Kontakt

Prof. Dr. Andrea Ruppert
Tel.: (069) 1533-3020
dsb@hsl.fra-uas.de

FAQ

E-Mails und Sicherheit

Wer eine E-Mail versendet, sollte wissen, dass er damit praktisch in einem elektronischen Netz eine Postkarte versendet, die von einer unbekannten Zahl von Personen gelesen werden kann. Vertrauliche und sensible personenbezogene Daten gehören deshalb nicht in eine ungeschützte E-Mail. Diese Feststellung gilt insbesondere für E-Mail, die Informationen über Beschäftigte oder Studierende zum Gegenstand haben. Diese sollten auf elektronischem Weg nur versandt werden, wenn sie durch entsprechende Programme verschlüsselt sind. Das mindestes ist der Schutz der Informationen sowie beigefügter Dokumente durch ein Passwort.

Zurück zu den Fragen

Notenlisten

Notenlisten enthalten sensible personenbezogene Daten der Studierenden. Deshalb ist besondere Sorgfalt im Umgang mit diesen Informationen geboten. Sollen diese öffentlich ausgehängt werden, ist dies nur in einer Form zulässig, durch die die Anonymität der Studierenden gewahrt bleibt (z.B. durch Beschränkung auf die Matrikel-Nummern). Es ist hierbei sicherzustellen, dass nicht an anderer Stelle die Verbindung zwischen den Namen der Studierenden und den Matrikel-Nummern öffentlich gemacht wird (z.B. durch Aushang dieser Informationen im Zusammenhang mit Prüfungen, Laborplätzen usw.)

Sollen Notenlisten elektronisch zugänglich gemacht werden, ist wegen der entstehenden Auswertungsmöglichkeiten besondere Sorgfalt geboten. Dieser Weg ist aus datenschutzrechtlicher Sicht nur unter den folgenden Voraussetzungen gangbar:

  • Erste Voraussetzung einer elektronischen Veröffentlichung ist das Vorliegen einer (freiwilligen) Zustimmung der Studierenden (z.B. durch entsprechende schriftliche Erklärung bei Abgabe der Klausur).
  • Zweite Voraussetzung ist der Schutz der veröffentlichten Daten durch entsprechende Vorkehrungen (z.B. Verschlüsselung durch entsprechende Programme oder das "Zippen" unter Verwendung eines Paßwortes). Die entsprechenden Paßwörter können den Teilnehmern einer Klausur im Klausurtermin zur Kenntnis gegeben werden.
  • Dritte Voraussetzung ist, dass für die Studierenden, die nicht zugestimmt haben, vergleichbare andere Möglichkeiten der Kenntnisnahme geschaffen werden (z.B. der vorstehend beschriebene Aushang unter Angabe der Matrikel-Nummern). Niemand darf benachteiligt werden, weil er diesen Weg wählt.

Die Einhaltung dieser drei Voraussetzungen ist in der Praxis weniger kompliziert, als es sich hier anhört. Hinweise zu entsprechende Verschlüsselungsverfahren finden sich bspw. auf den Internet-Seiten der Landesdatenschutzbeauftragten von Schleswig-Holstein oder Berlin.

Für offene Fragen steht der Datenschutzbeauftragte der FRA-UAS zur Verfügung.

Zurück zu den Fragen

Passwort

Das persönliche Passwort öffnet den Zugang zu IT-Anwendungen. Wer es kennt, hat Zugang zu allen Möglichkeiten eines Systems, die bestimmten Personen offen stehen.

Ein sicheres Passwort sollte deshalb nie ein Wort sein, das im Duden steht (z.B. Namen oder Einzelbegriffe). Derartige Passworte lassen sich mit entsprechenden Programmen relativ einfach "knacken". Erforderlich ist vielmehr die Verwendung von "gemischten" Passworten, die numerische und alphanumerische Zeichen sowie Symbole enthalten (z.B. "123Hase!?"). Auch Sätze sind denkbar und relativ sicher (z.B. "Wieder3?vergessen!").

Ein sicheres Passwort sollte nirgends aufgeschrieben und nur dem Verwender bekannt sein. Dabei sollte sich beispielsweise jede/r bewußt machen, dass sie/er im Streitfall beweisen muss, dass eine unzulässige oder mißbräuchliche IT-Nutzung nicht von ihr/ihm durchgeführt worden ist.

Ein Passwort bleibt nur sicher, wenn es regelmäßig verändert wird (Wochen- oder mindestens Monatsturnus!).

Bei der Eingabe des Passwortes sollten Dritte nicht zuschauen können ("über die Schulter sehen"). Ein Dritten bekannt gewordenes Passwort sollte sofort geändert werden.

Die Einhaltung der vorstehenden Tipps, die einfach umsetzbar sind, sollte allen Beschäftigten selbstverständlich sein.

Weitere Informationen zum Thema „Sichere Passwörter“ finden Sie

  • im „Ratgeber zum Datenschutz Nr. 3“ des Berliner Beauftragten für Datenschutz und Informationsfreiheit
    Link zum PDF
  • auf der Homepage des DatenschutzbeauftragtenBaden-Württemberg
    Link zum PDF

Ein dienstlich genutztes persönliches Passwort darf nur der Nutzerin / dem Nutzer selbst bekannt sein. Hieraus folgt, dass es nicht an Kolleginnen / Kollegen bzw. an Vorgesetzte weiter gegeben werden darf. Unzulässig ist damit auch das Verlangen der Herausgabe des persönlichen Passworts (etwa vor Antritt des eigenen Urlaubs). Werden bestimmte Dateien während der Abwesenheit von anderen Personen benötigt, müssen diese in für sie zugängliche Bereiche eingestellt werden.

Zurück zu den Fragen

Verfahrensverzeichnis und Vorabkontrolle

Für jedes Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das an der Hochschule eingesetzt wird, ist ein sog. Verfahrensverzeichnis zu erstellen. 

Verantwortlich für die Erstellung des Verfahrensverzeichnis ist die datenverarbeitende Stelle. Das Formular für die Erstellung beruht auf einem Erlass und ist daher in der vorgegebenen Form zu verwenden. Das Formular finden Sie hier.

Des Weiteren ist vor dem ersten Einsatz oder einer wesentlichen Änderung eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten eine sog. Vorabkontrolle durchzuführen. Dies ist eine Untersuchung, ob durch die beabsichtigte automatisierte Datenverarbeitung das in § 1 Abs. 1 Nr. 1 HDSG beschriebene Recht der informtionellen Selbstbestimmung der vom automatisierten Verfahren betroffenen natürlichen Personen beinträchtigt wird. Eine Anleitung zur Erstellung dieser Vorabkontrolle finden Sie hier.

Sollten Sie weitere Fragen haben oder weitere Hilfestellung benötigen, zögern Sie bitte nicht mich anzusprechen.

Verschlüsselung

In IT-Systemen enthaltene Informationen (Dateien, Texte usw.) sind nur dann gegen den Zugriff Dritter geschützt, wenn sie mit einem sicheren Verfahren verschlüsselt sind. Personenbezogene Informationen in dienstlichen Angelegenheiten sollten als E-Mail grundsätzlich nur verschlüsselt über öffentliche Netze versendet werden.

Entsprechendes gilt natürlich auch für andere Dateien (insbesondere Textdokumente, Tabellenkalkulationen usw.), wenn diese personenbezogene Daten enthalten. Hier sollten in jedem Fall die Passwortfunktionen genutzt werden, die praktisch alle Programme anbieten. Bei der elektronischen Übermittlung besonderer personenbezogener Daten (hierzu gehören nach § 7 Abs. 3 HDSG Daten zur Gesundheit, zum Sexualleben, zur politischen Überzeugung, zur rassischen oder ethnischen Herkunft und zur religiösen oder philosophischen Überzeugung) müssen darüber hinaus weitere Vorkehrungen durch besondere Verschlüsselungen getroffen werden. Hierzu eignen sich allgemein zugängliche Programme wie „PGP“ oder „GnuPG“

Weitere Informationen zur Verschlüsselung finden Sie

  • auf der Homepage des Unabhängigen Landeszentrums für Datenschutz
    Link zum Angebot

Zurück zu den Fragen