Tipps und Hinweise zum Datenschutz

Hauptnavigation Anfang

Hauptnavigation Ende

Tipps und Hinweise zum Datenschutz

 

 

  1. Allgemeine Hinweise
  2. Übermittlung sensibeler Daten im Internet
  3. Personenbezogene Daten von Studierenden im WWW
  4. Prüfungsergebnisse im WWW
  5. Anfragen nach Studierendendaten
  6. Videokonferenzen, -überwachung und -übertragung
  7. Terminvereinbarung mit "doodle"
  8. Weiterführende Informationen
  

 

  1. Allgemeine Hinweise:

    Bitte beachten Sie stets das Grundrecht auf informationelle Selbstbestimmung!

    Jede natürliche Person hat das Recht, grundsätzlich selbst über die Preisgabe und Verwendung Ihrer personenbezogenen Daten, also Einzelangaben über persönliche oder sachliche Verhältnisse, zu bestimmen.

    (Grundlegend: BVerfG, Urteil vom 15.12.1983, BVerGE 65, 1 - Volkszählungsurteil)
     

  2. Übermittlung sensibeler Daten im Internet:

    Bitte bedenken Sie stets, dass die Übertragung von Daten im Internet in der Regel unverschlüsselt erfolgt und es weder Authentizitäts- noch Integritätsprüfungen gibt, dass also jeder, der über entsprechendes Know-how verfügt, Daten abhören und verfälschen kann.

    Die Übermittlung sensibeler Daten (E-Mails mit Passwörtern, Upload von Klausurergebnissen an das Prüfungsamt etc.) sollte daher stets über entsprechend gesicherte Kanäle erfolgen:

    • Sichere Webseiten: https://...
    • Verschlüsselte und signierte E-Mail: S/MIME, PGP, GPG
    • Sicheres Abrufen und Versenden von E-Mail: TLS/SSL/IMAPS

    Für die Wahrung von Authentizität und Integrität (etwa bei der Übermittlung von Prüfungsergebnissen an Prüfungsämter) ist es - insb. auch wegen der rechtlichen Relevanz - empfehlenswert, die Daten zusätzlich in gedruckter Form per Hauspost zu verschicken.
    Bei der Mitteilung von Authentifikationsdaten (Benutzername und Passwort) sollten zwei unterschiedliche Übermittlungswege gewählt werden (z.B. Benutzername per E-Mail, Passwort per Telefon).
     

  3. Personenbezogene Daten von Studierenden im WWW:

    Im Gegensatz zu den Mitarbeitern der Universität, die zur Veröffentlichung von funktionsspezifischen Daten (z.B. dienstliche Kontaktdaten) verpflichtet sind, dürfen personenbezogene Daten von Studierenden nur dann veröffentlicht werden, wenn Einwilligungen der entsprechenden Personen vorliegen.

    Voraussetzungen für eine Einwilligung (§ 4 Abs. 1 b) DSG-NRW) sind:

    • Informiertheit: die vorherige umfassende Aufklärung der Betroffenen über den gesamten Prozess der Datenverarbeitung einschließlich den Verwendungszweck der Daten, der ausdrücklicher Hinweis auf Freiwilligkeit sowie Information über das jederzeitige Widerrufsrecht
    • Freiwilligkeit (auch frei von (sozialem) Druck; es muss Handlungsalternativen geben)
    • Widerruflichkeit
    • schriftliche Erklärung

    Nach Möglichkeit sollten keinerlei personenbezogene Daten von Studierenden frei im WWW verfügbar sein. So sollte z.B. eine Liste von E-Mail-Adressen zur Kontaktierung der Studierenden durch den Lehrkörper nur von den Rechnern der betreffenden Lehrenden erreichbar sein.

    Ein Zugriff auf personenbezogenen Daten von Studierenden, die eine Profilbildung ermöglichen (Name, Kontaktdaten, Informationen über den Studienverlauf, Teilnahme an Lehrveranstaltungen) muss in jedem Fall durch persönliche Authentifikation (Benutzername und Passwort) gesichert werden. Eine Anmeldung allein durch die (vielfach bereits zusammen mit dem Namen im WWW verfügbare) Matrikelnummer ist nicht zulässig.
     

  4. Bekanntgabe von Prüfungsergebnissen (Notenlisten etc.) im WWW:

    Bei Prüfungsergebnissen handelt es sich um personenbezogene Daten. Die Veröffentlichung von Notenlisten im WWW kann daher nur unter Berücksichtigung besonderer Richtlinien erfolgen:

    • Die Veröffentlichung von Prüfungsergebnissen im WWW sollte in ihrer Zugänglichkeit einem (Tür-)Aushang innerhalb des Fachbereich oder der Fachgruppe entsprechen.

      Dazu gibt es zwei Möglichkeiten:

      1. Einschränkung des Zugriff auf die Rechner des entsprechenden Bereiches, also auf die IP-Adressen oder das Subnetz der Rechner der Fachgruppe bzw. der Studierendenrechnercluster
      2. Zugangsbeschränkung durch Authentifikationsdaten (Benutzername und Passwort), die den Studierenden in der Lehrveranstaltung mitgeteilt werden.
    • Nach Möglichkeit sollten alle Ergebnisse pseudonymisiert (d.h. ohne Kenntnis einer Zuordnungsfunktion nicht einer bestimmten oder bestimmbaren Person zuordenbar) sein. Da Matrikelnummer vielfach zusammen mit Namen im Netz verfügbar sind, können sie nicht als Pseudonyme verwendet werden.

      Eine Möglichkeit der Pseudonymisierung ist, die ersten zwei oder drei der neun Ziffern der Matrikelnummer unkenntlich zu machen, insb. da die ersten beiden Ziffern Aufschluß über das Jahr der Ersteinschreibung geben:

                    Matrikelnummer   Note
              XXX1352          1,3
              XXX2444          3,3
              XXX4111          5,0
      Bei Verwendung eines Tabellenkalkulationsprogrammes (Excel, OpenOffice Calc, etc.) kann man zu diesem Zweck eine Funktion folgender Art verwenden: 
                    VERKETTEN("XXX";RECHTS(TEXT(Zelle mit Matrikelnummer;"0000000");4))
      Diese Unkenntlichmachung ist auch bei Aushängen an Türen empfehlenswert.
       
    • Für die Veröffentlichung im Internet sollte (wie bei sämtlichen personenbezogenen Daten SSL-verschlüsselte Übertragung (https) verwendet werden.
       
    • Namen und Matrikelnummern dürfen niemals gemeinsam angegeben werden!
       
    • Zusätzliche Informationen über Studierende wie Täuschungsversuche etc. sollten niemals öffentlich aufgelistet werden! Derartige Information dürfen nur persönlich mitgeteilt werden.
       
    • Studierende, deren Matrikelnummern nicht verfügbar sind, sollten nicht auf veröffentlichten Listen erscheinen. Anstelle dessen sollte in diesem Fall die Mitteilung des Prüfungsergebnisses (neben einer Erläuterung der Funktion der Matrikelnummer für organisatorische Zwecke) persönlich erfolgen.
       
    • Prüfungsergebnisse dürfen nur so lange im Netz verfügbar sein wie erforderlich, üblicherweise maximal vier Wochen. Anschließend müssen nicht nur Links entfernt werden, sondern auch die Ergebnislisten selbst.
       
    Weitere Informationen bei ZENDAS
     

  5. Umgang mit Anfragen nach Studierendendaten:

    Im Fall von Anfragen externer Personen (Vermieter, Eltern, Kommilitonen, ...) oder Einrichtungen (Krankenkassen, BAföG-Stellen, ...) , die zum Ziel haben, dass personenbezogene Daten weitergegeben oder zum Abruf bereitgehalten werden sollen (d.h. eine Übermittlung der Daten wünschen) ist grundsätzlich

    • eine Identifikation des/der Anfragenden (i.A. in Schriftform) sowie
    • die Prüfung der Zulässigkeit (die Einwilligung des Betroffenen oder eine entsprechende Rechtsvorschrift, auf die der/die Anfragende explizit verweisen muss) erforderlich.

    Rechtsgrundlagen und Hinweise für spezielle Situationen lassen sich durch das ZENDAS Anfragetool klären (Achtung: Vollzugriff nur für Rechner der Hochschulverwaltung!). Bitte beachten Sie, dass eine Berufung auf "Amtshilfe" keine ausreichende Rechtsgrundlage für eine Datenübermittlung darstellt!
     

  6. Videokonferenzen, -überwachung und -übertragung:

      ...mehr
     

  7. Teminvereinbarung mit "doodle":

    Von Terminabsprachen mit der webbasierten Software "doodle" über die Webseite www.doodle.com ist aus datenschutzrechtlicher Sicht dringend abzuraten (siehe z.B. ZENDAS: Datenschutzrechtliche Bewertung von Doodle). In der Bergischen Universität Wuppertal besteht Einigkeit darüber, dass "doodle" für dienstliche Terminabsprachen nicht verwendet werden darf. Anstelle dessen sollte der (funktional äquivalente) DFN Terminplaner (DFN scheduler) genutzt werden.
     

  8. Weiterführende Informationen:


     
  
Letzte Änderung: - B. Märtin / P. Feuerstein

Druckversion von http://www.uni-wuppertal.de/universitaet/struktur_institutionen/datenschutz/DS-Tips.html