Informationen zum Datenschutz

Aktuelles

Datentransfer außerhalb der EU (02.08.2023)

Am 10.7.2023 hat die Europäische Kommission heute ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.

Was jetzt zu tun ist, ob die Standardvertragsklauseln weiter gelten, ob ein Datentransfer in die USA jetzt immer auf Grundlage einer Auftragsverarbeitung möglich ist und andere Fragen beantwortet ZENDAS in einem 20min. Video.

Falls Einrichtungen/Unternehmen nicht in der Liste der zertifizierten Unternehmen stehen, sind weiterhin die Standardvertragsklauseln notwendig. Allerdings werden die Bewertung der Rechtslage in den USA (TransferImpacAssessment) einfacher und die Anforderungen an die zusätzlichen Maßnahmen sind geringer.

Datenschutzrechtliche Anforderungen an internationale Datentransfers (GDD-Praxishilfe, Juli 2022): Checkliste für Transfer Impact Assessment (TIA) und Musteranhang der SCC (vorausgefüllt)

Mehr Datenschutzwissen in der Ausbildung von Lehramtskräften gefordert (22.12.22)

Der Thüringer Datenschutzbeauftragte Dr. Lutz Hasse kritisiert das verhaltene Engagement der Universitäten hinsichtlich Datenschutz und Medienkompetenz  in der Ausbildung von Lehramtskräften.
Die Universitäten sollen prüfungsrelevantes Wissen im Bereich Datenschutz vermitteln, beispielsweise durch Besuch einer Datenschutzvorlesung an einer juristischen Fakultät und einer entsprechenden Klausur. Er fordert eine Umgestaltung von Lehr- und Bildungsplänen.
(BvD-News, Ausg.03/2022: Dr. Lutz Hasse; René Rösel: (Thüringer) Schulen: Digitalisierung und Medienkompetenz - wo klemmt's?)

Neue Phishing-Methode: CC (29.9.2022)

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt eine neue Methode eines Phishingversuchs:

Phishing-Mails sind immer schwieriger als solche zu erkennen. Wie Heise Online berichtet, warnen Sicherheitsforschende nun vor einer Taktik, die Phishing-Nachrichten noch glaubhafter erscheinen lassen soll. Eine iranische Hackergruppe schickt ihre Mails nicht nur an eine Mail-Adresse, sondern setzt mehrere Personen in Cc. Diese Mailadressen befinden sich aber unter der Kontrolle der Angreifenden. Sie antworten auf die Mails und stoßen so bei den Empfängerinnen und Empfängern eine Konversation an – was die Glaubwürdigkeit der Originalnachricht steigert.

BSI-Informationen über Spam, Phishing & Co: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co_node.html

Heise Online zur neuen Taktik bei Phishing-Mails: https://www.heise.de/news/Neue-Phishing-Masche-Fake-Konversationen-fuer-mehr-Glaubwuerdigkeit-7263942.html

Einsatz von automatisierten Übersetzungsdiensten: DeepL und DeepL Pro (15.12.22)

DeepL ist ein kostenfreier Übersetzungsdienst. DeepL benutzt die übertragenen Daten aber laut den Datenschutzinformationen auch für eigene Zwecke (Training der KI) und speichert daher die hochgeladenen Daten.

Hinweis: beim Verwenden von DeepL dürfen daher keine personenbezogenen Daten im zu übersetzenden Dokument vorhanden sein. (Nutzungsbedingung von DeepL).

Für den dienstlichen  Einsatz verwendet die Universität stattdessen DeepL Pro. In dieser Variante sichert DeepL vertraglich zu, übertragene Daten nach der Übersetzung zu löschen und nicht für eigene Zwecke zu verwenden. Die Universität hat mit DeepL einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Übersetzung von PDF-Dokumenten ist zentral deaktiviert. Grund: Damit diese übersetzt werden können, werden die Daten an Adobe  gesendet und in eine XML-Datei umgewandelt.

DeepL Pro kann über eine Schnittstelle direkt aus dem TYPO3-Backend genutzt werden.

weitere Hinweise zu Übersetzungen auf den Seiten der Hochschulkommunikation im Intranet

Die Vertraulichkeitsrichtlinie: ein Hilfsmittel zum Umgang mit Informationen (31.8.2022)

Mit Präsidiumsbeschluss vom 27.7.2022 (Beschluss 142/2022) wurde die Richtlinie zum Umgang mit vertraulichen Informationen an der Universität Erfurt in Kraft gesetzt.

Die Richtlinie soll die Beschäftigten für den Umgang mit vertraulichen  Informationen im Arbeitsalltag sensibilisieren und sie mit der hier anhand von Beispielen vorgenommenen Informationsklassifizierung dabei unterstützen, den Schutzbedarf von Informationen im Einzelfall sowie die daraus ggf. abzuleitenden Schutzmaßnahmen zu ermitteln und umzusetzen. Dabei geht es nicht nur um den Schutz personenbezogener Daten, auch andere Daten wie Schaltpläne, Vertragsinhalte, Sicherheitmassnahmen des Rechenzentrums, Konfiguration von Software müssen je nach Klasse mit unterschiedlichen Schutzmaßnahmen gesichert werden.

Vertraulichkeitsrichtlinie(pdf): bitte vorher im Intranet anmelden

Kennen Sie schon die datenschutzfreundliche Alternative zu Twitter? (3.5.2022)

Dürfen öffentliche Stellen auf Facebook, Twitter und Co. präsent sein? Seit dem Jahr 2018 steht aus Sicht des Europäischen Gerichtshofs (EuGH) fest, dass eine Nutzung von Facebook durch eine eigene Fanpage für öffentliche Stellen mit zu hohen Anforderungen einhergeht. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber stellt fest, dass aktuell eine Fanpage bei Facebook nicht datenschutzkonform betrieben werden könne. Aktuell rücken daher datenschutzfreundliche Alternativen häufiger in den Blick, etwa die Twitter-Alternative Mastodon. Die Datenschutzaufsichtsbehörden und der Bundesdatenschutzbeauftragte haben sich in ihrer Frühjahrskonferenz auf ein einheitliches Vorgehen gegen die von öffentlichen Stellen betriebenen Fanpages bei Facebook geeinigt. (Quelle u.a.: Newsletter des LfdI-BW, ZENDAS)

Wie lösche ich ein Facebook-Konto?

Übersicht über das Fediverse (Kuketz-Blog)

Kurzanleitung für Mastodon (Nele Hirsch, E-Bildungslabor)

Informationen zum Hintergrund und zu Auswirkungen für Hochschulen von ZENDAS

Ergänzung (8.7.2022): Droht die Schliessung von Facebook und Instagram? Die irische Datenschutz-Aufsichtsbehörde verschärft ihr Vorgehen gegen Meta.

 

Tag des Datenschutzes am 28.1.2022: Stärkung der Betroffenenrechte (27.1.2022)

Die Europäische Datenschutzaufsichtsbehörde (EDSA) hat am 19. Januar 2022 Leitlinien zum Recht auf Auskunft beschlossen.

Inhaltlich umfassen die Leitlinien folgende Eckpunkte:

  • Welche Daten sind betroffen?
  • Recht auf Kopie aller Daten (nicht nur eine Zusammenfassung)
  • angemessene Maßnahmen zur Identitätsfeststellung der anfragenden Person
  • Verweis auf hohen Bearbeitungsaufwand ist kein Ablehnungsgrund
  • Motivation hinter der Anfrage ist ebenfalls kein Ablehnungsgrund

Ergänzt werden die Leitlinien durch Beispiele.

Pressemitteilung der EDSA

Auf den Webseiten der Nonprofit-Organistation Noyb.eu ("My privacy is none of your business") findet sich unter "Exercise your rights" eine ausführliche und verständliche Darstellung aller Betroffenenrechte.

Datentracking in der Wissenschaft - Positionspapier der DFG (21.5.2021)

"Das Informationspapier beschreibt die digitale Nachverfolgung von wissenschaftlichen Aktivitäten. Wissenschaftlerinnen und Wissenschaftler nutzen täglich eine Vielzahl von digitalen Informationsressourcen wie zum Beispiel Literatur- und Volltextdatenbanken. Häufig fallen dabei Nutzungsspuren an, die Aufschluss geben über gesuchte und genutzte Inhalte, Verweildauern und andere Arten der wissenschaftlichen Aktivität. Diese Nutzungsspuren können von den Anbietenden der Informationsressourcen festgehalten, aggregiert und weiterverwendet oder verkauft werden."

TTDSG Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (20.5.2021)

Dieses Gesetz wurde am 20.5. verabschiedet und tritt zum 1.12.2021 in Kraft.

Warum dieses Gesetz? Es soll Klarheit und Rechtssicherheit schaffen bei den Datenschutzbestimmungen vor allem im Telekommunikationsbereich durch Zusammenfassung der Datenschutzbestimmungen von Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) in einem eigenen Gesetz (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG).

Bericht bei Heise zum Thema

Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz: mit Checkliste zur Prüfung der Notwendigkeit von Einwilligungsbannern und einer Checkliste für die Gestaltung von Einwilligungsbannern

Orientierungshilfe der Datenschutzkonferenz DSK (20.12.2021)

Rechte der Studierenden bei Online-Prüfungen (19.5.2021)

In einer Pressemitteilung äußerte sich der Landesdatenschutzbeauftragte Baden-Württemberg Stefan Brink zur Überwachung bei Onlineprüfungen: "Online-Prüfungen sollen Wissen und Fähigkeiten abfragen, nicht Studierende übermäßig überwachen. Online-Proctoring kann maßlos sein und Studierende in äußerst unangenehme Situationen bringen. Datenschutzrechtlich nehmen wir das Thema Online-Proctoring jetzt in den Fokus."

Ein Video zum Thema "Überwachung in der Studentenbude. Ein lehrreiches Video zur Veranschaulichung eines ernstzunehmenden Themas" ist ebenfalls auf den Seiten des Landesdatenschutzbeauftragten Baden-Württemberg zu finden.

Die ergänzenden Regelungen im Thüringer Hochschulgesetz zu elektronischen Prüfungen vom  31.3.2021 sehen Folgendes vor:

"Sofern Prüfungen in elektronischer Form oder in elektronischer Kommunikation durchgeführt werden, müssen die Prüfungsordnungen ein datenschutzkonformes Prüfungsverfahren gewährleisten, bei dem für alle Prüfungskandidaten vergleichbare Bedingungen herrschen. Hierfür müssen die Prüfungsordnungen zusätzlich zu Satz 1 und 2 insbesondere Regelungen

  1. zur Sicherung des Datenschutzes
  2. zur eindeutigen Identifikation der Prüfungskandidaten
  3. zur Dokumentation des Prüfungsgeschehens
  4. zur Sicherung der Authentizität und Unveränderlichkeit des Prüfungsergebnisses
  5. zur Verhinderung von Missbrauchs- und Täuschungsversuchen
  6. zum Umgang mit technischen Störungen und
  7. zur Gewährleistung der technischen Voraussetzungen enthalten."

Informationen zum Onlineprüfungssystem "Wiseflow" der Universität Erfurt

Infopoint: ZENDAS

ZENDAS bietet ein webbasiertes umfassendes Informationsangebot zu hochschulspezifischen Fragenstellungen in Verbindung mit Datenschutz und der neuen Datenschutzgrundverordnung.

Der Zugang zu ZENDAS ist für alle Verwaltungs-PCs auf dem Campus freigeschaltet: https://www.zendas.de/. Alternativ: Anmeldung über Shibboleth.

Selbstlernkurse zu Grundlagen der IT-Sicherheit

kostenloser Selbstlernkurs im Web: BITS

(Behörden-IT-Sicherheitstraining). Dauer: ca. 1 Stunde

Onlinekurs und Leitfaden des BSI

Basiskurs für die Qualifikation als Digitaler Ersthelfer, (Videos Dauer ca. 20-30 min. inkl. Selbsttest und Leitfaden: enthält sehr hilfreiche Tipps für Selbstadministratoren)

 

Allgemeine Datenschutzschulung (Baden-Württemberg, LfDI)

Video zur Einführung in die Grundlagen zur DSGVO (mp4).

Begrifflichkeiten

DSGVO : Datenschutzgrundverordnung

Personenbezogene Daten

sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, welche wiederum als betroffene Person bezeichnet wird.

Das Verarbeiten personenbezogener Daten

ist denkbar weit definiert und umfasst jede strukturierte Verarbeitung personenbezogener Daten, beginnend mit ihrer Erhebung, über das Ordnen, Verändern, Auswerten, Abfragen, Übermitteln und Speichern bis hin zum Löschen oder Vernichten unabhängig von der Form.