Einzelthemen zum Datenschutz

• Verordnung (EU) 2016/679 Des Europ?ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO)
• Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU - DSAnpUG-EU)

• Bundesdatenschutzgesetz - BDSG
• Informationsfreiheitsgesetz - IFG (Bund)

• Berliner Datenschutzgesetz - BlnDSG
• Berliner Hochschulgesetz - BerlHG
• Berliner Informationsfreiheitsgesetz - IFG
• Informationsverarbeitungsgesetz - IVG (Berlin)
• Studierendendatenverordnung - StudDatVO (Berlin)

• Verfassung der Humboldt-Universit?t zu Berlin (?nd. 2011) (PDF)
• Computerbetriebsordnung
• Benutzungsordnung der Zentraleinrichtungen CMS und UB (PDF)
• Evaluationssatzung der Humboldt-Universit?t zu Berlin (PDF)
• Satzung zur Erhebung von Daten über Abschluss- und Qualifikationsarbeiten (PDF)

Dienstvereinbarungen (PDF-Auswahl)

• Audiovisuell-elektronische Beobachtung
• Personaldatenverarbeitung
• Einsatz von Kartensystemen
• Einsatz des Telekommunikationssystems
• Elektronischer Terminkalender

Eine besondere Art der Rechtsgrundlage ist die informierte Einwilligung, deren Wirksamkeit viele Voraussetzungen hat. Sie ist derzeit geregelt in § 6 Absatz 1 Nr. 3, Abs?tze 3 bis 6 des Berliner Datenschutzgesetzes (BlnDSG). Ab dem 25. Mai 2018 werden Art. 6 Abs. 1 lit. a, Art. 7 ff. der Datenschutz-Grundverordnung (DSGVO) gelten.

Die Einwilligung ist nicht nur eine Rechtsgrundlage für die Datenverarbeitung, sondern auch eine Informationsquelle für die Betroffenen, deshalb spricht man auch von der "Informierten Einwilligung". Denn das Recht der Betroffenen aus dem allgemeinen Pers?nlichkeitsrecht zur Disposition über die eigenen personenbezogenen Daten kommt nur dann zur optimalen Entfaltung, wenn die Betroffenen genau einsch?tzen k?nnen, was ihre Dispositionen bewirken. Diese Disposition über die Verarbeitung der personenbezogenen Daten ist nur wirksam, wenn die Einwilligung wirklich freiwillig erteilt wird, die Betroffenen z.B. durch die Verweigerungen der Einwilligung keine rechtlichen Nachteile erleiden.

Gem?? § 6 Abs. 4 BlnDSG bedarf eine Einwilligung grunds?tzlich der Schriftform. Ausnahmetatbest?nde finden sich in § 6 Abs. 4 Halbsatz 2 und Abs. 6 BlnDSG.

Gem?? Art. 4 Nr. 11 DSGVO ist "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverst?ndlich abgegebene Willensbekundung in Form einer Erkl?rung oder einer sonstigen eindeutigen best?tigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Damit bedarf es einer eindeutigen best?tigenden (aktiven) Handlung, mit der die betroffene Person ihr Einverst?ndnis zur Verarbeitung der sie betreffenden Daten erteilt (opt-in). Eine stillschweigende Zustimmung oder opt-out-Varianten sind danach nicht mehr m?glich.

In Art. 7 Nr. 1 DSGVO wird die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle verlangt.

Im Hochschulbereich sind aus den oben genannten Gründen bei einer datenschutzrechtlichen Einwilligung folgende Mindestangaben erforderlich: 

1. verantwortliche_r Tr?ger_in und Leiter_in des (Forschungs-) Vorhabens / Verfahrens sowie ggf. ihres / seines Vertreters (Name und 金贝棋牌daten)
2. 金贝棋牌daten der Datenschutzbeauftragten der Humboldt-Universit?t zu Berlin
3. Zweck des (Forschungs-) Vorhabens / Verfahrens + Rechtsgrundlage für die Datenverarbeitung
   
   bei Zweck?nderungen ist zudem Art. 13 Abs. 3 DSGVO zu beachten
4. Freiwilligkeit der Einwilligung
5. Umgang mit den Daten / Art und Weise der Datenverarbeitung
   
   Inhalt der Datens?tze, Verarbeitung der Daten in anonymisierter, pseudonymisierter oder personenbezogener Form, Ort der Verarbeitung der Daten, ggf. Einsatz einer Treuh?nderin / eines Treuh?nders usw.

6. Personenkreis, der von personenbezogenen Daten Kenntnis erh?lt

   z.B. Besch?ftigte des Instituts / der Organisationseinheit oder ausschlie?lich die Treuh?nderin / der Treuh?nder; Hinweis, dass Daten nicht an Dritte weitergegeben werden oder evtl. Empfangs- oder Abrufberechtigte der Daten; evtl. Auftragsdatenverarbeitung; ggf. Absicht der ?bermittlung an ein Drittland oder internationale Organisation – in diesem Fall w?ren weitere Voraussetzungen zu beachten, Art. 13 Abs. 1 f.

7. Kooperationspartner_innen, die in die Studie / das Verfahren / Vorhaben einbezogen werden sollen, soweit mit eigenst?ndigen Aufgaben bei der Verarbeitung personenbezogener Daten betraut
   
   z. B. beteiligtes Forschungsinstitut
8. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht m?glich ist, die Kriterien für die Festlegung dieser Dauer (sp?testes L?schdatum)
9. das Bestehen eines Rechts auf Auskunft seitens der Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder L?schung oder auf Einschr?nkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
10. das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen, ohne dass die Rechtm??igkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, Benennung der Folgen des Widerrufs
11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbeh?rde / Datenschutzbeauftragten.

Weiteres zur Einwilligung zwecks Forschung finden Sie in einer gemeinsamen Publikation des Berliner Beauftragten für Datenschutz und Informationssicherheit und des Hessischen Datenschutzbeauftragten: Datenschutz in Wissenschaft und Forschung – Materialien zum Datenschutz Nr. 28 (Stand: Dezember 2002), Seiten 25 bis 32.

• ?nderung datenschutzrechtlicher Bestimmungen durch die Datenschutz-Grundverordnung - DSGVO (PDF)

Die DSGVO legt den Verantwortlichen weitreichende Informationspflichten gegenüber den Betroffenen auf, Art. 12 DSGVO. Die Texte zur datenschutzrechtlichen Information der Betroffenen bei Datenverarbeitungen sind an die in Art. 13 und 14 DSGVO aufgelisteten Vorgaben anzupassen.

• Informationspflicht bei Erhebung personenbezogener Daten, Art. 13 f. DSGVO (PDF, Zugriff nur HU-intern)
• Muster Datenschutzerkl?rung im Rahmen eines Forschungsprojektes (PDF, Zugriff nur HU-intern)

Nach Art. 30 DSGVO hat jede/r Verantwortliche und ggf. ihr/sein Vertreter ein Verzeichnis aller Verarbeitungst?tigkeiten zu führen, die ihrer/seiner Zust?ndigkeit unterliegen.

• Formular zur Erstellung des Verzeichnisses von Verarbeitungst?tigkeiten(Word)
• Ausfüllhinweise zum Formular zur Erstellung des Verzeichnisses von  Verarbeitungst?tigkeiten (PDF)

Soll eine Verarbeitung personenbezogener Daten im Auftrag bei einem externen Anbieter (einschlie?lich Cloud-Anbietern) erfolgen, ist mit dem Auftragsverarbeiter ein Vertrag gem?? Art. 28 Abs. 3 DSGVO abzuschlie?en. Hierbei geht es z. B. um Vertraulichkeitsverpflichtungen und Festlegungen zum technisch-organisatorischen Schutz der Daten.

Gem?? Art. 28 Abs. 1 DSGVO darf nur mit Auftragsverarbeitern zusammengearbeitet werden, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Ma?nahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gew?hrleistet.

Sofern Sie die Durchführung einer Auftragsverarbeitung beabsichtigen, nehmen Sie bitte vorab 金贝棋牌 zu den beh?rdlichen Datenschutzbeauftragten auf (datenschutz? Bitte fügen Sie an dieser Stelle ein @ ein ?uv.hu-berlin? Bitte fügen Sie an dieser Stelle einen Punkt ein ?de).

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und m?glichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gem?? Artikel 51 zust?ndigen Aufsichtsbeh?rde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbeh?rde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verz?gerung beizufügen, Art. 33 Abs. 1 DSGVO.

https://www.datenschutz-berlin.de/datenpannenformular.html

Die Kommunikation über E-Mail birgt die Gefahr, dass der Inhalt der E-Mail und ihrer Anlagen von Unbefugten zur Kenntnis genommen oder verf?lscht werden kann. Eine Gegenma?nahme ist der Einsatz von Mailverschlüsselungen.

Allgemein bieten sich zur gesicherten, verschlüsselten Kommuniktation viele M?glichkeiten. An der HU k?nnen über das CMS PKI-Zertifikate beantragt werden. Ob ein Mitglied der HU eine verschlüsselte Mail empfangen kann, wird in der Regel direkt durch den Mailclíent geprüft. Daneben k?nnen Sie vorhandene Zertifikate von Hochschulmitgliedern (auch dasjenige zu datenschutz@uv.hu-berlin.de) hier suchen.

Um die Vorteile der Verschlüsselung nutzen zu k?nnen, müssen alle Beteiligten der Kommunikation Verschlüsselungen einsetzen k?nnen. 

Zur Verschlüsselung wird h?ufig auch der OpenPGP-Standard eingesetzt, zB GnuGP (externer Link). Den ?ffentlichen PGP-Schlüssel zur Mailadresse von Ansgar Heitkamp ( ansgar.heitkamp (at) uv.hu-berlin.de ) finden Sie hier  (Fingerprint: 7DAF B815 39A1 7D44 8A4D DA2D B274 730C 9008 718C ). 

Tipps für den Einsatz von Verschlüsselungen gibt es beim CMS (zu .X509) oder zu GnuPG z.B. beim Unabh?ngigen Landesdatenschutzzentrum Schleswig-Holstein (externer Link). 

Bei der Verwendung von personenbezogenen Daten ist allgemein darauf zu achten, dass Unbefugte hiervon keine Kenntnis erlangen. Dies gilt bis einschlie?lich der L?schung bzw. Vernichtung der Datentr?ger. Relevante Unterlagen dürfen daher auch nicht in den allgemeinen Haus- oder Papiermüll entsorgt werden.

Verfahrensablauf

Sofern Sie in Ihrer verarbeitenden Stelle (z.B. Lehrstuhl) Bedarf zur Vernichtung von datenschutzrelevanten Unterlagen, Akten usw. haben, schicken Sie bitte eine Mail an: aktenentsorgung? Bitte fügen Sie an dieser Stelle ein @ ein ?hu-berlin? Bitte fügen Sie an dieser Stelle einen Punkt ein ?de.

In der Rückmail erhalten Sie ein Entsorgungsprotokoll, in welches Angaben zum Entsorgungsgut einzutragen sind (Menge, Art usw.), und einige erg?nzende Hinweise. Das Entsorgungsprotokoll ist unterschrieben an das Büro des Datenschutzbeauftragten der HU zu schicken. Anschlie?end wird die Abholung des Entsorgungsguts über die Technische Abteilung organisiert. Zur Abholung sind die Datentr?ger, getrennt nach Arten (Papier, CDs,...), bereit zu stellen.

Entsorgt werden:

• Papier, Akten samt Ordner (enthaltene Klarsichtfolien sind vorab zu entfernen)
• Disketten
• CDs, DVDs
• Speichersticks
• Festplatten werden nur in Ausnahmef?llen direkt beim Datenschutz zur Vernichtung angenommen. Wenden Sie sich stattdessen bitte an die oder den zust?ndigen DV-Beauftragte/n.

Für sonstige, nicht oder sehr schlecht zerkleinerungsf?hige Gegenst?nde bitte im Zweifel nachfragen.

Unbedenklicher Papiermüll (Bücher, Zeitschriften) oder Hausmüll bedarf keiner gesonderten Behandlung und ist über die üblichen Wege zu entsorgen.

Für Rückfragen, Kommentare oder Anregungen zum Verfahren wenden Sie sich bitte an aktenentsorgung? Bitte fügen Sie an dieser Stelle ein @ ein ?hu-berlin? Bitte fügen Sie an dieser Stelle einen Punkt ein ?de oder datenschutz? Bitte fügen Sie an dieser Stelle ein @ ein ?uv.hu-berlin? Bitte fügen Sie an dieser Stelle einen Punkt ein ?de.

Eine Zwei-Faktor-Authentifizierung (2FA) ist vereinfacht ausgedrückt eine Erweiterung bestehender Accountdaten (hier: HU-Account) um einen tempor?ren Code, der zus?tzlich für eine erfolgreiche Anmeldung ben?tigt wird. Es k?nnen eigenst?ndige Ger?te (sog. Hardwaretoken) oder Apps für Smartphone, Tablet (sog. Softwaretoken) genutzt werden.  

In den Ger?ten oder 2FA-Apps werden keine Passw?rter gespeichert. Da Ger?t oder App aber für den Zugriff auf HU-ESS wichtig sind, sollte gleichwohl hierauf sorgsam aufgepasst werden.

Allgemein zum Einsatz von 2FA an der Humboldt-Universit?t siehe die ausführlichen Erkl?rungen beim CMS.

Zur Wahl zwischen Hardware- und Softwaretoken

Den Mitarbeiter:innen der HU steht die Entscheidung frei, Hardwaretoken oder Softwaretoken als Absicherung für den HU-ESS-Zugang zu w?hlen. M?chte jemand keine App auf dem privaten Smartphone installieren, ist er/sie hierzu nicht gezwungen, sondern kann Zugang zu ESS auch über ein zur Verfügung gestelltes Hardwaretoken erhalten.

Um diese Entscheidung zu erleichtern, folgen ein paar Argumente pro/contra, einschlie?lich ein paar Tipps zur Softwareauswahl:  

Hardwaretoken

Ein Hardwaretoken ist ein kleines Ger?t, etwa so gro? wie ein USB-Stick. Es hat nur eine Funktion, n?mlich fortlaufend neue sechsstellige Nummern zu generieren und auf einem kleinen, eingebauten Display anzuzeigen. Es hat eine eingebaute, nicht ersetzbare Batterie mit einer Laufzeit von mehreren Jahren. Ist die Batterie verbraucht, ist das Hardwaretoken unbrauchbar und als Elektroschott zu entsorgen.

Hardwaretoken k?nnen ab sofort an den CMS-Theken in Adlershof (Erwin-Schr?dinger-Zentrum) und Mitte (Grimm-Zentrum) abgeholt werden. Es ist eine pers?nliche Abholung erforderlich. Hardwaretoken werden nur an Mitarbeiter:innen ausgegeben und auch jeweils nur ein Hardwaretoken pro Mitarbeiter:in. Vor Abgabe wird geprüft, ob Sie Mitarbeiter:in der HU sind (daher bitte einen amtlichen Lichtbildausweis mitbringen). 

Softwaretoken

Ein Softwaretoken wird innerhalb einer 2FA-App generiert, welche z. B. auf dem Smartphone installiert ist. Die 2FA-App hat ebenfalls nur die Funktion fortlaufend neue sechsstellige Nummern  zu generieren.

Für den Zugang zu HU-ESS k?nnen alle 2FA-Apps genutzt werden, die auf dem TOTP-Standard beruhen. Auf einen konkreten App-Anbieter kommt es nicht an. Jedoch sind manche Apps eher datensparsam (keine Tracker, wenig Berechtigungen), manche eher datenhungrig (viele Tracker, viele Berechtigungen) ausgestaltet. 

Der CMS nennt einige 2FA-Apps, die datensparsam arbeiten und im Folgenden auf Basis von 金贝棋牌 aus exodus-privacy.eu.org (externer Link) weiter betrachtet werden.

Alle Apps ben?tigen die Berechtigung auf die Kamera zuzugreifen. Dies ist nachvollziehbar, da über die (Foto)Aufnahme eines QR-Codes die Verknüpfungen mit den Accounts erfolgen.  

2FA-Apps

Google Authenticator (Android)
Sehr verbreitet. Bislang wurde an der App Google Authenticator kein datenschutzseitig bedenkliches Verhalten festgestellt. Es ist keine Verknüpfung mit einem Google-Konto erforderlich. Der Google Authenticator enth?lt keine Tracker.

Aegis Authenticator (Android)
Aegis enth?lt keine Tracker.

FreeOTP+ (Android)
FreeOTP+ ist eine Open-Source-Software, welche keine Tracker enth?lt. An Berechtigungen wird zus?tzlich Zugriff auf den Speicher verlangt. 

OTP Auth (iOS)
Nach Auskunft im AppStore erfasst OTP Auth keine pers?nlichen Daten über die App. 

Authenticator (iOS)
Nach Auskunft im AppStore erfasst Authenticator ggf. Daten zum Einkaufsverlauf und zur Ger?teID, jedoch keine weitere Daten zur Person. 

Google Authenticator (iOS)
Gem. Auskunft im AppStore erfasst der Google Authenticator ggf. Daten zur Ger?te ID, jedoch keine weitere Daten zur Person.  

Anmerkung: Bei der Durchsicht sind wir teils auch auf OTP-Apps gesto?en, bei denen diverse Tracker enthalten sind und welche zus?tzliche Daten für den Anbieter oder Dritte erheben ( z. B.: Google Analytics, Facebook Ads). Auch erfordern manche Apps eine Vielzahl zus?tzlicher Berechtigungen, z.B. Standort, Handy-Accounts, 金贝棋牌e, Telefonstatus.

All dies ist – jedenfalls für den HU-ESS-Zugang – nicht erforderlich. Soweit es also keine sonstigen Gründe gibt, k?nnen (sollten) Sie aus Datenschutz und IT-Sicherheitssicht solche Apps meiden.