datenschutzerklärung für Fotografien und Videoaufnahmen, die im Zusammenhang mit der Tätigkeit in der Arbeitsgruppe Numerik (Prof. Dr. Marlis Hochbruck) stehen, kann hier nachgelesen werden.
Zum Datenschutz
Was heißt Datenschutz?
Aufgabe ist, |
den Einzelnen davor zu schützen, |
dass er durch die |
Verarbeitung seiner personenbezogenen Daten |
durch öffentliche Stellen |
in seinem Persönlichkeitsrecht beeinträchtigt wird. |
(§1 LDSG) |
Nicht Schutz von Daten an sich,
sondern Schutz der Persönlichkeit
Rechtliche Grundlagen
Automatisierte Datenverarbeitung erhöht: → Verfügbarkeit → Kombinationsmöglichkeiten → Kontextverlust
Kein Datum ist belanglos. Verarbeitungs- und Verknüpfungsmöglichkeiten der Informationstechnologie können einem für sich gesehen belanglosen Datum einen neuen Stellenwert geben.
Datenschutz ist Grundrechtschutz
Grunderecht auf freie Entfaltung der Persönlichkeit umfasst auch das Grundrecht auf informationelle Selbstbestimmung
Grundregel: Was nicht ausdrücklich erlaubt ist, ist verboten. (sog. Verbot mit Erlaubnisvorbehalt)
Einschränkung des Grundrechts Problem: Wäre Grundrecht auf informationelle Selbstbestimmung schrankenlos gewährleistet, wäre das Gemeinwesen nicht funktionsfähig.
Zwei Möglichkeiten, in das Grundrecht auf informationelle Selbstbestimmung in zulässiger Weise einzugreifen:
- Rechtsvorschrift
- Einwilligung des Betroffenen
Grundsätze
- Erforderlichkeit
- Daten müssen für Zweck zwingend erforderlich sein)
- Zweckbindung
- Zweck der Verarbeitung vorher festlegen
- Daten später nicht für anderen Zweck verwenden
- Datenvermeidung / Datensparsamkeit
- Transparenz für die Betroffenen
Gegenstand datenschutzrechtlicher Regelungen Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (§3 Abs. 1 LDSG)
Beispiele für personenbezogene Daten Name, Adresse, Telefon, Geburtsdatum, Geburtsort, Religion, Mitgliedschaft in Gewerkschaften, Parteien, Vereinen, Krankheiten, Einstellungsdatum, Gehalt, Urlaubszeiten, Evaluationsergebnis, Studienfächer, Fachsemester, Noten, Gutachten
Daten einer “bestimmbaren” Person bestimmbar = mit Hilfe von Zusatzwissen identifizierbar
- die Möglichkeit einer Zuordnung reicht aus
- die ganze Universität zählt als eine verantwortliche Stelle
Was heißt Anonymität? LDSG BW: Daten können “nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden”
Gegenstand datenschutzrechtlicher Regelungen Verarbeitung personenbezogener Daten:
- Erheben
- Speichern
- Verändern
- Übermitteln
- Nutzen
- Sperren
- Löschen
Das KIT unterliegt den datenschutzrechtlichen Regelungen des Landesdatenschutzgesetzes (LDSG).
Bundes- und Landesdatenschutzgesetze regeln allgemeine Fragen wie z.B.
- Begriffsbestimmungen
- Anforderungen an eine rechtswirksame Einwilligung
- Rechte der Betroffenen (Auskunft, Berichtigung)
- technische und organisatorische Maßnahmen beim Einsatz von EDV
- Aufgaben und Befugnisse der Aufsichtsbehörde (LfD)
Gestaltung von Formularen
Erhebung
- Erheben ist das Beschaffen von Daten
- unabhängig vom Verfahren
- Aushang einer Liste zum Eintragen
- Herumgeben einer Liste in der Veranstaltung
- Online-Formular
- persönliche Nachfrage beim Betroffenen
- Nachfrage bei einem Dritten
Datenschutz bei (Online-)Formularen
- Zulässigkeit der Erhebung und Weiterverarbeitung personenbezogener Daten
- Hinweispflichten bei der Erhebung von Daten mit Formularen
- sichere Übertragung und Speicherung der erhobenen Daten
1. Zulässigkeit Rechtsvorschrift oder Einwilligung des Betroffenen Grundsatz der Erforderlichkeit (Daten müssen für einen konkreten Zweck zwingend erforderlich sein.
Rechtsgrundlagen Erhebung von Studierendendaten
- Erfüllung der Aufgaben der Hochschule (§§13 Abs. 1 und 15 Abs. 1 LDSG)
- für bestimmte Aufgaben wie z.B. Prüfungsanmeldung: abschließende Regelung, welche Daten erhoben werden dürfen (HDSVO iVm § 12 Abs. 1 LHG)
Erhebung von Mitarbeiterdaten
- § 36 Abs. 1 LDSG: soweit erforderlich
- zur Eingehung, Durchführung, Beendigung oder Abwicklung Dienst- oder Arbeitsverhältnisses
- oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushats- und kostenrechnerischer Maßnahmen,
- insbesondere für Personalplanung und Personaleinsatz
- bereichsspezifische Vorschriften, z.B. Landesbeamtengesetz (LBG), Landesnebentätigkeitsverordnung (LNTVO)
Was heißt das für die Gestaltung von Formularen? Sorgfältige Auswahl der zu erhebenden Daten! sich Rechenschaft ablegen: Wozu dient das Formular? Welche Daten sind dazu erforderlich? → für jede einzelne Angabe prüfen
2. Hinweispflichten der Hochschule nach § 14 LDSG BW:
- Verwendungszweck
- etwaige Übermittlung und deren Empfänger
- Rechtsvorschrift, die zur Auskunft verpflichtet,
- bzw. Obliegenheit zur Auskunft, sonst Freiwilligkeit der Angaben
- Auskunfts- und Berichtigungsrechte des Betroffenen
Gestaltung der Hinweise
Wozu Hinweise? Betroffene sollen bewußt entscheiden können, was sie von sich preisgeben
Darum
- umfassend
- verständlich
- sinnvoll positioniert
(Hinweis vor der Eingabe; Zweck, Folge der Verweigerung, Alternative für Anmeldung; Pflicht bzw. Freiwilligkeit der Angaben; Speicherdauer; Auskunfts-/Berichtigungsrecht) Gilt auch für Papierformulare.
3. Datenschutzrechtliche Übertragung
- verschlüsselte Übertragung
- personenbezogene Daten dürfen nicht in der URL sichtbar sein
Übermittlung Übermitteln ist das Bekanntgeben personenbezogener Daten an einen Dritten in der Weise, dass
- Daten weitergegeben werden oder
- Daten zur Einsicht / zum Abruf bereitgehalten werden
unabhängig vom Verfahren
Nutzung und Übermittlung Hochschulinterne Weitergaben sind Nutzung. An Dritte ist Übermittlung.
Vorsicht: Bei (Papier-) Listen findet eine Übermittlung an Dritte statt, da Einsicht möglich. Lösung:
- Einwilligung durch eigenhändigen Eintrag in die Liste erklären lassen
- Voraussetzungen
- entsprechende Hinweise auf dem Formular
- Angebot einer zweiten Möglichkeit zur Anmeldung, die ohne Übermittlung auskommt
Noten und Scheine
Übermittlung Übermitteln ist das Bekanntgeben personenbezogener Daten an einen Dritten in der Weise, dass
- Daten weitergegeben werden oder
- Daten zur Einsicht / zum Abruf bereitgehalten werden
(unabhängig vom Verfahren)
Matrikelnummer = personenbezogenes Datum Veröffentlichung mit Matrikelnummer = Übermittlung personenbezogener Daten
In welcher Form dar man Noten bekannt geben? Abwägung: Eingriff in Persönlichkeitsrecht ↔ Praktikabilität des Verfahrens
→ Institutsaushang wird grundsätzlich als zulässig angesehen → Veröffnetlichung im Internet grundsätzlich nicht
Probleme der Veröffentlichung im Internet
- weltweite Öffentlichkeit
- automatisierte Sammlung / Auswertung
- Profilbildung möglich
⇒ Veröffentlichung Matrikel + Note ist nicht das am wenigsten beeinträchtigende Mittel und daher unzulässig
Zulässige Veröffentlichung im Internet
- passwortgeschützte Notenabfrage → verhindert unbefugten Zugriff
- Pseudonym statt Matrikelnummer → verhindert Profilbildung
grundsätzlich: SSL-verschlüsselte Übertragung
Nur das, was zwingend erforderlich ist! Attest
- Gesundheitsdatum
- unterliegt besonders strengem Schutz
- dem Betroffenen sowieso bekannt
nicht erschienen
- dem Betroffenen sowieso bekannt
Veröffentlichung nicht erforderlich → Aushang unzulässig
Umgang mit Notenaushängen
- nur die Daten, die erforderlich sind
- Zeit für Aushang kurz halten
- Aushang möglichst in kontrollierbarem Bereich, z.B. nah am Büro, im abschließbaren Institutsflur, im Glaskasten o.ä.
Anfragen nach Klausurergebnissen
- durch den Studierenden selbst
- wenn nicht persönlich bekannt: Studentenausweis vorlegen lassen
- Anfragen per Mail oder Telefon: Problem der Identifizierung
- durch andere (z.B. Kommilitonen, Eltern)
- nur mit Vollmacht!
Aufbewahrung und Vernichtung
Aufbewahrung von personenbezogenen Daten
Viele rechtliche Anforderungen …
- Datenvermeidung
- Korrekte Daten
- Verfügbarkeit (Backup)
- Aufbewahrungsfristen- und Löschfristen
- Vertraulichkeit
Vertraulichkeit = Nur Befugte können personenbezogene Daten zur Kenntnis nehmen. Befugt ist, wer die Daten zur Erfüllung seiner dienstlichen Aufgaben zwingend benötigt.
Personenbezogene Daten gehören grundsätzlich unter Verschluß!
Vertrauliche Aufbewahrung Unterlagen in verschlossenem Schrank
Elektronische Daten
- eigenes Konto für jeden Mitarbeiter
- Dateizugriffsrechte
- ggf. Verschlüsselung
- Bildschirmschoner mit Passwort
- sichere Passwörter
In Büros mit Sprechstunden … darauf achten, dass Besucher keine fremden personenbezogenen Daten einsehen können!
Unbefugten Zugriff verhindern!
- Einsicht in Akten und Bildschirm verhindern
- bei kurzer Abwesenheit
- Fremde nicht im Büro allein lassen
- Tür abschließen
- Bildschirm sperren (Passwortschutz)
- bei längerer Abwesenheit Daten und Unterlagen wegschließen
- Ausdrucke / Faxe sofort holen
Das richtige Passwort
Die Vertraulichkeit der Daten hängt – neben dem verwendeten Verschlüsselungsalgorithmus – von der Länge und Zusammensetzung (Komplexität) des Passworts ab.
Merkbare Passwörter
- Anfangsbuchstaben eines längeren Satzes nehmen
- Groß- / Kleinschreibung und Zeichensetzung beibehalten
- einige Buchstaben durch Ziffern ersetzen
z.B. “Wer nie sein Brot im Bette aß, weiß nicht wie Krümel pieken.” wird zu Wns8i8a,wnwKp.
Umgang mit Passwörtern für Dokumente
- Passwörter grundsätzlich nicht per E-Mail mitteilen,
- sondern zB. per Telefon, Fax oder Brief
- nicht identisch mit Passwörtern für Windows-, Mail-, eBay- und andere eigene Accounts
- Praktisch für Einmal-Passwörter, die man sich nicht merken muss: Passwort-Generator
Verschlüsselte Speicherung
- sensible Daten auf PCs → Schutz vor Administrator
- Daten auf mobilen Geräten
- Notebooks
- CDs, USB-Sticks u.ä.
→ besonders gefährdet durch Diebstahl / Verlust
Zugriff auf personenbezogene Daten nur für
- die Mitarbeiter, die damit arbeiten müssen
- eigenes Konto für jeden Mitarbeiter
- Dateizugriffsrechte
- ggf. gemeinsame Laufwerke
- den Vorgesetzten oder von ihm bestimmten Personen
- ständige Vertreter im Amt
- Administrator?
Strukturierte Ablage erleichtert
- Wiederfinden
- Überblick, der Zugriff hat
- Versionen an einem Platz
- Vermeidung von Kopien
- Backup
- Einhaltung von Löschfristen
Grundsatz für die Löschung Personenbezogene Daten sind zu löschen, wenn sie zur Aufgabenerfüllung nicht mehr erforderlich sind. (§23 Abs. 1 LDSG)
Die Löschung unterbleibt, wenn schutzwürdige Interessen des Betroffenen beeinträchtigt würden.
spezialgesetzlich festgelegte Aufbewahrungsfristen → Personalbereich, Archivgesetz, Prüfungsordnungen …
Daten in Akten sind zu löschen, wenn im Einzelfall die gesamte Akte nicht mehr erforderlich ist.
- kein selektives Entfernen aus der Akte
- Akten nach Aufbewahrungsfristen gliedern
Wenn eine Löschung unterbleibt, sidn die Daten als gesperrt zu betrachten.
Aufbewahrungsfristen für Prüfungsunterlagen abhängug von
- Regelung der Frist in Prüfungsordnung
- Organisation des Prüfungswesens
- Aufgabenteilung und Datenfluss: Lehrstuhl ↔ Prüfungsamt
- Bekanntgabe von Noten / Entscheidungen mit Rechtsmittelbelehrung oder ohne
wenn keine Regelung in Prüfungsordnung o.ä: § 23 LDSG Speicherung solange
- für Aufgabenerfüllung der Hochschule “erfoderlich”
- Schutz bei gerichtlicher Anfechtung von Noten / Entscheidungen
- im Interesse der Studierenden “geboten”
- erneute Ausstellung von Schein / Zeugnis, z.B. für Prüfungsanmeldung, Bewerbung
Prüfungsleistungen wenn keine explizite Regelung vorhanden:
- bis 1 Jahr nach Ende des Prüfungsverfahrens: Widerspruch gegen Bewerung von Prüfungsleistungen und gegen Entscheidungen des Prüfungsausschusses (Prüfungsordnungen, § 58 Abs. 2 VwGO)
- bis 1 Jahr nach Ablauf der Widerspruchsfrist: auf Antrag “Wiedereinsetzung in den vorigen Stand” (§ 32 Abs. 3 VwVfG)
- evtl. Ungültigkeit / Abererkennung des Titels bei Täuschung geregelt → oft bis 5 Jahre nach Ausstellen des Zeugnis möglich (Prüfungsordnung)
Aufbwahrung von Prüfungsunterlagen im Fachbereich mindestens 2 bis evtl. 5 Jahre
Prüfungsvorleistungen
- Nachweise der Vorleistung an die Studierenden ausgegeben
- Schein / Teilnahmebestätigung
- Verwaltung der Vorleistungen in Form einer Kartei / Datenbank am Institut
- Einwilligung
- Voraussetzung zur Prüfungsanmeldung
- Praktika / Übungsaufgaben → Können nach Bestehen der Prüfung gelöscht werden
- wenn Lehrstuhl keine Rückmeldung über Bestehen der Prüfung bekommt, zur Wahrung des Prüfungsanspruch
- → max. bis Ende der Regelstudienzeit
- → in begründeten Einzelfällen auch länger