Datenschutz

NEU: Mein neues Home-Office: FAQ für Beschäftigte

Kurze Erklärung

Diese FAQs sollen die Unsicherheit im Hinblick auf die Nutzung von Home-Office reduzieren, indem mögliche Vorgehensweisen und Hilfestellungen aufgezeigt werden, welche die Sicherheit und den Datenschutz der Verarbeitung auch in privaten Räumen erhöhen.

Wichtig ist in jedem Fall, dass sich Verantwortliche und Beschäftigte gleichermaßen der Risiken bewusst sind, die sich durch die Verlagerung der Tätigkeit an einen anderen, nicht dem unmittelbaren Einfluss des Arbeitgebers unterstehenden Arbeitsplatz, nebst Infrastruktur ergeben.

Dies kann sich insbesondere dann auswirken, wenn Speziallösungen die Arbeitsumgebung absichern, die im Home-Office nicht zur Verfügung stehen. Umso wichtiger ist dann, die naheliegenden Sicherheitsmaßnahmen zuverlässig umzusetzen.

In jedem Fall muss, bestenfalls unter Betrachtung des Einzelfalls, ein Mindestmaß an Sicherheitsmaßnahmen festgelegt werden.

Als Faustregel gilt:

Maßnahmen, welche am Arbeitspatz an der Universität verhindern, dass Unbefugte Kenntnis von Arbeitsinhalten nehmen, sind regelmäßig auch am privaten Arbeitsplatz/im Home-Office umzusetzen.

Wichtig:
Dieser Artikel befasst sich mit den datenschutzrechtlichen und IT-Sicherheitstechnischen Anforderungen an einen Home-Office Arbeitsplatz. Zu den Arbeitsrechtlichen Fragen finden Sie Hilfe auf den Seiten der Personalabteilung (https://www.uni-ulm.de/einrichtungen/zuv/dezernat-3/).

FAQ Home-Office

  • Gilt der Datenschutz und die Informationssicherheit auch im Home-Office?

    Ja! Es ist unerheblich wo die Tätigkeiten erbracht werden. Mit ein paar wenigen, einfachen Handgriffen können Sie zur Sicherheit des Systems beitragen.

  • Wonach richtet sich wer Home-Office machen darf?

    Hierbei handelt es sich um eine personalrechtliche Maßnahme, die von der Abteilung Personalservice der Universität Ulm entschieden wird. Die Einrichtung eines Telearbeitsplatzes richtet sich grundsätzlich nach der Dienstvereinbarung Telearbeit der Universität Ulm (https://www.uni-ulm.de/fileadmin/website_uni_ulm/zuv/zuv.dezIII.abt1/3-1intern/Sonstige_Formulare_Dezernat3/Dienstvereinbarung_Telearbeit_2018.pdf).   

  • Datenschutz: Häuslicher Arbeitsplatz und Arbeitsweise

    Bei Genehmigung von Home-Office Arbeitsplätzen ist von vorneherein darauf zu achten, dass unter Berücksichtigung von baulichen und räumlichen Verhältnissen angemessene Sicherheitsmaßnahmen geschaffen werden können (z. B. separater Arbeits- bzw. Bürobereich).

    Für den häuslichen Arbeitsplatz ist die Nutzung eines eigenen Arbeitszimmers wünschenswert. Optimal wäre, wenn der häusliche Arbeitsplatz von der übrigen Wohnung durch eine abschließbare Tür abtrennbar ist, damit sich dort befindliche Unterlagen und IT-Systeme außerhalb der Bereiche befinden, in denen sich weitere Personen aufhalten.

    Unter keinen Umständen soll eine Weiterleitung von geschäftlicher, geheimhaltungsbedürftiger Kommunikation an den privaten Mail-Account erfolgen.

  • Datenschutz: Physikalischer Zugang zum Arbeitsplatz

    Verhindern Sie, dass unbefugte Dritte Zugang zu Ihrem Arbeitsplatz oder zu von Ihnen verarbeiteten Inhalten haben. Richten Sie Ihren Bildschirm so aus, dass dieser beispielsweise für Fußgänger auf der Straße (von draußen) nicht einsehbar ist.

    Lassen Sie Ihren Laptop auch im Home-Office nicht unbeaufsichtigt, es sei denn, keine andere Person hat potentiellen Zugriff darauf. So kann die Integrität der Daten geschützt werden.

    Nicht zuletzt sollten Sie hinterfragen, ob das Abschließen des Arbeitszimmers oder einer Schreibtischschublade/eines Aktenschranks notwendig ist. Insbesondere dann, wenn Ausdrucke zwingend erforderlich sind, damit Sie Ihrer Tätigkeit nachkommen können, müssen Sie sich mit Abschließmöglichkeiten befassen.

  • Datenschutz: Clean Desk

    Gleichermaßen einfach wie wirkungsvoll ist ein sauberer, aufgeräumter Arbeitsplatz. Tragen Sie Sorge dafür, dass an Ihrem Heimarbeitsplatz bzw. Schreibtisch keine Dokumente, Ausdrucke, Kopien, Notizen oder andere Datenträger, sei es in Papierform oder als digitaler Speicher herumliegen, wenn Sie diesen verlassen. Wenn Sie dies konsequent umsetzen, bedarf es keiner Einzelfallentscheidung, ob Daten vertraulich behandelt werden müssen. Seien Sie konsequent, sorgsam und sich Ihrer Verantwortung als Beschäftigter bewusst.

  • Datenschutz: Ausdrucke

    Vermeiden Sie Ausdrucke, wann immer es Ihnen möglich ist. Dies hilft nicht nur der Umwelt, sondern kann auch der erste Schritt sein, um Folgeprobleme wie datenschutzkonforme Aktenvernichtung und Aufbewahrung zu vermeiden

    Sobald Sie ein Dokument ausdrucken, lösen Sie es aus der von der Universität konzipierten Sicherheitsumgebung heraus. Das Handling des Ausdrucks und dessen Sicherheit müssen Sie persönlich sicherstellen können.

    Tipp des Team-Datenschutzes:

    Wenn Sie z. B. über VPN in Ihrem dienstlichen Netz arbeiten, sollten Sie keine Druckaufträge auf Drucker in Ihren Dienstgebäuden abschicken, da in diesem Fall unberechtigte Personen Einblick in diese Dokumente nehmen könnten.

    Werfen Sie dienstliche Papierdokumente nicht in Ihren privaten Papiermüll, sondern entsorgen Sie diese über eine datenschutzkonforme Aktenvernichtung oder über die an der Uni Ulm zur Verfügung gestellten Möglichkeiten (Aktenmüll der Firma Reisswolf).

  • Datenschutz: Telefonate

    Achten Sie auf akustische Privatsphäre. Interna können nicht nur visuell, sondern auch über Telefonate, Gespräche etc. unbefugt zur Kenntnis genommen werden. Davon betroffen sind auch Informationen, die aus anderen Gründen schützenswert sind, bspw. Forschungsergebnisse.

    Wählen Sie den richtigen Ort für geschäftliche und vor allem vertrauliche Telefonate sorgsam aus. Sorgen Sie dafür, dass Gespräche nicht von Dritten mitgehört werden können. Halten Sie das/die Fenster geschlossen, wenn durch ein geöffnetes Fenster Dritte das Telefonat mithören könnten.

    Vermeiden Sie zudem Telefonate in der Öffentlichkeit, wenn Sie nicht sicherstellen können, dass Gespräche ggf. mitgehört werden könnten.

  • Darf ich Unterlagen in Papier mit an meinen häuslichen Arbeitsplatz nehmen?

    Grundsätzlich müssen Sie darauf achten, dass Akten nicht verloren gehen. Wenn Sie also Akten aus dem Büro mitnehmen, sollten Sie für einen sicheren Transport sorgen. Die Akten sollten in Ihrem Büro zuhause nicht für jedermann einsehbar sein.

    Sie sollten bei allen Akten prüfen, auch wenn keine personenbezogenen Daten betroffen sind, ob jemand die Daten benötigt, selbst damit arbeiten muss, oder diese suchen wird, wenn sie nicht auffindbar sind. In diesen Fällen sowie bei Akten mit Originalen sollten Sie eine Dokumentation führen, wer die Unterlagen, wann und wohin mitgenommen hat bzw. wann die Rückgabe vorgesehen ist.

  • Ist es möglich, dass ich mit meinen privaten Geräten auf die Infrastruktur der Universität Ulm zugreife?

    Es ist sehr zu empfehlen, dass Sie vorrangig IT-Geräte der Universität Ulm und nicht private Geräte nutzen. Außerdem müssen die nötigen Sicherheitsmaßnahmen getroffen sein, z. B. das System ist auf den aktuellsten Stand (auf Updates achten!), der Virenschutz und die Firewall sind aktiv.

    In das Netzwerk der Universität Ulm wählen Sie sich über eine sichere, verschlüsselte Verbindung (bspw. via VPN) ein. Gegebenenfalls muss der Zugriff auf sensible Bereiche ausgeschlossen werden.

    Für den Fall, dass Sie Daten an einem privaten Computer verarbeiten müssen, achten Sie darauf, dass Sie die dienstlichen Daten in einem verschlüsselten Bereich speichern (bspw. mit dem Tool VeraCrypt oder mit Cryptomator).

    Die Daten sollten nach der Übertragung aus dem dienstlichen Netz auf Ihr privates Gerät nicht- wiederherstellbar gelöscht werden. Ein reines Verschieben in den Papierkorb mit dem entsprechenden „Leeren“ des Papierkorbs reicht nicht aus, um Daten final zu löschen. Möglicherweise benötigen Sie zum sicheren Löschen besondere Tools – hierzu fragen Sie am besten das kiz.

  • Was muss ich tun, wenn ich Unterlagen verloren habe oder jemand unbefugt Zugriff auf meine dienstlichen Daten hatte?

    Ungeachtet des aktuellen Ausübungsorts der Tätigkeit sind datenschutzrechtliche Prozesse, insbesondere hinsichtlich der Meldung der Verletzung des Schutzes personenbezogener Daten («Datenpanne») zu beachten.

    Beschäftigte melden mögliche Datenpannen unverzüglich an das Team Datenschutz (TDS; https://www.uni-ulm.de/misc/datenschutz-und-informationssicherheit/datenschutz/meldung/; Wichtig: Nur innerhalb des Universitätsnetzes möglich). Eine Datenpanne liegt insbesondere dann vor, wenn die Annahme besteht, dass die Datensicherheit gefährdet sein kann. Eine Datenpanne liegt auch vor, wenn die Annahme besteht, dass Dritte unbefugt Zugriff oder Zugang zu personenbezogenen Daten hatten.

  • Informationssicherheit: Internetzugang und Verbindung

    Schützen Sie Ihren privaten Internetzugang. Gerade der private Bereich ist für Social Engineering besonders attraktiv. Zudem können über private oder öffentliche Netzwerke Angriffe leichter ausgeführt werden. Verwenden Sie, um sich mit dem Universitätsnetz zu verbinden, eine verschlüsselte VPN-Verbindung. Eine weitere Möglichkeit, ist der Einsatz von RDP (Remote Desktop Protocol), um sich sicher auf einen entfernten Rechner zu verbinden.

    Tipp des CISO:

    Nutzen Sie möglichst die Internetverbindung über ein Kabel (LAN). Sollte dies nicht möglich sein: Tragen Sie daher Sorge dafür, dass Ihr WLAN sicher ist, in dem Sie dieses gegen Unbefugte Zugriffe schützen. Empfehlenswert ist mindestens eine WPA2-Verschlüsselung.

  • Informationssicherheit: Sicheres Passwort und Schutz der Geräte

    Wählen Sie ein sicheres Passwort für Ihr WLAN, für Ihr Endgerät und für sämtliche Benutzerkonten. Empfehlenswert wäre das Endgerät durch ein sicheres Passwort (mindestens 10 Stellen), eine PIN (mindestens 6 Stellen), via FaceID, via Fingerprint oder ähnliche sicherheitstechnische Authentifizierungsverfahren vor unberechtigtem Zugriff zu schützen

    Tipp des CISO:

    Eine automatische Bildschirm- oder Display-Sperre inkl. einer anschließenden Passwortabfrage, erhöht die Sicherheit des Endsystems.

  • Informationssicherheit: Patches und Updates

    Es sollten sämtliche Geräte immer auf dem aktuellsten Stand gehalten werden. Dies bedeutet, u. a. ein zeitnahes Einspielen von (Sicherheits-)Updates des (mobilen) Betriebssystems, sowie ein zeitnahes Einspielen von Anwendungs- und Treiberpatches (bspw. Web-Browser, PDF-Betrachter und Office-Suiten).

    Tipp des CISO:

    Aktivieren Sie bei Ihren privaten Systemen die automatischen Updates. So sind die Systeme immer auf dem aktuellen Stand.

  • Informationssicherheit: Clouddienste im Home-Office

    Auch im Home-Office kann der universitätseigene Clouddienst des kiz, „Cloudstore“ verwendet werden.

    Tipp des CISO:

    Verzichten Sie daher Daten auf unsichere (externe) (US)-Cloudanbieter zu speichern und vermeiden Sie beispielsweise Backups von dienstlichen Daten in die Apple iCloud oder in Google Drive.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

  • Allgemeines

    Um einheitliche datenschutzrechtliche Standards innerhalb der Europäischen Union zu schaffen, ist am 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in allen Staaten der EU in Kraft getreten.  Durch die DSGVO wird, unter Beibehaltung der bekannten Grundprinzipien des "alten" deutschen Datenschutzrechts, ein neuer gesetzlicher Rahmen geschaffen und um einige weitergehende Betroffenenrechte ergänzt. Zudem werden technische Anforderungen und damit der Aspekt Datensicherheit verschärft und Vorgaben für den Transfer von Daten in Drittstaaten normiert.

    Für die Universität Ulm ist neben der DSGVO vor allem das Landesdatenschutzgesetz Baden-Württemberg (LDSG) relevante Rechtsgrundlage. Das neue LDSG wurde vom Landtag in der Sitzung am 06. Juni 2018 beschlossen und trat am 12. Juni 2018 in Kraft.

  • Frequently Asked Questions (FAQ)

    1. Wann tritt die DSGVO in Kraft?

    Die DSGVO ist bereits seit 25. Mai 2016 in Kraft, kommt jedoch nach einer zweijährigen Übergangsfrist ab 25. Mai 2018 als unmittelbar geltendes Gesetz zur Anwendung und wird ab diesem Datum für die Gerichte und Aufsichtsbehörden überprüfbar. Für die Universität Ulm werden die in der DSGVO enthaltenen Öffnungsklauseln jedoch in wesentlichen Teilen durch das Landesdatenschutzgesetz ergänzt.


    2. Für wen gilt die DSGVO?

    Die DSGVO gilt innerhalb der Universität Ulm für jede Stelle (Einrichtung, Institut, Fakultät, ZUV), die personenbezogene Daten verarbeitet.


    3. Wann verarbeite ich personenbezogene Daten?

    Personenbezogene Daten sind nach Art. 4 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über Namen, Kennnummern, Standortdaten, Online-Kennung oder über besondere Merkmale möglich. Die besonderen Merkmale können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.

    Dabei wird zunächst nicht zwischen "wichtigen" und "unwichtigen" Daten unterschieden.

    Beispiele für personenbezogene Daten sind Namen, (E-Mail-)Adressen, Geburtsdatum, Matrikelnummer, Sozialversicherungsnummer, Fotos, IP-Adressen, KfZ-Kennzeichen….


    4. Welche datenschutzrechtlichen Vorgaben ändern sich?

    Durch die Beibehaltung der in Deutschland bereits etablierten datenschutzrechtlichen Grundprinzipien fallen die Änderungen in Relation gering aus. Im Wesentlichen ergeben sich folgende Änderungen und damit folgenden Handlungsbedarf:

    • Eine Datenverarbeitung bedarf einer Rechtsgrundlage. Diese Erlaubnistatbestände sind in Art. 6 DSGVO geregelt und diesen Tatbeständen neu zuzuordnen.

    • Die Anforderungen an eine informierte, freiwillige Einwilligung (Art. 6 DSGVO) in einen Datenverarbeitungsprozess und die Anforderungen an den Widerruf der Einwilligung (Art. 7 DSGVO) wurden konkretisiert, d. h. alle bisher verwendeten Einwilligungen sind zu prüfen.

    • Das Verfahrensverzeichnis wird durch das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) abgelöst. Danach ist jeder Verantwortliche verpflichtet ein Verzeichnis über die von ihm durchgeführten Datenverarbeitungsvorgänge zu führen. Dieses gilt nach DSGVO jetzt auch für Verarbeitungsvorgänge im Auftrag, d. h. die bestehenden Verfahrensverzeichnisse sind zu aktualisieren und anzupassen, fehlende Verzeichnisse zu erstellen.

    • Informations- und Auskunftspflichten für den Betroffenen wurden um weitere Angaben erweitert, d. h. dem Betroffenen sind künftig bei der Erhebung der Daten weitere Angaben zur Verfügung zu stellen (z. B. Rechtsgrundlage, Löschfristen). Bei einer Weiterverarbeitung zu einem anderen Zweck, sind dem Betroffenen erneut Informationen bereitzustellen, d. h. (Online-)Formulare oder Datenschutz-erklärungen sind zu erstellen bzw. zu überarbeiten.

    • Die Meldepflicht bei Datenpannen an die zuständige Aufsichtsbehörde wurde erweitert. Jeder Vorfall, der ein Risiko für Rechte und Pflichten von Betroffenen darstellt, ist binnen 72 Stunden bei der Aufsichtsbehörde zu melden. Eine Panne muss vom entdeckenden Mitarbeiter, an die Ansprechpartner des Datenschutzes in der ZUV, Abteilung I-2, Recht und Organisation, gemeldet werden.

    • Wenn Daten für die Universität im Auftrag verarbeitet werden, sind auch künftig Verträge zur Auftragsdatenverarbeitung (Art. 28 DSGVO) abzuschließen. Bereits bestehende Verträge sind an die neue Rechtslage anzupassen.

    • Es gibt eine Datenportabilitätsverpflichtung, die der Betroffene selbst zur Verfügung gestellt hat. Es ist technisch zu gewährleisten, dass diese ggf. in einem technisch gängigen Format wieder zur Verfügung gestellt werden können. Bei Erhebung der Daten ist künftig auf diese Verpflichtung zu achten.

    • Bei der Erstellung, Beschaffung oder beim Einsatz von Software ist darauf zu achten, dass diese den Anforderungen des Art. 25 DSGVO genügt. "Privacy by Design" heißt dabei "Datenschutz durch Technikgestaltung". Um gemäß der DSGVO eine konforme Organisation des Datenschutzes über den gesamten Lebenszyklus der personenbezogenen Daten etablieren zu können, müssen von der Konzeption bis zur Überwachung bzw. Verarbeitung technische und organisatorische Lösungen eingesetzt werden, die dem aktuellen "State of the Art" entsprechen. Auf diese Weise soll eine Datenschutzverletzung erst gar nicht ermöglicht werden. "Privacy by Default" entspricht dem Grundsatz der Datensparsamkeit. Alle Datenerhebungen sollen individuell auf das jeweils Notwendige minimiert werden. Zudem soll, wenn möglich, der zugriffsberechtigte Personenkreis beschränkt und sämtliche Daten pseudonymisiert und verschlüsselt werden. Letzteres ist insbesondere dann wichtig, wenn Daten durch datenverarbeitende Dienstanbieter oder in einer Cloud ausgewertet werden. Datenschutzfreundliche Voreinstellungen sind zu etablieren.

    5. Wer ist für die Umsetzung der DSGVO zuständig / verantwortlich?

    Verantwortlich nach dem Gesetz ist die verantwortliche Stelle, also die Universität Ulm. Innerhalb der Universität sind es die jeweils für die Verfahren Verantwortlichen, d. h. bspw. für die Führung einer Adressliste innerhalb eines Instituts der Institutsleiter, bei der Erhebung von Daten in einem Forschungsprojekt der verantwortliche Projektleiter.


    6. Was ist eine Verarbeitungstätigkeit?

    Gemäß Art. 4 DSGVO ist eine Verarbeitung ein Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Jeglicher Umgang, inklusive der Speicherung, ist vom Begriff der Verarbeitung umfasst. Verarbeitungstätigkeiten fassen einzelne Schritte mit Blick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen.


    7. Was mache ich bei einer Datenpanne?

    Ein falscher Anhang an der Mail, ein USB-Stick ging verloren, mein Laptop wurde geklaut, Daten in einer Cloud in den USA gespeichert, ein Trojaner an der Mail. Daten können auf vielfältigen Wegen abhandenkommen. Nach DSGVO sind diese Verstöße binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Um dieses gewährleisten zu können, bitten wir Sie, die Datenpanne über das Online-Formular unverzüglich an die ZUV, Abt. I-2, Recht und Organisation zu melden. Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten, (Trojaner etc.) informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.


    8. Wer ist "Auftragsverarbeiter"?

    Ein Auftragsverarbeitender ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Abs. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur im Rahmen der Weisungen des Verantwortlichen. Er ist verpflichtet geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Diese Verpflichtung wird regelmäßig in einem schriftlichen Vertrag abgebildet.

  • Externe Informationen, Webseminare und Hilfen

Einwilligung in die Verarbeitung von personenbezogenen Daten - Art. 6 I lit. a DSGVO

  • Allgemeines

    Die Verarbeitung von personenbezogenen Daten ist nach DSGVO nur dann zulässig, wenn die Verarbeitung durch eine gesetzliche Grundlage geregelt ist, oder der Betroffene bei Erhebung der Daten wirksam in die Verwendung eingewilligt hat. Möchten Sie also für ein Forschungsprojekt oder einen Verwaltungsvorgang Daten erheben, vergewissern Sie sich, dass es eine gesetzliche Grundlage für die Erhebung und Verwendung der Daten zu diesem konkreten Zweck gibt, andernfalls lassen Sie sich eine Einwilligung der Betroffenen geben. Ein Muster finden Sie hier. Um eine wirksame Einwilligung zu erhalten, sind dabei gemäß Art. 4 Nr. 11, Art. 7 DSGVO, folgende sieben Punkte zu beachten:

    1. Form der Einwilligung

    Die Einwilligungserklärung bedarf nicht zwingend der Schriftform. Diese kann ebenfalls mündlich, elektronisch oder in Textform erfolgen. Bei der Wahl der Form sollte jedoch berücksichtigt werden, dass die Beweislast für das Vorliegen der Einwilligung beim Verwender der Daten liegt. Im Ergebnis sollte die Einwilligung also dokumentiert erfolgen.

    Die Einwilligungserklärung muss klar verständlich und eindeutig formuliert sein und darf sich dabei zur Verbesserung der Verständlichkeit auch visueller Elemente bedienen. Optisch muss die Einwilligungserklärung klar von anderen Sachverhalten abgegrenzt sein.


    2. Informiertheit bei der Einwilligung

    Der Betroffene muss vor der Erklärung der Einwilligung darüber informiert werden, auf welche konkreten personenbezogenen Daten sich die Einwilligung bezieht und den konkreten Zweck der Verarbeitung wiedergeben. Eine Weitergabe an Dritte muss aufgeführt sein.


    3. Freiwilligkeit der Einwilligung

    Die Einwilligung muss auf dem freien Willensentschluss des Betroffenen beruhen. Dabei muss der Betroffene eine echte Wahlfreiheit haben und die Einwilligung ohne zu erleidende Nachteile verweigern können. Der Betroffene ist darauf hinzuweisen, dass die Einwilligung verweigert werden kann.


    4. Bestimmtheit und Zweck in der Einwilligung

    Aus der Erklärung muss eindeutig hervorgehen, wer genau welche Daten, zu welchem konkreten Zweck verarbeitet. Eine pauschale und generelle Erklärung ist nicht ausreichend. Eine Verwendung erhobener Daten zu anderen Zwecken ist grundsätzlich unzulässig. Bei der Detailliertheit sollte berücksichtigt werden, dass, je tiefer der Eingriff in das Persönlichkeitsrecht ist, desto genauer muss die Einwilligungserklärung ausgestaltet sein.


    5. Unmissverständlichkeit der Einwilligungserklärung

    Dem Betroffenen muss bei Abgabe einer Einwilligungserklärung klar sein, dass es sich um eine Einwilligungserklärung handelt. Dies kann dadurch kenntlich gemacht werden, dass die Erklärung die Überschrift "Einwilligung" trägt oder die Formulierung "Einwilligung" oder "Zustimmung" genutzt wird.


    6. Widerrufsmöglichkeit der Erklärung

    Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Dies ist in der Einwilligungserklärung klar zum Ausdruck zu bringen. Ein Widerrufsverzicht ist unzulässig.

    Der Widerruf muss dabei nicht zwingend in derselben Form der Einwilligung abgegeben werden, jedoch darf die Erklärung des Widerrufs nicht schwieriger sein oder zusätzliche Hürden mit sich bringen als die Erklärung der Einwilligung. Anschrift und Kontaktinformationen, an welche der Widerruf zu adressieren ist, sind mitzuteilen.


    7. Eigene Daten

    Der Betroffene kann immer nur in die Verwendung der eigenen personenbezogenen Daten einwilligen. Sollen Daten mehrerer Personen verwendet werden, müssen diese individuell einwilligen.

  • Formulare

    Einwilligungserklärungen können niemals vollständig unverändert verwendet werden. Grund hierfür ist die Heterogenität der Datenverarbeitung. Damit müssen die Verarbeitungen und die Zwecke in jeder Erklärung angepasst werden, um eine ausreichende Informiertheit der potentiellen Probanden und Betroffenen herzustellen.

    Daher ist es nicht möglich, ein Muster bereit zu stellen, das ohne Anpassungen und kritische Überarbeitung genutzt werden kann.

    Bitte übernehmen Sie die Texte nicht unreflektiert.

    Hier finden Sie ein Muster im einheitlichen Design der Universität Ulm zur Veröffentlichung von Fotos:

    Mustereinwilligung Fotos

    Hier finden Sie ein Muster im einheitlichen Design der Universität Ulm zur Verwendung von Daten im Rahmen eines Forschungsprojektes:

    Mustereinwilligung Forschungsprojekt

    ZENDAS stellt ebenfalls ein Muster zur Verfügung, das als Leitfaden Anhaltspunkte zum Aufbau und dem möglichen Inhalt geben soll. Auf diesen Seiten können Sie sich über die grundlegenden Anforderungen an Einwilligungserklärungen und an die Informationen zum Datenschutz nach Art. 13 DSGVO informieren: 

    https://www.zendas.de/themen/datenschutz-grundverordnung/einwilligung_forschungsprojekt.html

Verzeichnis von Verarbeitungstätigkeiten (VVT) - Art. 30 DSGVO

  • Allgemeines

    Als öffentliche Stelle ist die Universität Ulm nach Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten (VVT), die ihrer Zuständigkeit unterliegen, zu führen. Diese Verpflichtung umfasst auch alle Verarbeitungstätigkeiten, die von der Universität Ulm im Auftrag durchgeführt werden. Das VVT löst das ehemalige Verfahrensverzeichnis nach § 11 LDSG a. F. (VVZ) ab.

    Als Verarbeiten i.S.d. Art. 4 DSGVO wird dabei ein Vorgang oder eine Vorgangsreihe verstanden, die mit oder ohne automatisierte Verfahren personenbezogene Daten verwendet, also z. B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

    Damit ist jeglicher Umgang mit personenbezogenen Daten, inklusive der Speicherung, vom Begriff der Verarbeitung umfasst.

    Der Begriff Verarbeitungstätigkeiten fasst dabei einzelne Verarbeitungsschritte im Hinblick auf einen einzelnen spezifischen inhaltlichen Zweck zusammen, bspw. die Erhebung und Verwendung von Studierendendaten in einem Campus Management System.

    Innerhalb der Universität Ulm sind der fachliche und der technische Ansprechpartner, die ein System etablieren wollen, dafür verantwortlich, dass die Verarbeitungstätigkeiten erst begonnen werden, wenn ein VVT erstellt und von den zuständigen Stellen zustimmend bewertet wurde. Bei der Verarbeitung von Beschäftigtendaten ist dabei in der Regel auch der Personalrat einzubeziehen.

    Bei Systemen, für die in der Vergangenheit bereits ein VVZ erstellt wurde, ist es notwendig, dieses Verzeichnis auf die aktuelle Rechtslage anzupassen. Auch für diese Systeme ist demnach ein VVT zu erstellen.

  • Formular

    Bitte verwenden Sie folgendes Online-Formular für die Meldung eines VVT:

    Meldung eines VVT

    Prozess:

    1. Bitte das Online-Formular soweit als möglich ausfüllen und auf den Button Formular Absenden klicken (Hinweis: Das Online-Formular kann auch suzkessive ausgefüllt werden: Über den Button Formular zwischenspeichern können Sie ihr VVT abspeichern und über den Button Gespeicherte Formulardaten laden zu einem späteren Zeitpunkt wieder verwenden).
    2. Das abgeschickte Formular geht automatisiert in unser System.
    3. Das Team-Datenschutz prüft Ihre Meldung und wird sich anschließend via E-Mail bei Ihnen melden.
    4. Nach Rücksprache mit Ihnen und Vervollständigung des VVT, werden wir Ihnen die Technisch-Organisatorischen-Maßnahmen (TOMs) zur Ausfüllung zu senden.

Auftragsverarbeitungsvertrag (AVV) - Art. 28 DSGVO

  • Allgemeines

    Auftragsverarbeitung (AV) im Sinne der DSGVO ist die Verarbeitung von personenbezogenen Daten durch einen Dienstleister, im Auftrag des Verantwortlichen (also im Auftrag der Universität Ulm). Ein AVV liegt z. B. vor, wenn personenbezogene Daten auf externen Servern gehostet, IT-Systeme durch Dritte gewartet oder Datenträger durch andere Unternehmen entsorgt werden.

    Ein solcher AVV darf nach Art 28. DGSVO nur dann erfolgen, wenn der Verantwortliche sichergestellt hat, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen hat, um die Rechte der betroffenen Personen zu schützen. Dieses ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter regelmäßig durch eine schriftliche Vereinbarung abzubilden.

    Sollten Sie also den Einsatz eines Dienstleisters planen oder eine Software as a Service (SaaS) etablieren wollen, wird regelmäßig der Abschluss einer schriftlichen Vereinbarung notwendig sein, die neben den allgemeinen Fragen, wie Zahlung und Haftung, auch die datenschutzrechtliche Verantwortung regelt. Für alle damit einhergehenden Fragen und die Erstellung der schriftlichen AVV-Vereinbarung stehen Ihnen die Ansprechpartner der Abt. I-2 Recht und Organisation gerne zur Verfügung.

  • Formular

    AVV
     

Meldung einer Datenpanne - Art. 33, 34 DSGVO

  • Allgemeines

    Ihr Laptop, Ihr Smartphone oder ein USB-Stick ging verloren? Eine E-Mail mit umfassendem Datenanhang inkl. personenbezogener Daten wurde an den falschen Adressaten gesandt? Ein PC wurde eventuell gehackt? Solche und viele andere "Datenpannen" sind Alltag in der heutigen IT-Welt.

    Wichtig für Sie zu wissen ist, dass nach Art. 33, 34 DSGVO eine solche Datenpanne zwei Meldepflichten auslösen kann:

    a) Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO)

    Die Datenpanne ist unverzüglich und möglichst binnen 72 Stunden nach bekanntwerden der Verletzung an die zuständige Aufsichtsbehörde zu melden. Für die Universität Ulm ist das der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BW).

    Ausgenommen von einer Meldepflicht sind Datenpannen, die "voraussichtlich nicht zu einem Risiko" für den Betroffenen führen. Da es aktuell noch keine Auslegungsgrundsätze oder Vorgaben des LfDI BW gibt, wann ein solches Risiko ausgeschlossen werden kann, ist der gängige Rat, im Zweifel zu melden.

    Für die Meldung gilt ein enger zeitlicher Rahmen von 72 Stunden nach dem die Verletzung bekannt wurde. Wobei "bekannt werden" jeden Beschäftigten der Universität Ulm meint, und nicht nur eine gesamtverantwortliche Person wie den Kanzler/Präsidenten oder den Datenschutzbeauftragten.


    b) Meldung an den Betroffenen (Art. 34 DSGVO)

    Neben der Meldung an den LfDI BW sieht die DSGVO eine Meldung an den Betroffenen vor. Diese Benachrichtigung muss jedoch nur dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht. Eine Meldung an den Betroffenen kann unterbleiben, wenn:

    • Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen, oder

    • technische und organisatorische Maßnahmen vorhanden sind, die den Zugang zu den personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).

    Deshalb: Melden Sie ab dem 25. Mai 2018 unverzüglich alle Ihnen bekannt werdenden Datenpannen über das Online-Formular an die Ansprechpartner der Abt. I-2 der ZUV. Wenn Sie nicht sofort alle Angaben machen können, senden Sie die Meldung trotzdem und reichen dann weitere Informationen nach. Bitte senden Sie die Meldung NICHT direkt an den LfDI BW, sondern nur an die Ansprechpartner des Datenschutzes, die die Weiterleitung und die notwendige Dokumentation veranlassen.

    Wenn Sie darüber hinaus Schaden für die IT-Sicherheit der Universität befürchten (Trojaner etc.), informieren Sie bitte auch unverzüglich das kiz über den Helpdesk.

  • Online-Meldung

    Meldung einer Datenpanne nach Art. 33, 34 DSGVO

Allgemeines

Meldung einer Datenpanne nach Art. 33, 34 DSGVO

News

30.03.2020

NEU: FAQ für Home-Office jetzt online


06.06.2019

Meldung eines VVT jetzt online möglich