Datenschutz

Entsorgung von Papierdokumenten

Problem:

Im Büroalltag fallen viele Papierdokumente mit vertraulichem Inhalt an (z.B. Entwürfe von Schreiben, die nicht zur Akte genommen werden, Fehlausdrucke von E-Mails etc.). Bei einer Entsorgung über den Büropapierkorb ist nicht sichergestellt, dass Dritte keine unberechtigte Kenntnis vom Inhalt nehmen können.

Lösung:

Papierdokumtente mit vertraulichem Inhalt sind über die vom Dezernat 4 zur Verfügung gestellten Papiersammelcontainer zu entsorgen (Näheres hier). Eine Entsorgung in Eigenregie ist nur dann zulässig, wenn ein zum Schutzbedarf der Dokumente passender Aktenvernichter gem. DIN 66399 verwendet wird (Sicherheitsstufe 3 oder höher).

Entsorgung von elektronischen Speichermedien

Problem:

Bei der nicht fachgerechten Löschung, Entsorgung oder Vernichtung elektronischer Speichermedien (CD-Rom, Festplatten, USB-Sticks u.ä.) lassen sich eine Vielzahl von Daten, die der Geheimhaltung und dem Datenschutz unterliegen, wieder herstellen.


Lösung:

Die Entsorgung von Datenträger erfolgt ausschließlich nach den Vorgaben, die durch das Dez. 4 hier festgelegt wurden.

Offene E-Mail-Verteiler

Problem:

Auch bei der Gestaltung von E-Mail-Verteilern sind datenschutzrechtliche Anforderungen zu berücksichtigen, da es sich bei (zumindest personalisierten) E-Mail-Adressen um personenbezogene Daten im Sinne des NDSG handelt.

Wird ein E-Mail-Verteiler verwendet, in dem alle angeschriebenen Personen im "AN-" oder "CC-Feld" adressiert werden, so sind die Adressaten für alle anderen Personen im Verteiler sichtbar. Aus dem Inhalt der E-Mail lassen sich über die bloße E-Mail-Adresse hinaus noch Zusatzinformationen über den Adressatenkreis gewinnen (z.B. wenn alle Adressaten Absolventen eines Jahrganges in einem bestimmten Studiengang sind). Datenschutzrechtlich handelt es sich dann über eine "Übermittlung" an Dritte, die nur aufgrund einer gesetzlichen Vorschrift oder einer Einwilligung der Betroffenen zulässig ist.

Lösung:

Statt in das "AN-Feld" oder "CC-Feld" sind die E-Mail-Adressen in das "BCC-Feld" (englisch: Blind Carbon Copy) einzutragen. So ist für den Adressaten nicht erkennbar, an wen eine E-Mail sonst noch versandt wurde.

In das „AN-Feld“ wird die eigene E-Mail-Adresse eingetragen.

Nutzung von "Doodle" zur Terminsabstimmung

Problem:

Bei der Terminsabtimmung über Doodle teilen Sie der Doodle AG, einem in der Schweiz ansässigen Unternehmen, nicht nur Ihre E-Mail-Adresse und Ihren Namen, sondern ggf. auch den dienstlichen Anlass der Terminsabstimmung mit. Dadurch können sowohl Geheimhaltungsinteressen des Arbeitsgebers als auch Belange des Datenschutzes verletzt werden. Denn auch die Tatsache, ob und mit wem Sie dientlich kommunizieren, unterliegt grds. der Geheimhaltung.

Doodle verwendet darüber hinaus Google Analytics und andere Auswertungsmechanismen, die eine Profilbildung sowie gezielte Werbung ermöglichen.

Lösung:

Termine können komfortabel auch über das auf allen Dienstrechnern installierte Microsoft Outlook koodiniert werden. Die Daten bleiben dann grds. innerhalb des Universitäts-Netzes.

Sollte es dennoch einmal unerlässlich sein, einen externen Dienst zu nutzen, sollte auf die datenschutzfreundlichere Alternative des DFN-Vereins (Deutsches Forschungsnetz) unter https://terminplaner.dfn.de zurückgegriffen werden. Hier erfolgt die Datenübertragung verschlüsselt, die Umfrage kann mit einem Löschdatum versehen werden und die Aktivatitäten werden weder ausgewertet noch erhalten Sie Werbung.

Verfahrensbeschreibung

Problem:

Durch eine unzureichende Dokumentation von Datenverarbeitungsvorgängen kann einerseits nicht nachgewiesen werden, dass nur die Daten verarbeitet werden, die für die jeweilige Aufgabenerfüllung erforderlich sind und daher auch verarbeitet werden dürfen. Darüber hinaus besteht die Gefahr, dass technische und organisatorische Datenschutzmaßnahmen nicht hinreichend verbindlich festgelegt sind und daher ohne vorherige Überprüfung verändert werden.

Lösung:

Für jedes Verfahren, bei dem automatisiert personenbezogene Daten verarbeitet werden, ist gem. § 8 NDSG eine Verfahrensbeschreibung (externer Link) zu erstellen, dem Datenschutzbeauftragten zur Verfügung zu stellen und aktuell zu halten. Bei der Anfertigung unterstützt der Datenschutbeauftragte die Dienststelle.