Häufige Fragen / F.A.Q.
Was ist bei Verlassen des Arbeitsplatzes zu beachten?
IT-Benutzer müssen dafür sorgen, dass Unbefugte keinen Zugang zu IT-Anwendungen oder Zugriff auf Daten erhalten und auch jeder andere muss mit der gleichen Sorgfalt seinen Arbeitsplatz überprüfen und sicherstellen, dass sensible Informationen weder frei zugänglich sind, noch die die Verfügbarkeit, Vertraulichkeit oder Integrität von Daten negativ beeinflusst werden kann.
Unbefugte dürfen unter keinen Umständen Zugriff auf Datenträger (wie Disketten, USB -Sticks oder Festplatten) oder Unterlagen (z. B. Ausdrucke) haben. Beim Verlassen des Arbeitsplatzes während der Arbeitszeit, reicht es meist aus, den Raum zu verschließen oder den Bildschirm so zu sperren, dass ein Weiterarbeiten nur nach vorheriger Passworteingabe möglich ist. Bei längeren Abwesenheiten müssen Unterlagen sowie Datenträger in dafür vorgesehene abschließbare Schränke geräumt werden.
Gleiches gilt für Passwörter. Sie dürfen auf keinen Fall in irgendeiner Schublade liegen oder gar als Zettel an der Pinnwand hängen. Des Weiteren sollten Sie nicht leicht zu erraten sein. Im Internet finden Sie viele Hinweise dazu, wie ein sicheres Passwort aussehen kann.
Welche Regeln gelten beim Versand von E-Mails an mehrere Empfänger?
Deshalb: Beim Versand einer E-Mail an mehrere Empfänger das CC-Feld umwandeln zu BCC (Blind Carbon Copy oder auch Blindkopie) und schon ist man vor einer möglichen Datenpanne geschützt.
Wie lauten die Grundsätze der Verarbeitung personenbezogener Daten?
Artikel 5 Abs. 1 DSGVO regelt die Grundsätze der Verarbeitung personenbezogener Daten. Demnach müssen/dürfen personenbezogene Daten...
- rechtmäßig, nach Treu und Glauben und Transparent verarbeitet werden. (D.h. für die betroffene Person muss immer nachvollziehbar bleiben,wer, was, wo und warum etwas mit den entsprechenden Daten macht)
- nur für einen bestimmten Zweck (Zweckbindung) verarbeitet werden. Von einem Zweck darf nur dann abgewichen werden, wenn ein berechtigtes öffentliches Interesse vorliegt (Statistiken, Forschung,Archivierung). Dabei muss jedoch garantiert werden, dass geeignete technische und organisatorische Maßnahmen (sog. TOMs) zum Einsatz kommen, und die Daten auf ein Mindestmaß reduziert werden. Sofern eine Identifikation der Personen nicht mehr möglich ist, sind diese Vorgaben erfüllt.
- nicht vorsorglich erhoben werden (Datenminimierung). Wenn z.B. das Alter einer Person für den Zweck nicht relevant ist, darf man das Alter nicht abfragen.
- sachlich richtig und auf dem aktuellsten Stand sein (Richtigkeit),ansonsten sofortige Löschung.
- nur so lange wie erforderlich gespeichert werden (Speicherbegrenzung). Ausnahmen bilden Statistiken, Forschungs- oder Archivzwecke.
- in einer Art und Weise und mit entsprechenden Maßnahmen gespeichert werden, dass eine vorsätzliche oder unbeabsichtigte
- Schädigung/Verarbeitung/Verlust der Daten nicht möglich ist (Integrität und Vertraulichkeit).
Wem darf ich meine Log-In Daten mitteilen?
Um es mit einem Wort zu sagen: NIEMANDEM!
Sobald Sie Ihre Zugangsdaten weitergeben, haben Sie nicht mehr im Blick, was in Ihrem Namen mit Ihrem IT-Account alles passiert. Im besten Fall nichts, was Sie nicht auch tun würden, im schlimmsten Fall könnten Sie jedoch zum Mittäter krimineller Handlungen werden, von denen Sie keine Ahnung haben. Deshalb gilt: Zugangsdaten niemals an andere Personen weitergeben und im Zweifel das Passwort ändern.
Im Uni-Alltag kann es im Einzelfall jedoch notwendig und sinnvoll sein, dass Ihre Konten (Mails, Webseite, etc.) von anderen Personen mit betreut werden. In diesem Fall gibt es aber Alternativen dazu, die Zugangsdaten weiterzugeben. Rechte können schnell auch für andere Personen auf Ihren Wunsch hin gesetzt werden. Für Ihr universitäres Mailkonto können Sie z.B. auch eine/-n Stellvertreter/-in einstellen, der/die dann mit den eigenen Zugangsdaten Ihr Mailkonto mit betreut. Weiterhin gibt es die Möglichkeit, in der ZIMT Nutzerkontenverwaltung schnell und einfach Unterkonten mit eigenen Zugangsdaten z.B. für Projekte, Sekretariate und ähnliche Funktionsträger zu erstellen.
Max Mustermann möchte sein Recht auf Auskunft geltend machen: Wie gehe ich vor?
Grundsätzlich kann jeder schriftlich Auskunft über die personenbezogenen Daten verlangen, die über ihn in einem Unternehmen gespeichert sind. Dabei ist folgendermaßen vorzugehen:
- Bin ich überhaupt zuständig oder fungiere lediglich als Dienstleister für einen anderen Verarbeiter? Wenn das der Fall ist, sollte dieser informiert werden.
- Ist der Antragssteller die Person, für die er sich ausgibt? Wenn sich dies nicht bereits eindeutig ergibt, brauche ich weitere Informationen (im Regelfall ist dies die Postadresse, Ausweiskopien dürfen nur in Ausnahmefällen verlangt werden)
- Wenn keine Daten über ihn verarbeitet werden, teile ich ihm dies mit (sog. Negativauskunft).
- Es muss nur über personenbezogene Daten Auskunft erteilt werden. Dazu zählen aber auch die IP-Adresse und eventuelle Pseudonyme z.B. ein individuelle ID.
- Außerdem müssen ebenfalls die in Art. 15 DSGVO geregelten Metainformationen mitgeteilt werden (Link!). Es reicht hierbei nicht, auf die Datenschutzerklärung hinzuweisen.
- Die Auskunft muss innerhalb eines Monats ab Zugang des Auskunftsauftrages ergehen.
- Wurde der Auskunftsauftrag elektronisch erfragt, muss er auch elektronisch beantwortet werden, es sei denn, der Antragssteller bittet um die Zusendung per Post.
Was verbirgt sich hinter dem Begriff der besonders schützenswerten, sensiblen Daten?
Artikel 9 DSGVO trifft nochmal eine Unterscheidung zwischen "normalen" personenbezogenen Daten und besonders schützenswerten, also sensiblen Daten. Dabei handelt es sich konkret um "...Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie (...) genetische(n) Daten, biometrische(n) Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person..."
Wie erstelle ich eine datenschutzkonforme Mailingliste (Newsletterversand)?
Übrigens: Es ist durchaus sinnvoll, die Anmeldungen zum Newsletter zu dokumentieren. Denn nur so kann sichergestellt werden, dass Sie die Freiwilligkeit zur Verabeitung der Daten jederzeit nachweisen können.
Wie generiere ich ein sicheres und trotzdem leicht zu merkendes Passwort?
Ein sorgfältig gewähltes Passwort ist eine unabdingbare Voraussetzung für die Sicherheit von Programmen, Computern und Verschlüsselungsverfahren.
Schlechte Passwörter können von automatischen Passwort-Crackern leicht erraten werden.
Ein gutes Passwort:
- sollte mindestens 12 Zeichen lang sein,
- ist nicht identisch mit einem Ihrer anderen Passwörter (z.B. für die Windows-Anmeldung oder für den E-Mail-Account)
- ist für Sie selbst über eine Eselsbrücke leicht zu merken, so dass Sie nicht in Versuchung kommen, es auf einem Zettel in der Schreibtischschublade zu notieren.
Gut geeignet sind z.B. die Anfangsbuchstaben eines Satzes, der für Sie Bedeutung hat. Einzelne Buchstaben können dann durch Zahlen oder Sonderzeichen ersetzt werden. So könnte z.B. aus "Meinen grünen Tee trinke ich am liebsten mit zwei Stück Zucker und Milch!" das Passwort MgTtialm2$ZuM! werden. Man könnte auch einen kürzeren Satz in einem Wort schreiben und auf ähnliche Weise verfremden.
Oder Sie nutzen den Passwortgenerator von ZENDAS
Wie lauten die Bedingungen zur Nutzung von ZOOM im Hinblick auf den Datenschutz?
ZOOM ist der Videokonferenzdienst eines US-amerikanischen Anbieters. Im Rahmen der Nutzung von ZOOM werden unvermeidbar auch personenbezogene Daten erhoben und an den Anbieter und an Dritte übermittelt. Eine Übersicht, welche Daten dies konkret betrifft, finden Sie unter: https://zoom.us/de-de/privacy.html Mit diesen Empfehlungen möchten wir Ihnen einen kurzen Überblick geben, welche Maßnahmen Sie ergreifen sollten, um Ihre Daten und die personenbezogenen Daten Dritter soweit als möglich zu schützen.
1. Wenn Sie zu einer Videokonferenz einladen, verweisen Sie bitte auf diese Empfehlungen.
2. Die Teilnahme an Videokonferenzen erfolgt immer auf freiwilliger Basis.
3. Vertrauliche Informationen über nicht an der Konferenz beteiligte Dritte, insbesondere personenbezogene Daten, dürfen nicht in der Videokonferenz genannt werden. Dies gilt auch bei der Nutzung der integrierten Chat-Funktion. Beim Einsatz von ZOOM sollten Sie daher allen Teilnehmern solche Informationen vorab z.B. per dienstlicher Mail oder über SCIEBO zur Verfügung stellen. Die Teilnehmer können dann in der Konferenz auf diese Informationen nur als „Fall A“ oder „Person B“ referenzieren.
4. Bei Verwendung der Funktion "Bildschirm-Freigabe" dürfen keine vertraulichen Informationen über Dritte, insbesondere keine personenbezogen Daten sichtbar werden. Weiterhin dürfen die Teilnehmenden keine Screenshots von Veranstaltungsteilen anfertigen.
5. Sofern im Einzelfall die Aufnahme einer Videokonferenz erforderlich ist, müssen alle Teilnehmer, die aufgezeichnet werden, informiert und einverstanden sein. Eine Speicherung der Aufnahme ist nur lokal auf Systemen der Universität Siegen zulässig. Bei der Aufnahme einer Lehrveranstaltung wird empfohlen, nur die Lehrperson aufzuzeichnen.
6. Es wird empfohlen, die Funktion Warteraum zu aktivieren und nur eingeladene Teilnehmer zum Meeting zuzulassen, sofern die Zahl der Teilnehmer dies zulässt.
7. Kameraeinstellungen sollten immer so gewählt sein, dass keine vertraulichen Informationen im Hintergrund (z.B. auf Whiteboards o.ä.) sichtbar sind.
8. Sind im Raum anwesende Dritte nicht im Bild zu sehen, ist die Anwesenheit dieser Personen allen Teilnehmern der Videokonferenz bekannt zu machen.
9. In der Campus-Lizenz von ZOOM wurden bereits globale Einstellungen vorgewählt. Sie können diese Einstellungen teilweise lokal überschreiben, dabei sollten von Ihnen immer diejenigen Voreinstellungen gewählt werden, die das höchste Maß an Datenschutz und IT-Sicherheit bieten.