Differences

This shows you the differences between two versions of the page.

--- public:datenschutz [2013/03/20 15:15] – [Rechtliche Grundlagen] knieling
+++ public:datenschutz [2018/11/19 08:39] (current) – tf4665
@@ Line 1: / Line 1: @@
 ----
-**Befindet sich gerade im Aufbau.**
+****====== Die neuen EU-Verordnungen   ======
+****
 ----
-====== Datenschutz ======
+===== Datenschutz vom Mai 2018=====
+Informationen zur neuen DS-GVO sind {{:intern:DS-GVO.pdf|hier}} zu finden.
+===== Urheberrechtsgesetz vom März 2018 =====
+Informationen zum neuen Urheberrechtsgesetz sind {{:intern:Urheberrecht.pdf|hier}} zu finden.
+===== Datenschutzerklärung für Fotografien und Videoaufnahmen=====
+Das Informationsblatt zur Datenschutzerklärung für Fotografien und Videoaufnahmen, die im Zusammenhang mit der Tätigkeit in der Arbeitsgruppe Numerik (Prof. Dr. Marlis Hochbruck) stehen, kann {{:intern:2018-10-26_Datenschutzerklärung_Fotos_IANM_DSB.pdf|hier}} nachgelesen werden.
+===== Zum Datenschutz =====
 Was heißt Datenschutz?
@@ Line 25: / Line 37: @@
 sondern **Schutz der Persönlichkeit**
-===== Rechtliche Grundlagen =====
+==== Rechtliche Grundlagen ====
 **Automatisierte Datenverarbeitung** erhöht:
@@ Line 96: / Line 108: @@
   * technische und organisatorische Maßnahmen beim Einsatz von EDV
   * Aufgaben und Befugnisse der Aufsichtsbehörde (LfD)
-  *
+==== Gestaltung von Formularen ====
+Erhebung
+  * Erheben ist das **Beschaffen** von Daten
+  * **unabhängig vom Verfahren**
+    * Aushang einer Liste zum Eintragen
+    * Herumgeben einer Liste in der Veranstaltung
+    * Online-Formular
+    * persönliche Nachfrage beim Betroffenen
+    * Nachfrage bei einem Dritten
+Datenschutz bei (Online-)Formularen
+  - **Zulässigkeit** der Erhebung und Weiterverarbeitung personenbezogener Daten
+  - **Hinweispflichten** bei der Erhebung von Daten mit Formularen
+  - **sichere Übertragung und Speicherung** der erhobenen Daten
+. Zulässigkeit
+**Rechtsvorschrift** oder **Einwilligung** des Betroffenen
+Grundsatz der **Erforderlichkeit** (Daten müssen für einen konkreten Zweck **zwingend erforderlich** sein.
+Rechtsgrundlagen
+Erhebung von Studierendendaten
+  * Erfüllung der **Aufgaben der Hochschule** (§§13 Abs. 1 und 15 Abs. 1 LDSG)
+  * für bestimmte Aufgaben wie z.B. **Prüfungsanmeldung**: abschließende Regelung, welche Daten erhoben werden dürfen (HDSVO iVm § 12 Abs. 1 LHG)
+Erhebung von Mitarbeiterdaten
+  * § 36 Abs. 1 LDSG: soweit erforderlich
+    * zur Eingehung, Durchführung, Beendigung oder Abwicklung **Dienst- oder Arbeitsverhältnisses**
+    * oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushats- und kostenrechnerischer Maßnahmen,
+    * insbesondere für **Personalplanung** und **Personaleinsatz**
+  * bereichsspezifische Vorschriften, z.B. Landesbeamtengesetz (LBG), Landesnebentätigkeitsverordnung (LNTVO)
+Was heißt das für die Gestaltung von Formularen?
+**Sorgfältige Auswahl der zu erhebenden Daten**!
+sich Rechenschaft ablegen:
+Wozu dient das Formular?
+Welche Daten sind dazu erforderlich?
+-> für jede einzelne Angabe prüfen
+. Hinweispflichten der Hochschule
+nach § 14 LDSG BW:
+  * **Verwendungszweck**
+  * etwaige **Übermittlung** und deren Empfänger
+  * **Rechtsvorschrift**, die zur Auskunft verpflichtet,
+  * bzw. Obliegenheit zur Auskunft, sonst Freiwilligkeit der Angaben
+  * **Auskunfts- und Berichtigungsrechte** des Betroffenen
+Gestaltung der Hinweise
+Wozu Hinweise?
+Betroffene sollen **bewußt entscheiden können**, was sie von sich preisgeben
+Darum
+  * **umfassend**
+  * **verständlich**
+  * **sinnvoll positioniert**
+(Hinweis __vor__ der Eingabe; Zweck, Folge der Verweigerung, Alternative für Anmeldung; Pflicht bzw. Freiwilligkeit der Angaben; Speicherdauer; Auskunfts-/Berichtigungsrecht) Gilt auch für Papierformulare.
+. Datenschutzrechtliche Übertragung
+  * verschlüsselte Übertragung
+  * personenbezogene Daten dürfen nicht in der URL sichtbar sein
+Übermittlung
+Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass
+  * Daten **weitergegeben** werden oder
+  * Daten zur Einsicht / **zum Abruf bereitgehalten** werden
+unabhängig vom Verfahren
+Nutzung und Übermittlung
+Hochschulinterne Weitergaben sind Nutzung. An Dritte ist Übermittlung.
+Vorsicht: Bei (Papier-) Listen findet eine Übermittlung an Dritte statt, da Einsicht möglich.
+Lösung:
+  * **Einwilligung** durch **eigenhändigen Eintrag** in die Liste erklären lassen
+  * **Voraussetzungen**
+    *  entsprechende Hinweise auf dem Formular
+    * Angebot einer **zweiten Möglichkeit** zur Anmeldung, die **ohne Übermittlung** auskommt
+==== Noten und Scheine ====
+Übermittlung
+Übermitteln ist das **Bekanntgeben personenbezogener Daten an einen Dritten** in der Weise, dass
+  * Daten **weitergegeben** werden oder
+  * Daten **zur Einsicht / zum Abruf bereitgehalten** werden
+(unabhängig vom Verfahren)
+Matrikelnummer = personenbezogenes Datum
+Veröffentlichung mit Matrikelnummer = Übermittlung personenbezogener Daten
+In welcher Form dar man Noten bekannt geben?
+**Abwägung**: Eingriff in Persönlichkeitsrecht <-> Praktikabilität des Verfahrens
+-> **Institutsaushang** wird grundsätzlich als **zulässig** angesehen
+-> Veröffnetlichung im **Internet** grundsätzlich **nicht**
+Probleme der Veröffentlichung im Internet
+  * weltweite **Öffentlichkeit**
+  * **automatisierte** Sammlung / Auswertung
+  * **Profilbildung** möglich
+=> **Veröffentlichung Matrikel + Note** ist nicht das am wenigsten beeinträchtigende Mittel und daher **unzulässig**
+Zulässige Veröffentlichung im Internet
+  * **passwortgeschützte** Notenabfrage -> verhindert unbefugten Zugriff
+  * **Pseudonym** statt Matrikelnummer -> verhindert Profilbildung
+grundsätzlich: **SSL-verschlüsselte Übertragung**
+Nur das, was zwingend erforderlich ist!
+**Attest**
+  * Gesundheitsdatum
+  * unterliegt besonders strengem Schutz
+  * dem Betroffenen __sowieso bekannt__
+**nicht erschienen**
+  * dem Betroffenen __sowieso bekannt__
+Veröffentlichung nicht erforderlich -> **Aushang unzulässig**
+Umgang mit Notenaushängen
+  * nur die Daten, die **erforderlich** sind
+  * **Zeit** für Aushang **kurz** halten
+  * Aushang möglichst **in kontrollierbarem Bereich**, z.B. nah am Büro, im abschließbaren Institutsflur, im Glaskasten o.ä.
+Anfragen nach Klausurergebnissen
+  * **durch den Studierenden selbst**
+    * wenn nicht persönlich bekannt: Studentenausweis vorlegen lassen
+    * Anfragen per Mail oder Telefon: Problem der Identifizierung
+  * **durch andere (z.B. Kommilitonen, Eltern)**
+    * nur mit Vollmacht!
+==== Aufbewahrung und Vernichtung ====
+=== Aufbewahrung von personenbezogenen Daten ===
+Viele rechtliche Anforderungen ...
+  * Datenvermeidung
+  * Korrekte Daten
+  * Verfügbarkeit (Backup)
+  * Aufbewahrungsfristen- und Löschfristen
+  * Vertraulichkeit
+Vertraulichkeit = **Nur Befugte** können personenbezogene Daten zur Kenntnis nehmen.
+**Befugt** ist, wer die Daten zur Erfüllung seiner **dienstlichen Aufgaben zwingend benötigt**.
+Personenbezogene Daten gehören **grundsätzlich unter Verschluß**!
+Vertrauliche Aufbewahrung
+**Unterlagen** in verschlossenem Schrank
+**Elektronische Daten**
+  * eigenes Konto für jeden Mitarbeiter
+  * Dateizugriffsrechte
+  * ggf. Verschlüsselung
+  * Bildschirmschoner mit Passwort
+  * sichere Passwörter
+In Büros mit Sprechstunden
+... darauf achten, dass **Besucher keine fremden personenbezogenen Daten einsehen** können!
+Unbefugten Zugriff verhindern!
+  * **Einsicht in Akten und Bildschirm** verhindern
+  * bei kurzer Abwesenheit
+    * **Fremde** nicht im Büro allein lassen
+    * **Tür** abschließen
+    * **Bildschirm** sperren (Passwortschutz)
+  * bei längerer Abwesenheit Daten und Unterlagen **wegschließen**
+  * **Ausdrucke** / **Faxe** sofort holen
+Das richtige Passwort
+Die **Vertraulichkeit der Daten** hängt -- neben dem verwendeten **Verschlüsselungsalgorithmus** --
+von der **Länge und Zusammensetzung** (Komplexität) **des Passworts** ab.
+Merkbare Passwörter
+  * Anfangsbuchstaben eines längeren Satzes nehmen
+  * Groß- / Kleinschreibung und Zeichensetzung beibehalten
+  * einige Buchstaben durch Ziffern ersetzen
+z.B. "Wer nie sein Brot im Bette aß, weiß nicht wie Krümel pieken."
+wird zu Wns8i8a,wnwKp.
+Umgang mit Passwörtern für Dokumente
+  * Passwörter grundsätzlich **nicht per E-Mail mitteilen**,
+  * sondern zB. per **Telefon**, **Fax** oder **Brief**
+  * nicht identisch mit Passwörtern für Windows-, Mail-, eBay- und andere eigene Accounts
+  * Praktisch für Einmal-Passwörter, die man sich nicht merken muss: **[[https://www.zendas.de/service/passwort_generator.html|Passwort-Generator]]**
+Verschlüsselte Speicherung
+  * **sensible** Daten auf **PCs** -> Schutz vor Administrator
+  * Daten auf **mobilen Geräten**
+    * Notebooks
+    * CDs, USB-Sticks u.ä.
+-> besonders gefährdet durch Diebstahl / Verlust
+Zugriff auf personenbezogene Daten
+nur für
+  * **die Mitarbeiter, die damit arbeiten müssen**
+    * eigenes Konto für jeden Mitarbeiter
+    * Dateizugriffsrechte
+    * ggf. gemeinsame Laufwerke
+  * **den Vorgesetzten** oder von ihm **bestimmten Personen**
+    * ständige Vertreter im Amt
+  * Administrator?
+Strukturierte Ablage
+erleichtert
+  * **Wiederfinden**
+  * Überblick, der **Zugriff** hat
+  * **Versionen** an einem Platz
+  * Vermeidung von **Kopien**
+  * **Backup**
+  * Einhaltung von **Löschfristen**
+Grundsatz für die Löschung
+Personenbezogene Daten sind zu löschen, wenn sie zur **Aufgabenerfüllung nicht mehr erforderlich** sind. (§23 Abs. 1 LDSG)
+Die Löschung unterbleibt, wenn schutzwürdige Interessen des Betroffenen beeinträchtigt würden.
+spezialgesetzlich festgelegte Aufbewahrungsfristen -> Personalbereich, Archivgesetz, **Prüfungsordnungen** ...
+Daten in Akten
+sind zu löschen, wenn im Einzelfall **die gesamte Akte nicht mehr erforderlich** ist.
+  * **kein selektives Entfernen** aus der Akte
+  * Akten **nach Aufbewahrungsfristen gliedern**
+Wenn eine Löschung unterbleibt, sidn die Daten als gesperrt zu betrachten.
+Aufbewahrungsfristen für Prüfungsunterlagen
+abhängug von
+  * Regelung der Frist in **Prüfungsordnung**
+  * **Organisation des Prüfungswesens**
+    * Aufgabenteilung und Datenfluss: Lehrstuhl <-> Prüfungsamt
+  * Bekanntgabe von Noten / Entscheidungen mit **Rechtsmittelbelehrung** oder ohne
+wenn keine Regelung in Prüfungsordnung o.ä: § 23 LDSG
+Speicherung solange
+  * für Aufgabenerfüllung der Hochschule "erfoderlich"
+    * Schutz bei gerichtlicher Anfechtung von Noten / Entscheidungen
+  * im Interesse der Studierenden "geboten"
+    * erneute Ausstellung von Schein / Zeugnis, z.B. für Prüfungsanmeldung, Bewerbung
+Prüfungsleistungen
+wenn keine explizite Regelung vorhanden:
+  * bis **1 Jahr nach Ende des Prüfungsverfahrens**: **Widerspruch** gegen Bewerung von Prüfungsleistungen und gegen Entscheidungen des Prüfungsausschusses (Prüfungsordnungen, § 58 Abs. 2 VwGO)
+  * bis **1 Jahr nach Ablauf der Widerspruchsfrist**: auf Antrag "**Wiedereinsetzung in den vorigen Stand**" (§ 32 Abs. 3 VwVfG)
+  * evtl. Ungültigkeit / Abererkennung des Titels bei Täuschung geregelt -> oft bis 5 Jahre nach Ausstellen des Zeugnis möglich (Prüfungsordnung)
+Aufbwahrung von Prüfungsunterlagen im Fachbereich **mindestens 2 bis evtl. 5 Jahre**
+Prüfungs__vor__leistungen
+  * Nachweise der Vorleistung an die Studierenden ausgegeben
+    * Schein / Teilnahmebestätigung
+  * Verwaltung der Vorleistungen in Form einer Kartei / Datenbank am Institut
+    * Einwilligung
+  * Voraussetzung zur Prüfungsanmeldung
+    * Praktika / Übungsaufgaben -> **Können nach Bestehen der Prüfung gelöscht werden**
+  * wenn Lehrstuhl keine Rückmeldung über Bestehen der Prüfung bekommt, zur Wahrung des Prüfungsanspruch
+    * -> **max. bis Ende der Regelstudienzeit**
+    * -> **in begründeten Einzelfällen auch länger**