Tipps und Hinweise zum Datenschutz

  1. Allgemeine Hinweise
  2. Übermittlung sensibeler Daten im Internet
  3. Personenbezogene Daten von Studierenden im Internet
  4. Prüfungsergebnisse im WWW
  5. Anfragen nach Studierendendaten
  6. Terminvereinbarung mit doodle
  7. E-Mail-Konten bei externen Providern
  8. Datenspeicherung "in der Cloud" (DropBox, ...)

Zurück zur Übersicht

  1. Allgemeine Hinweise:

    Bitte beachten Sie stets das Grundrecht auf informationelle Selbstbestimmung!

    Jede natürliche Person hat das Recht, grundsätzlich selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten, also Einzelangaben über persönliche oder sachliche Verhältnisse, zu bestimmen.

    (Grundlegend: BVerfG, Urteil vom 15.12.1983, BVerGE 65, 1 - Volkszählungsurteil)

  2. Übermittlung sensibeler Daten im Internet:

    Bitte bedenken Sie stets, dass die Übertragung von Daten im Internet in der Regel unverschlüsselt erfolgt und es weder Authentizitäts- noch Integritätsprüfungen gibt, dass also jeder, der über entsprechendes Know-how verfügt, Daten abhören und verfälschen kann.

    Die Übermittlung sensibeler Daten (E-Mails mit Passwörtern, Upload von Klausurergebnissen an das Prüfungsamt etc.) sollte daher stets über entsprechend gesicherte Kanäle erfolgen.

    Für die Wahrung von Authentizität und Integrität (etwa bei der Übermittlung von Prüfungsergebnissen an Prüfungsämter) ist es - insb. auch wegen der rechtlichen Relevanz - empfehlenswert, die Daten zusätzlich in gedruckter Form per Hauspost zu verschicken. Bei der Mitteilung von Authentifikationsdaten (Benutzername und Passwort) sollten zwei unterschiedliche Übermittlungswege gewählt werden (z.B. Benutzername per E-Mail, Passwort per Telefon).

  3. Personenbezogene Daten von Studierenden im Internet:

    Im Gegensatz zu den Mitarbeitern der Universität, die zur Veröffentlichung von funktionsspezifischen Daten (z.B. dienstliche Kontaktdaten) verpflichtet sind, dürfen personenbezogene Daten von Studierenden nur dann veröffentlicht werden, wenn Einwilligungen der entsprechenden Personen vorliegen.

    Die Voraussetzungen für eine vollständige und rechtgemäße Einwilligung nach DSGVO finden sich in der Checkliste Einwilligungserklärung (PDF-Datei), dazu gehören insbesondere:

    • Informiertheit: die vorherige umfassende Aufklärung der Betroffenen über den gesamten Prozess der Datenverarbeitung einschließlich den Verwendungszweck der Daten, der ausdrücklicher Hinweis auf Freiwilligkeit sowie Information über das jederzeitige Widerrufsrecht
    • Freiwilligkeit (auch frei von (sozialem) Druck; es muss Handlungsalternativen geben)
    • Widerruflichkeit

    Nach Möglichkeit sollten keinerlei personenbezogene Daten von Studierenden frei im WWW verfügbar sein. So sollte z.B. eine Liste von E-Mail-Adressen zur Kontaktierung der Studierenden durch den Lehrkörper nur von den Rechnern der betreffenden Lehrenden erreichbar sein. Dies gilt auch für E-Mails an Gruppen von Studierenden, bei denen grundsätzlich keine offene Adressierung zu wählen ist sondern der Weg über eingeschränkt erreichbare Verteilerlisten oder die Adressierung via BCC (blind carbon copy).

    Ein Zugriff auf personenbezogenen Daten von Studierenden, die eine Profilbildung ermöglichen (Name, Kontaktdaten, Informationen über den Studienverlauf, Teilnahme an Lehrveranstaltungen) muss in jedem Fall durch persönliche Authentifikation (Benutzername und Passwort) gesichert werden. Eine Anmeldung allein durch die (vielfach bereits zusammen mit dem Namen im WWW verfügbare) Matrikelnummer ist nicht zulässig.

  4. Bekanntgabe von Prüfungsergebnissen (Notenlisten etc.) im WWW:

    Bei Prüfungsergebnissen handelt es sich um personenbezogene Daten. Die Veröffentlichung von Notenlisten im WWW kann daher nur unter Berücksichtigung besonderer Richtlinien erfolgen:

    Weitere Informationen bei ZENDAS
    • Die Veröffentlichung von Prüfungsergebnissen im WWW sollte in ihrer Zugänglichkeit einem (Tür-)Aushang innerhalb des Fachbereich oder der Fachgruppe entsprechen.

      Dazu gibt es zwei Möglichkeiten:

      1. Einschränkung des Zugriff auf die Rechner des entsprechenden Bereiches, also auf die IP-Adressen oder das Subnetz der Rechner der Fachgruppe bzw. der Studierendenrechnercluster
      2. Zugangsbeschränkung durch Authentifikationsdaten (Benutzername und Passwort), die den Studierenden in der Lehrveranstaltung mitgeteilt werden.
    • Nach Möglichkeit sollten alle Ergebnisse pseudonymisiert (d.h. ohne Kenntnis einer Zuordnungsfunktion nicht einer bestimmten oder bestimmbaren Person zuordenbar) sein. Da Matrikelnummer vielfach zusammen mit Namen im Netz verfügbar sind, können sie nicht als Pseudonyme verwendet werden.

      Eine Möglichkeit der Pseudonymisierung ist, die ersten zwei oder drei der sieben Ziffern der Matrikelnummer unkenntlich zu machen, insb. da die ersten beiden Ziffern Aufschluß über das Jahr der Ersteinschreibung geben:

      Martrikelnumme Note

      XXX 1352 1,3
      XXX 2444 3,3
      XXX 4111 5,0

      Diese Unkenntlichmachung ist auch bei Aushängen an Türen empfehlenswert.
    • Für die Veröffentlichung im Internet sollte (wie bei sämtlichen personenbezogenen Daten) ausschließlich transportverschlüsselte Übertragung verwendet werden.
    • Namen und Matrikelnummern dürfen niemals gemeinsam angegeben werden!
    • Zusätzliche Informationen über Studierende wie Täuschungsversuche etc. sollten niemals öffentlich aufgelistet werden! Derartige Information dürfen nur persönlich mitgeteilt werden.
    • Studierende, deren Matrikelnummern nicht verfügbar sind, sollten nicht auf veröffentlichten Listen erscheinen. Anstelle dessen sollte in diesem Fall die Mitteilung des Prüfungsergebnisses (neben einer Erläuterung der Funktion der Matrikelnummer für organisatorische Zwecke) persönlich erfolgen.
    • Prüfungsergebnisse dürfen nur so lange im Netz verfügbar sein wie erforderlich, üblicherweise maximal vier Wochen. Anschließend müssen nicht nur Links entfernt werden, sondern auch die Ergebnislisten selbst.
  5. Umgang mit Anfragen nach Studierendendaten:

    Im Fall von Anfragen externer Personen (Vermieter, Eltern, Kommilitonen, ...) oder Einrichtungen (Krankenkassen, BAföG-Stellen, ...) , die zum Ziel haben, dass personenbezogene Daten weitergegeben oder zum Abruf bereitgehalten werden sollen (d.h. eine Übermittlung der Daten wünschen) ist grundsätzlich

    • eine Identifikation des/der Anfragenden (i.A. in Schriftform) sowie
    • die Prüfung der Zulässigkeit (die Einwilligung des Betroffenen oder eine entsprechende Rechtsvorschrift, auf die der/die Anfragende explizit verweisen muss) erforderlich.

    Rechtsgrundlagen und Hinweise für spezielle Situationen lassen sich durch das ZENDAS Anfragetool klären (Achtung: Vollzugriff nur für Rechner der Hochschulverwaltung!). Bitte beachten Sie, dass eine Berufung auf "Amtshilfe" keine ausreichende Rechtsgrundlage für eine Datenübermittlung darstellt!

    • Teminvereinbarung mit doodle:

      Von Terminabsprachen mit der webbasierten Software "doodle" über die Webseite www.doodle.com ist aus datenschutzrechtlicher Sicht dringend abzuraten (siehe z.B. ZENDAS: Datenschutzrechtliche Bewertung von Doodle). In der Bergischen Universität Wuppertal besteht Einigkeit darüber, dass "doodle" für dienstliche Terminabsprachen nicht verwendet werden darf. Anstelle dessen sollte der (funktional äquivalente) DFN Terminplaner (DFN scheduler) genutzt werden.
    • E-Mail-Konten bei externen Providern:

      Bitte beachten Sie, dass dienstliche E-Mail grundsätzlich den gleichen Vertraulichkeitsregeln unterliegt, wie dienstliche Telefonate, Besprechungen oder sonstige Handlungen.

      Wenn hochschulinterne, vertrauliche Daten über einen gewerblichen Provider geschickt werden, liegt der Mailverkehr nicht mehr im Einflussbereich der Hochschule und damit auch nicht, was mit den Inhalten passiert: Sammlung von E-Mail-Adressen, Inhaltsanalyse für die Erstellung von Statistiken und Verhaltensprofilen, etc.

      E-Mail-Konten bei externen Providern (WEB.DE Mail, Google Mail, ...), deren datenschutzrechtliche Überprüfung durch die behördliche Datenschutzbeauftragte der Bergischen Universität Wuppertal nicht erfolgt oder unmöglich ist, dürfen daher grundsätzlich nicht für den dienstlichen E-Mail-Verkehr genutzt werden. Insbesondere die automatisierte Weiterleitung dienstlicher E-Mail von E-Mail-Konten innerhalb der Universität auf solche externen Mailboxen ist unzulässig.

      Siehe auch: E-Mail-Netiquette der Bergischen Universität Wuppertal

    • Datenspeicherung "in der Cloud" (DropBox, etc.):

      Ebenso wie E-Mail-Konten bei externen Providern (Google Mail, ...), deren datenschutzrechtliche Überprüfung durch die behördliche Datenschutzbeauftragte der Bergischen Universität Wuppertal nicht erfolgt oder unmöglich ist, dürfen Cloud-Lösungen für die Datenspeicherung bei externen Providern (DropBox, ...) grundsätzlich dann nicht genutzt werden, wenn personenbezogene, dienstliche oder vertrauliche Daten gespeichert werden sollen, da in diesem Fall hochschulinterne, vertrauliche Daten nicht mehr im Einflussbereich der Hochschule liegen.

      Anstelle der Nutzung externer Cloud-Speicher-Dienste wird allen Mitgliedern und Angehörigen der Bergischen Universität Wuppertal die Campus-Cloud Sciebo empfohlen, wobei auch dieser Dienst ohne weitere technische Sicherungsmaßnahmen nicht für die Speicherung personenbezogener Daten genutzt werden darf.

    Zurück zur Übersicht

    Letzte Änderung: 06.03.2020 - B. Märtin / P. Feuerstein

    Weitere Infos über #UniWuppertal: