Datenschutz im Büroalltag

Grundlegende Sicherheitsregeln

Personenbezogene Daten werden in der Universität an nahezu allen Stellen verarbeitet. Mit einfache Maßnahmen lässt sich die Datensicherheit entscheidend erhöhen.

Basics:

  • Niemals Ihre persönlichen Logindaten an andere Personen (auch nicht an KollegInnen oder Vorgesetzte) weitergeben
  • Sicheres Passwort verwenden: mindestens 8 Zeichen, Kombination aus Zahlen und Buchstaben, Sonderzeichen, Groß- und Kleinschreibung

Schließen:

  • Beim Verlassen Ihres Büros immer die Tür verschließen
  • Schlüssel zum Büro, Schreibtisch oder Schrank sicher verwahren und nicht mit Anhängern kennzeichnen, wofür der Schlüssel gedacht ist.
  • Unterlagen mit personenbezogenem Inhalt bei Abwesenheit einschliessen (Clean-desk-policy)
  • Bildschirm sperren (WindowsTaste + L)

Webseite:

  • Personaldaten: keine Hinweise auf Urlaub/Mutterschutz/Krankheit bei längerer Abwesenheit
  • Foto: Bildrechte beachten, nur mit Einwilligung
  • Vorsicht bei Verwendung von kostenlosen Angeboten (GoogleAnalytics, kostenlose Plugins wie Feedreader, Videoplayer):  diese kosten immer "Daten"
  • keine Prüfunglisten mit Matrikelnummer
  • Hinweis: Eigene Personendaten selbst verwalten

E-Mail:

  • Bcc statt CC (bei vielen Empfängern)
  • Inhalte/Dateianhang mit personenbezogenen Daten verschlüsseln bzw. mit Kennwort versehen
  • nicht mehr benötigte E-Mails regelmäßig löschen (auch aus dem Papierkorb!)
  • Besser nur Text versenden statt HTML
  • Vorsicht bei: "Antwort an alle"
  • Betreff möglichst neutral halten
  • Sehr ausführliche Informationen auch zu Abwesenheitsnachrichten im Datenschutzwiki der TU Ilmenau

Keine automatisierte Weiterleitung von dienstlichen Mails an private Mailaccounts! vgl. hierzu auch den Kommentar des Datenschutzbeauftragten der RuhrUni Bochum

Faxgeräte:

  • Vor Absendung ist die Richtigkeit der eingegebenen Nummer zu überprüfen.
  • Kein Versand von besonders vertraulichen Sendungen (z.B. sensible personenbezogene Daten)
  • Gerätaufstellung so, dass Unbefugte keine Kenntnis vom Inhalt eingehender oder übertragener Schreiben nehmen können.
  • Bei Gerätweitergabe ist der Speicher zu löschen.

Löschen/Entsorgen:

  • Unterlagen mit personenbezogenen Daten (auch Fehlkopien), die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt in Ihrem Büro sammeln und alsbald vernichten (Schredder bzw. Datentonne)
  • Aufbewahrungsfristen beachten ggfalls Universitätsarchiv anfragen
  • regelmäßig prüfen, welche Daten nicht mehr gebraucht werden und diese dann löschen
  • Alte oder defekte Festplatten, dienstliche Mobligeräte, CDs, USBSticks über das URMZ entsorgen lassen

Dienstliche Mobilgeräte:

  • personenbezogene Daten auf (dienstlichen) Mobilgeräten stets verschlüsseln bzw. zumindest mit Kennwortschutz versehen
  • Datenträger mit personenbezogenen Daten (USB-Stick, DVD) verschlossen aufbewahren
  • keine privaten USB-Stick an dienstliche Geräte, keine dienstliche an private Geräte anschliessen
  • !! Keinesfalls gefundene USB-Sticks zur Ermittlung des Besitzers an Geräte stecken !!
  • keine "private" Software auf Dienstgeräten installieren
  • regelmäßige Backups
  • Virenschutz und Software aktuell halten

Grundlegende Sicherungsmaßnahmen zur IT-Sicherheit finden Sie auch auf den entsprechenden Seiten des URMZ.

Quelle: Dieser Text basiert u.a. auf dem backUP-Magazin 04 „PC-Arbeitsplatz – Soviel Datenschutz muß an jedem Arbeitsplatz sein!“ Herausgeber: Datenschutzzentrum Schleswig-Holstein, Kiel, 2003

Awareness-Kampagne des TFM

Flyer zu verschiedenen Themenbereichen der IT-Sicherheit und des Datenschutzes:

Selbstlernkurs zu Grundlagen der IT-Sicherheit

kostenloser Selbstlernkurs im Web: BITS

(Behörden-IT-Sicherheitstraining) Dauer: ca. 1 Stunde

Wachsam im HomeOffice: Phishing erkennen

Information zur Sicherheit im Homeoffice sowie spielerische Übungen um Phishingversuche zu erkennen und abzuwehren:

WorkFromHome(Schweizer Unternehmen Lucy Security)

Mehr Informationen

Dienstanweisung Datenabfallund Anlage dazu, März 2018 (Anmeldung erforderlich)

IT-Sicherheitsrichtlinie, Sept. 2019

DSGVO-konformes Drucken (bitkom): Infos zum Drucken, Scannen, Faxen und Kopieren

Hilfsmittel:

 

Regeln für Anwender und Systembetreuer

.. der Universität Bamberg: gute Zusammenstellung für beide Zielgruppen

Sicherheitshinweise zu Adobe Creative Cloud

Mit der Registrierung bei Adobe wird automatisch auch die Mitnutzung der Adobe Creative Cloud freigeschaltet. Eine Freischaltung bedeutet nicht, dass die Cloudnutzung für dienstliche Zwecke geeignet ist.

Sie als registrierter Nutzer sind eigenverantwortlich für die Einhaltung des Dienst- und Amtsgeheimnis sowie des Datenschutzes und der IT-Sicherheit.

Folgende Regeln sind zu beachten:

  • Keine internen, vertraulichen Informationen der Hochschule in der Cloud speichern oder verarbeiten
  • Trennung von privatem und dienstlichem Account
  • Sandbox und geschützte Ansicht sollten nach Möglichkeit in Acrobat DC aus Sicherheitsgründen aktiviert  werden
  • Barrierefreiheit bei der Erstellung von PDF-Dokumenten berücksichtigen

(Unter Verwendung der Texte der Stabstelle IT-Recht der Uni Würzburg)

Einsatz von Microsoft Produkten

Der EU-Datenschutzbeauftragte Wiewiórowski hat die neuen Bedingungen für Großkunden der Firma Microsoft analysiert. Microsoft kann aus Datenschutzsicht immer noch nicht überzeugen. Nachzulesen hier:

EDPS Public Paper on Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services vom 2 July 2020. Er bemängelt u.a. das intransparente Erheben umfangreicher Telemetriedaten vom Betriebssystem bis zu einzelnen Anwendungen wie Word oder Excel. Er bemängelt, dass Microsoft sich das Recht vorbehält, einseitig jederzeit die Lizenzvereinbarung zu ändern. Ein Abfliessen von Daten in die USA könne nicht ausgeschlossen werden.

Verhindern von Google Analytics und/oder Malware-Skripten

Alle Browser auf vom URMZ administrierten Rechnern sind so konfiguriert, dass Sie ein "Do-not-track"-Signal aussenden und damit Inhalte, die Nutzer verfolgen, blockieren.

Von Google selbst gibt es ein BrowserPlugin, welches speziell die Datenübertragung im Rahmen von Google Analytics unterbindet: https://tools.google.com/dlpage/gaoptout?hl=de

Zusätzlichen Schutz, nicht nur, um Google am Datensammeln zu hindern, sondern auch aus IT-Sicherheitsgründen, bieten BrowserAddOns, welche Skripte blockieren.

Empfehlung:

  • U-block Origin: Geringer Speicherbedarf und niedrige CPU-Belastung, Tausende an Filtern können eingesetzt werden
  • NoScript: lässt aktive Inhalte nur für vertrauenswürdige Domains Ihrer Wahl zu, um das Ausnutzen von Sicherheitslücken zu verhindern.