Kontakt

Prof. Dr. Andrea Ruppert
Tel.: (069) 1533-3020
dsb@hsl.fra-uas.de

FAQ

E-Mails und Sicherheit

Wer eine E-Mail versendet, sollte wissen, dass er damit praktisch in einem elektronischen Netz eine Postkarte versendet, die von einer unbekannten Zahl von Personen gelesen werden kann. Vertrauliche und sensible personenbezogene Daten gehören deshalb nicht in eine ungeschützte E-Mail. Diese Feststellung gilt insbesondere für E-Mail, die Informationen über Beschäftigte oder Studierende zum Gegenstand haben. Diese sollten auf elektronischem Weg nur versandt werden, wenn sie durch entsprechende Programme verschlüsselt sind. Das mindestes ist der Schutz der Informationen sowie beigefügter Dokumente durch ein Passwort.

Zurück zu den Fragen

Notenlisten

Eine Handreichung zum Umgang mit Noten- und Punktelisten sowie anderen schützenswerten Studierendendaten finden Sie hier

Für offene Fragen steht der Datenschutzbeauftragte der FRA-UAS zur Verfügung.

Zurück zu den Fragen

Passwort

Das persönliche Passwort öffnet den Zugang zu IT-Anwendungen. Wer es kennt, hat Zugang zu allen Möglichkeiten eines Systems, die bestimmten Personen offen stehen.

Ein sicheres Passwort sollte deshalb nie ein Wort sein, das im Duden steht (z.B. Namen oder Einzelbegriffe). Derartige Passworte lassen sich mit entsprechenden Programmen relativ einfach "knacken". Erforderlich ist vielmehr die Verwendung von "gemischten" Passworten, die numerische und alphanumerische Zeichen sowie Symbole enthalten (z.B. "123Hase!?"). Auch Sätze sind denkbar und relativ sicher (z.B. "Wieder3?vergessen!").

Ein sicheres Passwort sollte nirgends aufgeschrieben und nur dem Verwender bekannt sein. Dabei sollte sich beispielsweise jede/r bewußt machen, dass sie/er im Streitfall beweisen muss, dass eine unzulässige oder mißbräuchliche IT-Nutzung nicht von ihr/ihm durchgeführt worden ist.

Ein Passwort bleibt nur sicher, wenn es regelmäßig verändert wird (Wochen- oder mindestens Monatsturnus!).

Bei der Eingabe des Passwortes sollten Dritte nicht zuschauen können ("über die Schulter sehen"). Ein Dritten bekannt gewordenes Passwort sollte sofort geändert werden.

Die Einhaltung der vorstehenden Tipps, die einfach umsetzbar sind, sollte allen Beschäftigten selbstverständlich sein.

Weitere Informationen zum Thema „Sichere Passwörter“ finden Sie

  • im „Ratgeber zum Datenschutz Nr. 3“ des Berliner Beauftragten für Datenschutz und Informationsfreiheit
    Link zum PDF
  • auf der Homepage des DatenschutzbeauftragtenBaden-Württemberg
    Link zum PDF

Ein dienstlich genutztes persönliches Passwort darf nur der Nutzerin / dem Nutzer selbst bekannt sein. Hieraus folgt, dass es nicht an Kolleginnen / Kollegen bzw. an Vorgesetzte weiter gegeben werden darf. Unzulässig ist damit auch das Verlangen der Herausgabe des persönlichen Passworts (etwa vor Antritt des eigenen Urlaubs). Werden bestimmte Dateien während der Abwesenheit von anderen Personen benötigt, müssen diese in für sie zugängliche Bereiche eingestellt werden.

Zurück zu den Fragen

Verfahrensverzeichnis und Vorabkontrolle

Für jedes Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das an der Hochschule eingesetzt wird, ist ein sog. Verfahrensverzeichnis zu erstellen. 

Verantwortlich für die Erstellung des Verfahrensverzeichnis ist die datenverarbeitende Stelle. Das Formular für die Erstellung beruht auf einem Erlass und ist daher in der vorgegebenen Form zu verwenden. Das Formular finden Sie hier.

Des Weiteren ist vor dem ersten Einsatz oder einer wesentlichen Änderung eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten eine sog. Vorabkontrolle durchzuführen. Dies ist eine Untersuchung, ob durch die beabsichtigte automatisierte Datenverarbeitung das in § 1 Abs. 1 Nr. 1 HDSG beschriebene Recht der informtionellen Selbstbestimmung der vom automatisierten Verfahren betroffenen natürlichen Personen beinträchtigt wird. Eine Anleitung zur Erstellung dieser Vorabkontrolle finden Sie hier.

Sollten Sie weitere Fragen haben oder weitere Hilfestellung benötigen, zögern Sie bitte nicht mich anzusprechen.

Verschlüsselung

In IT-Systemen enthaltene Informationen (Dateien, Texte usw.) sind nur dann gegen den Zugriff Dritter geschützt, wenn sie mit einem sicheren Verfahren verschlüsselt sind. Personenbezogene Informationen in dienstlichen Angelegenheiten sollten als E-Mail grundsätzlich nur verschlüsselt über öffentliche Netze versendet werden.

Entsprechendes gilt natürlich auch für andere Dateien (insbesondere Textdokumente, Tabellenkalkulationen usw.), wenn diese personenbezogene Daten enthalten. Hier sollten in jedem Fall die Passwortfunktionen genutzt werden, die praktisch alle Programme anbieten. Bei der elektronischen Übermittlung besonderer personenbezogener Daten (hierzu gehören nach § 7 Abs. 3 HDSG Daten zur Gesundheit, zum Sexualleben, zur politischen Überzeugung, zur rassischen oder ethnischen Herkunft und zur religiösen oder philosophischen Überzeugung) müssen darüber hinaus weitere Vorkehrungen durch besondere Verschlüsselungen getroffen werden. Hierzu eignen sich allgemein zugängliche Programme wie „PGP“ oder „GnuPG“

Weitere Informationen zur Verschlüsselung finden Sie

  • auf der Homepage des Unabhängigen Landeszentrums für Datenschutz
    Link zum Angebot

Zurück zu den Fragen