Einzelthemen zum Datenschutz

• Verordnung (EU) 2016/679 Des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO)
• Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU - DSAnpUG-EU)

• Bundesdatenschutzgesetz - BDSG
• Informationsfreiheitsgesetz - IFG (Bund)

• Berliner Datenschutzgesetz - BlnDSG
• Berliner Hochschulgesetz - BerlHG
• Berliner Informationsfreiheitsgesetz - IFG
• Informationsverarbeitungsgesetz - IVG (Berlin)
• Studierendendatenverordnung - StudDatVO (Berlin)

• Verfassung der Humboldt-Universität zu Berlin (Änd. 2011) (PDF)
• Computerbetriebsordnung
• Benutzungsordnung der Zentraleinrichtungen CMS und UB (PDF)
• Evaluationssatzung der Humboldt-Universität zu Berlin (PDF)
• Satzung zur Erhebung von Daten über Abschluss- und Qualifikationsarbeiten (PDF)

Dienstvereinbarungen (PDF-Auswahl)

• Audiovisuell-elektronische Beobachtung
• Personaldatenverarbeitung
• Einsatz von Kartensystemen
• Einsatz des Telekommunikationssystems
• Elektronischer Terminkalender

Eine besondere Art der Rechtsgrundlage ist die informierte Einwilligung, deren Wirksamkeit viele Voraussetzungen hat. Sie ist derzeit geregelt in § 6 Absatz 1 Nr. 3, Absätze 3 bis 6 des Berliner Datenschutzgesetzes (BlnDSG). Ab dem 25. Mai 2018 werden Art. 6 Abs. 1 lit. a, Art. 7 ff. der Datenschutz-Grundverordnung (DSGVO) gelten.

Die Einwilligung ist nicht nur eine Rechtsgrundlage für die Datenverarbeitung, sondern auch eine Informationsquelle für die Betroffenen, deshalb spricht man auch von der "Informierten Einwilligung". Denn das Recht der Betroffenen aus dem allgemeinen Persönlichkeitsrecht zur Disposition über die eigenen personenbezogenen Daten kommt nur dann zur optimalen Entfaltung, wenn die Betroffenen genau einschätzen können, was ihre Dispositionen bewirken. Diese Disposition über die Verarbeitung der personenbezogenen Daten ist nur wirksam, wenn die Einwilligung wirklich freiwillig erteilt wird, die Betroffenen z.B. durch die Verweigerungen der Einwilligung keine rechtlichen Nachteile erleiden.

Gemäß § 6 Abs. 4 BlnDSG bedarf eine Einwilligung grundsätzlich der Schriftform. Ausnahmetatbestände finden sich in § 6 Abs. 4 Halbsatz 2 und Abs. 6 BlnDSG.

Gemäß Art. 4 Nr. 11 DSGVO ist "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Damit bedarf es einer eindeutigen bestätigenden (aktiven) Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt (opt-in). Eine stillschweigende Zustimmung oder opt-out-Varianten sind danach nicht mehr möglich.

In Art. 7 Nr. 1 DSGVO wird die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle verlangt.

Im Hochschulbereich sind aus den oben genannten Gründen bei einer datenschutzrechtlichen Einwilligung folgende Mindestangaben erforderlich: 

1. verantwortliche_r Träger_in und Leiter_in des (Forschungs-) Vorhabens / Verfahrens sowie ggf. ihres / seines Vertreters (Name und Kontaktdaten)
2. Kontaktdaten der Datenschutzbeauftragten der Humboldt-Universität zu Berlin
3. Zweck des (Forschungs-) Vorhabens / Verfahrens + Rechtsgrundlage für die Datenverarbeitung
   
   bei Zweckänderungen ist zudem Art. 13 Abs. 3 DSGVO zu beachten
4. Freiwilligkeit der Einwilligung
5. Umgang mit den Daten / Art und Weise der Datenverarbeitung
   
   Inhalt der Datensätze, Verarbeitung der Daten in anonymisierter, pseudonymisierter oder personenbezogener Form, Ort der Verarbeitung der Daten, ggf. Einsatz einer Treuhänderin / eines Treuhänders usw.

6. Personenkreis, der von personenbezogenen Daten Kenntnis erhält

   z.B. Beschäftigte des Instituts / der Organisationseinheit oder ausschließlich die Treuhänderin / der Treuhänder; Hinweis, dass Daten nicht an Dritte weitergegeben werden oder evtl. Empfangs- oder Abrufberechtigte der Daten; evtl. Auftragsdatenverarbeitung; ggf. Absicht der Übermittlung an ein Drittland oder internationale Organisation – in diesem Fall wären weitere Voraussetzungen zu beachten, Art. 13 Abs. 1 f.

7. Kooperationspartner_innen, die in die Studie / das Verfahren / Vorhaben einbezogen werden sollen, soweit mit eigenständigen Aufgaben bei der Verarbeitung personenbezogener Daten betraut
   
   z. B. beteiligtes Forschungsinstitut
8. Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (spätestes Löschdatum)
9. das Bestehen eines Rechts auf Auskunft seitens der Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
10. das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, Benennung der Folgen des Widerrufs
11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde / Datenschutzbeauftragten.

Weiteres zur Einwilligung zwecks Forschung finden Sie in einer gemeinsamen Publikation des Berliner Beauftragten für Datenschutz und Informationssicherheit und des Hessischen Datenschutzbeauftragten: Datenschutz in Wissenschaft und Forschung – Materialien zum Datenschutz Nr. 28 (Stand: Dezember 2002), Seiten 25 bis 32.

• Änderung datenschutzrechtlicher Bestimmungen durch die Datenschutz-Grundverordnung - DSGVO (PDF)

Die DSGVO legt den Verantwortlichen weitreichende Informationspflichten gegenüber den Betroffenen auf, Art. 12 DSGVO. Die Texte zur datenschutzrechtlichen Information der Betroffenen bei Datenverarbeitungen sind an die in Art. 13 und 14 DSGVO aufgelisteten Vorgaben anzupassen.

• Informationspflicht bei Erhebung personenbezogener Daten, Art. 13 f. DSGVO (PDF, Zugriff nur HU-intern)
• Muster Datenschutzerklärung im Rahmen eines Forschungsprojektes (PDF, Zugriff nur HU-intern)

Nach Art. 30 DSGVO hat jede/r Verantwortliche und ggf. ihr/sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die ihrer/seiner Zuständigkeit unterliegen.

• Formular zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten(Word)
• Ausfüllhinweise zum Formular zur Erstellung des Verzeichnisses von  Verarbeitungstätigkeiten (PDF)

Soll eine Verarbeitung personenbezogener Daten im Auftrag bei einem externen Anbieter (einschließlich Cloud-Anbietern) erfolgen, ist mit dem Auftragsverarbeiter ein Vertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen. Hierbei geht es z. B. um Vertraulichkeitsverpflichtungen und Festlegungen zum technisch-organisatorischen Schutz der Daten.

Gemäß Art. 28 Abs. 1 DSGVO darf nur mit Auftragsverarbeitern zusammengearbeitet werden, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Sofern Sie die Durchführung einer Auftragsverarbeitung beabsichtigen, nehmen Sie bitte vorab Kontakt zu den behördlichen Datenschutzbeauftragten auf (datenschutz☞ Bitte fügen Sie an dieser Stelle ein @ ein ☜uv.hu-berlin☞ Bitte fügen Sie an dieser Stelle einen Punkt ein ☜de).

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen, Art. 33 Abs. 1 DSGVO.

https://www.datenschutz-berlin.de/datenpannenformular.html

Die Kommunikation über E-Mail birgt die Gefahr, dass der Inhalt der E-Mail und ihrer Anlagen von Unbefugten zur Kenntnis genommen oder verfälscht werden kann. Eine Gegenmaßnahme ist der Einsatz von Mailverschlüsselungen.

Allgemein bieten sich zur gesicherten, verschlüsselten Kommuniktation viele Möglichkeiten. An der HU können über das CMS PKI-Zertifikate beantragt werden. Ob ein Mitglied der HU eine verschlüsselte Mail empfangen kann, wird in der Regel direkt durch den Mailclíent geprüft. Daneben können Sie vorhandene Zertifikate von Hochschulmitgliedern (auch dasjenige zu datenschutz@uv.hu-berlin.de) hier suchen.

Um die Vorteile der Verschlüsselung nutzen zu können, müssen alle Beteiligten der Kommunikation Verschlüsselungen einsetzen können. 

Zur Verschlüsselung wird häufig auch der OpenPGP-Standard eingesetzt, zB GnuGP (externer Link). Den öffentlichen PGP-Schlüssel zur Mailadresse von Ansgar Heitkamp ( ansgar.heitkamp (at) uv.hu-berlin.de ) finden Sie hier  (Fingerprint: 7DAF B815 39A1 7D44 8A4D DA2D B274 730C 9008 718C ). 

Tipps für den Einsatz von Verschlüsselungen gibt es beim CMS (zu .X509) oder zu GnuPG z.B. beim Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein (externer Link). 

Bei der Verwendung von personenbezogenen Daten ist allgemein darauf zu achten, dass Unbefugte hiervon keine Kenntnis erlangen. Dies gilt bis einschließlich der Löschung bzw. Vernichtung der Datenträger. Relevante Unterlagen dürfen daher auch nicht in den allgemeinen Haus- oder Papiermüll entsorgt werden.

Verfahrensablauf

Sofern Sie in Ihrer verarbeitenden Stelle (z.B. Lehrstuhl) Bedarf zur Vernichtung von datenschutzrelevanten Unterlagen, Akten usw. haben, schicken Sie bitte eine Mail an: aktenentsorgung☞ Bitte fügen Sie an dieser Stelle ein @ ein ☜hu-berlin☞ Bitte fügen Sie an dieser Stelle einen Punkt ein ☜de.

In der Rückmail erhalten Sie ein Entsorgungsprotokoll, in welches Angaben zum Entsorgungsgut einzutragen sind (Menge, Art usw.), und einige ergänzende Hinweise. Das Entsorgungsprotokoll ist unterschrieben an das Büro des Datenschutzbeauftragten der HU zu schicken. Anschließend wird die Abholung des Entsorgungsguts über die Technische Abteilung organisiert. Zur Abholung sind die Datenträger, getrennt nach Arten (Papier, CDs,...), bereit zu stellen.

Entsorgt werden:

• Papier, Akten samt Ordner (enthaltene Klarsichtfolien sind vorab zu entfernen)
• Disketten
• CDs, DVDs
• Speichersticks
• Festplatten werden nur in Ausnahmefällen direkt beim Datenschutz zur Vernichtung angenommen. Wenden Sie sich stattdessen bitte an die oder den zuständigen DV-Beauftragte/n.

Für sonstige, nicht oder sehr schlecht zerkleinerungsfähige Gegenstände bitte im Zweifel nachfragen.

Unbedenklicher Papiermüll (Bücher, Zeitschriften) oder Hausmüll bedarf keiner gesonderten Behandlung und ist über die üblichen Wege zu entsorgen.

Für Rückfragen, Kommentare oder Anregungen zum Verfahren wenden Sie sich bitte an aktenentsorgung☞ Bitte fügen Sie an dieser Stelle ein @ ein ☜hu-berlin☞ Bitte fügen Sie an dieser Stelle einen Punkt ein ☜de oder datenschutz☞ Bitte fügen Sie an dieser Stelle ein @ ein ☜uv.hu-berlin☞ Bitte fügen Sie an dieser Stelle einen Punkt ein ☜de.

Eine Zwei-Faktor-Authentifizierung (2FA) ist vereinfacht ausgedrückt eine Erweiterung bestehender Accountdaten (hier: HU-Account) um einen temporären Code, der zusätzlich für eine erfolgreiche Anmeldung benötigt wird. Es können eigenständige Geräte (sog. Hardwaretoken) oder Apps für Smartphone, Tablet (sog. Softwaretoken) genutzt werden.  

In den Geräten oder 2FA-Apps werden keine Passwörter gespeichert. Da Gerät oder App aber für den Zugriff auf HU-ESS wichtig sind, sollte gleichwohl hierauf sorgsam aufgepasst werden.

Allgemein zum Einsatz von 2FA an der Humboldt-Universität siehe die ausführlichen Erklärungen beim CMS.

Zur Wahl zwischen Hardware- und Softwaretoken

Den Mitarbeiter:innen der HU steht die Entscheidung frei, Hardwaretoken oder Softwaretoken als Absicherung für den HU-ESS-Zugang zu wählen. Möchte jemand keine App auf dem privaten Smartphone installieren, ist er/sie hierzu nicht gezwungen, sondern kann Zugang zu ESS auch über ein zur Verfügung gestelltes Hardwaretoken erhalten.

Um diese Entscheidung zu erleichtern, folgen ein paar Argumente pro/contra, einschließlich ein paar Tipps zur Softwareauswahl:  

Hardwaretoken

Ein Hardwaretoken ist ein kleines Gerät, etwa so groß wie ein USB-Stick. Es hat nur eine Funktion, nämlich fortlaufend neue sechsstellige Nummern zu generieren und auf einem kleinen, eingebauten Display anzuzeigen. Es hat eine eingebaute, nicht ersetzbare Batterie mit einer Laufzeit von mehreren Jahren. Ist die Batterie verbraucht, ist das Hardwaretoken unbrauchbar und als Elektroschott zu entsorgen.

Hardwaretoken können ab sofort an den CMS-Theken in Adlershof (Erwin-Schrödinger-Zentrum) und Mitte (Grimm-Zentrum) abgeholt werden. Es ist eine persönliche Abholung erforderlich. Hardwaretoken werden nur an Mitarbeiter:innen ausgegeben und auch jeweils nur ein Hardwaretoken pro Mitarbeiter:in. Vor Abgabe wird geprüft, ob Sie Mitarbeiter:in der HU sind (daher bitte einen amtlichen Lichtbildausweis mitbringen). 

Softwaretoken

Ein Softwaretoken wird innerhalb einer 2FA-App generiert, welche z. B. auf dem Smartphone installiert ist. Die 2FA-App hat ebenfalls nur die Funktion fortlaufend neue sechsstellige Nummern  zu generieren.

Für den Zugang zu HU-ESS können alle 2FA-Apps genutzt werden, die auf dem TOTP-Standard beruhen. Auf einen konkreten App-Anbieter kommt es nicht an. Jedoch sind manche Apps eher datensparsam (keine Tracker, wenig Berechtigungen), manche eher datenhungrig (viele Tracker, viele Berechtigungen) ausgestaltet. 

Der CMS nennt einige 2FA-Apps, die datensparsam arbeiten und im Folgenden auf Basis von Informationen aus exodus-privacy.eu.org (externer Link) weiter betrachtet werden.

Alle Apps benötigen die Berechtigung auf die Kamera zuzugreifen. Dies ist nachvollziehbar, da über die (Foto)Aufnahme eines QR-Codes die Verknüpfungen mit den Accounts erfolgen.  

2FA-Apps

Google Authenticator (Android)
Sehr verbreitet. Bislang wurde an der App Google Authenticator kein datenschutzseitig bedenkliches Verhalten festgestellt. Es ist keine Verknüpfung mit einem Google-Konto erforderlich. Der Google Authenticator enthält keine Tracker.

Aegis Authenticator (Android)
Aegis enthält keine Tracker.

FreeOTP+ (Android)
FreeOTP+ ist eine Open-Source-Software, welche keine Tracker enthält. An Berechtigungen wird zusätzlich Zugriff auf den Speicher verlangt. 

OTP Auth (iOS)
Nach Auskunft im AppStore erfasst OTP Auth keine persönlichen Daten über die App. 

Authenticator (iOS)
Nach Auskunft im AppStore erfasst Authenticator ggf. Daten zum Einkaufsverlauf und zur GeräteID, jedoch keine weitere Daten zur Person. 

Google Authenticator (iOS)
Gem. Auskunft im AppStore erfasst der Google Authenticator ggf. Daten zur Geräte ID, jedoch keine weitere Daten zur Person.  

Anmerkung: Bei der Durchsicht sind wir teils auch auf OTP-Apps gestoßen, bei denen diverse Tracker enthalten sind und welche zusätzliche Daten für den Anbieter oder Dritte erheben ( z. B.: Google Analytics, Facebook Ads). Auch erfordern manche Apps eine Vielzahl zusätzlicher Berechtigungen, z.B. Standort, Handy-Accounts, Kontakte, Telefonstatus.

All dies ist – jedenfalls für den HU-ESS-Zugang – nicht erforderlich. Soweit es also keine sonstigen Gründe gibt, können (sollten) Sie aus Datenschutz und IT-Sicherheitssicht solche Apps meiden.