Informationen zum Datenschutz

Aktuelles

Einsatz von automatisierten Übersetzungsdiensten: DeepL und DeepL Pro (7.9.22)

DeepL ist ein kostenfreier Übersetzungsdienst. DeepL benutzt die übertragenen Daten aber laut den Datenschutzinformationen auch für eigene Zwecke (Training der KI) und speichert daher die hochgeladenen Daten.

Hinweis: beim Verwenden von DeepL dürfen daher keine personenbezogenen Daten im zu übersetzenden Dokument vorhanden sein. (Nutzungsbedingung von DeepL).

Für den dienstlichen  Einsatz verwendet die Universität stattdessen DeepL Pro. In dieser Variante sichert DeepL vertraglich zu, übertragene Daten nach der Übersetzung zu löschen und nicht für eigene Zwecke zu verwenden. Die Universität hat mit DeepL einen Vertrag zur Auftragsverarbeitung abgeschlossen. Die Übersetzung von PDF-Dokumenten ist zentral deaktiviert. Grund: Damit diese übersetzt werden können, werden die Daten an Adobe  gesendet und in eine XML-Datei umgewandelt.

Zukünftig soll DeepL Pro über eine Schnittstelle direkt aus dem TYPO3-Backend genutzt werden können.

weitere Hinweise zu Übersetzungen auf den Seiten der Hochschulkommunikation im Intranet

Die Vertraulichkeitsrichtlinie: ein Hilfsmittel zum Umgang mit Informationen (31.8.2022)

Die vorliegende Richtlinie soll die Beschäftigten für den Umgang mit vertraulichen  Informationen im Arbeitsalltag sensibilisieren und sie mit der hier anhand von Beispielen vorgenommenen Informationsklassifizierung dabei unterstützen, den Schutzbedarf von Informationen im Einzelfall sowie die daraus ggf. abzuleitenden Schutzmaßnahmen zu ermitteln und umzusetzen. Dabei geht es nicht nur um den Schutz personenbezogener Daten, auch andere Daten wie Schaltpläne, Vertragsinhalte, Sicherheitmassnahmen des Rechenzentrums, Konfiguration von Software müssen je nach Klasse mit unterschiedlichen Schutzmaßnahmen gesichert werden.

Vertraulichkeitsrichtlinie(pdf): bitte vorher im Intranet anmelden

Kennen Sie schon die datenschutzfreundliche Alternative zu Twitter? (3.5.2022)

Dürfen öffentliche Stellen auf Facebook, Twitter und Co. präsent sein? Seit dem Jahr 2018 steht aus Sicht des Europäischen Gerichtshofs (EuGH) fest, dass eine Nutzung von Facebook durch eine eigene Fanpage für öffentliche Stellen mit zu hohen Anforderungen einhergeht. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber stellt fest, dass aktuell eine Fanpage bei Facebook nicht datenschutzkonform betrieben werden könne. Aktuell rücken daher datenschutzfreundliche Alternativen häufiger in den Blick, etwa die Twitter-Alternative Mastodon. Die Datenschutzaufsichtsbehörden und der Bundesdatenschutzbeauftragte haben sich in ihrer Frühjahrskonferenz auf ein einheitliches Vorgehen gegen die von öffentlichen Stellen betriebenen Fanpages bei Facebook geeinigt. (Quelle u.a.: Newsletter des LfdI-BW, ZENDAS)

Wie lösche ich ein Facebook-Konto?

Übersicht über das Fediverse (Kuketz-Blog)

Kurzanleitung für Mastodon (Nele Hirsch, E-Bildungslabor)

Informationen zum Hintergrund und zu Auswirkungen für Hochschulen von ZENDAS

Ergänzung (8.7.2022): Droht die Schliessung von Facebook und Instagram? Die irische Datenschutz-Aufsichtsbehörde verschärft ihr Vorgehen gegen Meta.

 

Tag des Datenschutzes am 28.1.2022: Stärkung der Betroffenenrechte (27.1.2022)

Die Europäische Datenschutzaufsichtsbehörde (EDSA) hat am 19. Januar 2022 Leitlinien zum Recht auf Auskunft beschlossen.

Inhaltlich umfassen die Leitlinien folgende Eckpunkte:

  • Welche Daten sind betroffen?
  • Recht auf Kopie aller Daten (nicht nur eine Zusammenfassung)
  • angemessene Maßnahmen zur Identitätsfeststellung der anfragenden Person
  • Verweis auf hohen Bearbeitungsaufwand ist kein Ablehnungsgrund
  • Motivation hinter der Anfrage ist ebenfalls kein Ablehnungsgrund

Ergänzt werden die Leitlinien durch Beispiele.

Pressemitteilung der EDSA

Auf den Webseiten der Nonprofit-Organistation Noyb.eu ("My privacy is none of your business") findet sich unter "Exercise your rights" eine ausführliche und verständliche Darstellung aller Betroffenenrechte.

Datentransfer außerhalb der EU (8.2.2022)

Die Europäische Kommission hat  Standardvertragsklauseln angenommen, die bei EU-weiten sowie internationalen Datentransfers angewendet werden können. Dabei hat sie auch die neuen Anforderungen der Datenschutz-Grundverordnung sowie die Vorgaben aus dem Schrems-II-Urteil vom Juli 2020 berücksichtigt.

Pressemitteilung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit: Trotz neuer Standardvertrags-Klauseln ist eine ergänzende Einzelfallprüfung für Datenexporte notwendig - Verweis auf Empfehlung der Datenschutzkonferenz (DSK)

Aktuell:

DSGVO und Nutzung US-amerikanischer Cloud-Dienste: Ausarbeitung des Wiss. Dienstes des Deutschen Bundestags WD 3 -3000 -102/21

Damit Großbritannien wegen des "Brexit" nicht zum unsicheren Drittland wird hat die EU-Kommission nach Art. 45 DSGVO den Datenschutzstand des Landes geprüft und einen sogenannten Angemessenheitsbeschluss (28. 6.2021) gefasst. Darin wird attestiert, dass die personenbezogenen Daten einen vergleichbar adäquaten Schutz geniessen wie die innerhalb der Europäischen Union.

Handreichung "Internationale Datentransfers" : übersichtliche, gute Darstellung der Stiftung Datenschutz

Datenschutzrechtliche Anforderungen an internationale Datentransfers (GDD-Praxishilfe, Juli 2022): Checkliste für Transfer Impact Assessment (TIA) und Musteranhang der SCC (vorausgefüllt)

Datentracking in der Wissenschaft - Positionspapier der DFG (21.5.2021)

"Das Informationspapier beschreibt die digitale Nachverfolgung von wissenschaftlichen Aktivitäten. Wissenschaftlerinnen und Wissenschaftler nutzen täglich eine Vielzahl von digitalen Informationsressourcen wie zum Beispiel Literatur- und Volltextdatenbanken. Häufig fallen dabei Nutzungsspuren an, die Aufschluss geben über gesuchte und genutzte Inhalte, Verweildauern und andere Arten der wissenschaftlichen Aktivität. Diese Nutzungsspuren können von den Anbietenden der Informationsressourcen festgehalten, aggregiert und weiterverwendet oder verkauft werden."

TTDSG Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (20.5.2021)

Dieses Gesetz wurde am 20.5. verabschiedet und tritt zum 1.12.2021 in Kraft.

Warum dieses Gesetz? Es soll Klarheit und Rechtssicherheit schaffen bei den Datenschutzbestimmungen vor allem im Telekommunikationsbereich durch Zusammenfassung der Datenschutzbestimmungen von Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) in einem eigenen Gesetz (Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG).

Bericht bei Heise zum Thema

Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz: mit Checkliste zur Prüfung der Notwendigkeit von Einwilligungsbannern und einer Checkliste für die Gestaltung von Einwilligungsbannern

Orientierungshilfe der Datenschutzkonferenz DSK (20.12.2021)

Rechte der Studierenden bei Online-Prüfungen (19.5.2021)

In einer Pressemitteilung äußerte sich der Landesdatenschutzbeauftragte Baden-Württemberg Stefan Brink zur Überwachung bei Onlineprüfungen: "Online-Prüfungen sollen Wissen und Fähigkeiten abfragen, nicht Studierende übermäßig überwachen. Online-Proctoring kann maßlos sein und Studierende in äußerst unangenehme Situationen bringen. Datenschutzrechtlich nehmen wir das Thema Online-Proctoring jetzt in den Fokus."

Ein Video zum Thema "Überwachung in der Studentenbude. Ein lehrreiches Video zur Veranschaulichung eines ernstzunehmenden Themas" ist ebenfalls auf den Seiten des Landesdatenschutzbeauftragten Baden-Württemberg zu finden.

Die ergänzenden Regelungen im Thüringer Hochschulgesetz zu elektronischen Prüfungen vom  31.3.2021 sehen Folgendes vor:

"Sofern Prüfungen in elektronischer Form oder in elektronischer Kommunikation durchgeführt werden, müssen die Prüfungsordnungen ein datenschutzkonformes Prüfungsverfahren gewährleisten, bei dem für alle Prüfungskandidaten vergleichbare Bedingungen herrschen. Hierfür müssen die Prüfungsordnungen zusätzlich zu Satz 1 und 2 insbesondere Regelungen

  1. zur Sicherung des Datenschutzes
  2. zur eindeutigen Identifikation der Prüfungskandidaten
  3. zur Dokumentation des Prüfungsgeschehens
  4. zur Sicherung der Authentizität und Unveränderlichkeit des Prüfungsergebnisses
  5. zur Verhinderung von Missbrauchs- und Täuschungsversuchen
  6. zum Umgang mit technischen Störungen und
  7. zur Gewährleistung der technischen Voraussetzungen enthalten."

Informationen zum Onlineprüfungssystem "Wiseflow" der Universität Erfurt

Datenaustausch mit den USA - EuGH kippt Privacy Shield (15.09.2020, aktualisiert 7.10.2021)

Wer seine Datenverarbeitung personenbezogener Daten ausschliesslich auf Privacy Shield gestützt hat, hat ein Problem. Mit dem Urteil des EuGH ist klar: die Unternehmen in den USA können mit Privacy Shield nicht den Datenschutzstandard gewährleisten, den die DSGVO vorsieht (vergleichbarer Standard).

Daher sollten die betroffenen Verträge kurzfristig geändert werden, ein Ausweichen auf Standardvertragsklauseln ist möglich (nicht aber für die USA), sollte aber immer geprüft werden.  Quelle: EuGH, C-311/18, 16.07.2020

Standardsvertragsklauseln (SVK): Vor dem ersten Einsatz müsse überprüft werden, ob im Exportland staatliche Zugriffsmöglichkeiten bestehen - wovon bei den USA auszugehen ist. Damit können auch die Standardvertragsklauseln nicht mehr eingesetzt werden. Bereits exportierte Daten müssten zurückgeholt werden. Quelle: Berliner Datenschutzbeauftragte Smoltczyk

Nächste Schritte (FAQ und Listen für den Umgang mit USA nach Wegfall Privacy Shield)

Orientierungshilfe des LfDI Baden-Württemberg zu Schrems II (4. Aufl. Sept. 2021)

Auch ZENDAS hat sich mit diesem Thema beschäftigt und umfangreiche Informationen auf der Webseite bereitgestellt:

Gut und verständlich aufbereitet, mit Hintergrundinfos und Checklisten:

https://datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc/

Außerdem: Standardvertragsklauseln nach Art. 28 Abs. 7 DS-GVO (als Alternative zur individuellen Auftragsverarbeitungsvereinbarung, d. h. Datenverkehr ausschließlich innerhalb der EU) 

Infopoint: ZENDAS

ZENDAS bietet ein webbasiertes umfassendes Informationsangebot zu hochschulspezifischen Fragenstellungen in Verbindung mit Datenschutz und der neuen Datenschutzgrundverordnung.

Der Zugang zu ZENDAS ist für alle Verwaltungs-PCs auf dem Campus freigeschaltet: https://www.zendas.de/. Alternativ: Anmeldung über Shibboleth.

Selbstlernkurse zu Grundlagen der IT-Sicherheit

kostenloser Selbstlernkurs im Web: BITS

(Behörden-IT-Sicherheitstraining). Dauer: ca. 1 Stunde

Onlinekurs und Leitfaden des BSI

Basiskurs für die Qualifikation als Digitaler Ersthelfer, (Videos Dauer ca. 20-30 min. inkl. Selbsttest und Leitfaden: enthält sehr hilfreiche Tipps für Selbstadministratoren)

 

Allgemeine Datenschutzschulung (Baden-Württemberg, LfDI)

Video zur Einführung in die Grundlagen zur DSGVO (mp4).

Begrifflichkeiten

DSGVO : Datenschutzgrundverordnung

Personenbezogene Daten

sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, welche wiederum als betroffene Person bezeichnet wird.

Das Verarbeiten personenbezogener Daten

ist denkbar weit definiert und umfasst jede strukturierte Verarbeitung personenbezogener Daten, beginnend mit ihrer Erhebung, über das Ordnen, Verändern, Auswerten, Abfragen, Übermitteln und Speichern bis hin zum Löschen oder Vernichten unabhängig von der Form.