Humboldt-Universität zu Berlin

(Stand 23.3.2020)

Durch die derzeitige Entwicklung sind viele Mitarbeiter*innen kurzfristig gezwungen im Homeoffice zu arbeiten. Bitte beachten Sie jedoch, dass auch ein Notstand auf Bearbeitungsseite die datenschutzrechtliche Sensibilität der Daten auf Betroffenenseite nicht verändert. Daher weisen wir Sie darauf hin, in Verantwortung für die an Sie überlassenen Daten bei Ihrer Tätigkeit im und vom Homeoffice aus die datenschutzrechtliche Vorgaben zu beachten. Die nachfolgenden Maßgaben sollen Ihnen dabei helfen. Sie werden fortlaufend ergänzt.

Für Nachfragen und weitere Informationen können Sie sich gern an die Behördlichen Datenschutzbeauftragten der HU unter datenschutz@uv.hu-berlin.de wenden (auch verschlüsselt).

Allgemeines / Arbeitssituation

• Achten Sie darauf, dass die Daten nicht von Dritten (dazu gehören auch: Partner, Kinder) eingesehen werden können. Lassen Sie z.B. Unterlagen nicht offen herumliegen.  
• Führen Sie vertrauliche Telefonate allein durch, d.h. auch ohne die Anwesenheit von Familie oder Dritten. Achten Sie hierauf auch, wenn Sie zB in Garten oder auf dem Balkon telefonieren.
• Arbeiten Sie von daheim. Arbeiten Sie nicht an/von öffentlichen Plätzen.
• Personenbezogene Daten sollten in einem separaten, abschließbaren Raum verarbeitet werden. Ist dies nicht möglich, sollte zumindest die Aufbewahrung dieser Daten in einem abschließbaren Schrank erfolgen.
• Papier-Unterlagen mit personenbezogenen Informationen sind datenschutzkonform zu entsorgen (=schreddern).

Computer

• Sofern Sie dienstliche IT gestellt bekommen haben, nutzen Sie ausschließlich diese für dienstliche Aufgaben. Umgekehrt sollten beruflich zur Verfügung gestellte IT-Ausstattung nicht privat genutzt werden.
• Arbeiten Sie nicht über unverschlüsselte WLAN-Netze. Wenn es nicht anders geht, nutzen Sie zur Absicherung die VPN-Verbindung (siehe unten VPN-Client).
   

Zustand des Computers

• Nutzen Sie nur aktuell unterstützte Betriebssysteme (aber zB *kein* Windows 7 oder XP)
• Achten Sie darauf, dass die aktuellen Updates installiert sind. Nutzen Sie automatisierte Update-Funktionen
• Setzen Sie einen Passwortschutz für den Zugang zum Computer
• Setzen Sie einen aktuellen Virenscanner ein (zB bei Windows den Defender).
• Lassen Sie regelmäßig Viren-Scans durchführen.

Betrüger / Phishing / Social engineering

Internetbetrüger versuchen die vielen Unsicherheiten und Änderungen in Bezug auf Corona zur Durchführung von Phishing-Kampagnen zu nutzen. Blogbeitrag dazu.

• Seien Sie aufmerksam gegenüber Schadsoftware (Viren). Auch Mails mit langer Gesprächshistorie können belastet sein – Verdächtige Merkmale sind z.B.:
  • Kurze letzte Nachricht, welche selbst keinen inhaltlichen Bezug auf die bisherige Konversation nimmt und für „alles weitere“ unmittelbar auf den Anhang/Link verweist
  • Der Anhang hat das Format .doc (altes Office Format) statt .docx (auch: verschlüsselte ZIP-Dateien, ausführbare Dateien (.exe, .bat))
  • Die angeklickte Word-Datei fordert auf „Word zu aktivieren“ oder Makros zu aktivieren.

  • Weitere Infos zu Viren (zB Emotet) finden Sie beim CMS

• Seien Sie zurückhaltend gegenüber dringenden Anfragen, persönliche Daten oder Zugangsdaten heraus zu geben. Klassisches Beispiel ist ein (unangeforderter) Anruf eines „Microsoft-Supports“. Hier geht es allein darum, Ihnen die Zugangsdaten zu entlocken. Beenden Sie das Telefonat. Nehmen Sie sich die Zeit, jenseits des Telefonats intern nachzufragen. Der CMS kündigt Wartungsarbeiten grundsätzlich vorab per Mail an.

Einstellungen / Arbeitsweise

• Berufliche E-Mails dürfen nicht an private E-Mail-Postfächer weitergeleitet werden.
• Speichern Sie dienstliche Daten nicht auf privaten Geräten. Sie können Daten direkt auf Servern der HU speichern: Nutzen Sie hierzu Webfiles/WebDAV, den Fileserverdienst der HU, oder SaaS/Remote Desktop Protokoll (SaaS/RDP). Siehe hierzu die Links unten. Bei diesen Diensten werden auch Backups gewährleistet.
• Drucken Sie möglichst wenig aus (ausgedruckte, sensible Unterlagen müssen hinterher datenschutzkonform entsorgt (=geschreddert) werden).
• Soweit Sie USB-Sticks nutzen, verschlüsseln Sie diese. Dies ist z.B. per BitlockerToGo bei Windows-10Professional-Rechnern möglich. Eine Alternative ist das kostenlose Veracrypt.

Nutzung von Diensten/Anwendungen:

• Nutzen Sie Kommunikations- und Kollaborationsdienste der HU. Viele sind ohne weitere Installationen/Einstellungen direkt über den Browser nutzbar:
  • Mail: Webmail: hu.berlin/webmail
  • Dateizugriffe auf die HU-Fileserver über Webfiles hu.berlin/webfiles
  • Office-Dokumente online bearbeiten über die HU-Box hu.berlin/box (weitere Infos)
  • Dokumente speichern/austauschen über die HU-Box hu.berlin/box
  • Arbeitsräume über Moodle hu.berlin/moodle
  • Videokonferenzservices über hu.berlin/videokonferenz
• Ausdrücklich empfehlen wir die Installation des VPN-Clients. Hierdurch werden viele interne Seiten der HU aufrufbar (z.B. das komplette ZIS, viele Info-Seiten des CMS, verschiedene Dienste und Datenbanken). Dies erhöht ferner den Schutz der Datenübertragung. https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn
• Nutzen Sie den Zugriff auf den HU-Desktop samt diverser Anwendungen und persönliche Laufwerke über SaaS/RDP: hu.berlin/saas
• Weitere Dienste zur Kollaboration finden Sie auf den Seiten des CMS: Eine allgemeine Übersicht oder bereits eine Zusammenstellung fürs HomeOffice.
  Durch die hohe Nachfrage sind insb. Videokonferenz-Dienste aktuell nur schwer erreichbar. Es wird jedoch mit hohem Druck an der Erhöhung der Kapazitäten gearbeitet.

• Die Nutzung von Cloudanwendungen von Drittanbietern (Google docs, externe Speicherdienste) ist nicht zulässig. Bei Fragen wenden Sie sich bitte an die Behördlichen Datenschutzbeauftragten.

Informationspflicht bei Datenpannen

Kommt es bei der Verarbeitung von Daten zu einer Datenpanne (z.B. Daten werden unberechtigten Dritten zugänglich), greifen ggf. gesetzliche Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Art 33, 34 DSGVO). Solche Meldungen sind innerhalb kurzer Zeit nach Kenntnis von der Datenpanne zu machen. Wenden Sie sich in einem solchen Fall bitte umgehend an die Behördlichen Datenschutzbeauftragten der HU: datenschutz@uv.hu-berlin.de . Siehe auch: Darf nicht passieren ist aber passiert.