TU BRAUNSCHWEIG

Rundschreiben Nr. 15
Merkblatt zum Niedersächsischen Datenschutzgesetz

Am 30. Dezember 1997 trat die Neufassung des Niedersächsischen Datenschutzgesetzes (NDSG) in Kraft. Die Fortschreibung dieses Gesetzes berücksichtigt die rasante und unaufhaltsame Entwicklung der elektronischen Datenverarbeitung.

Die Technische Universität Braunschweig verfügt heute über mehr als 3500 Personalcomputer, die größtenteils über Netzwerke miteinander verknüpft sind. Gegenwärtig sind dem Rechenzentrum (RZ) der Universität 16200 Personen als Nutzer gemeldet, davon haben sich allein in den ersten Tagen des Wintersemesters 1999/2000 etwa 1500 neu registrieren lassen. Schnittstellen über wissenschaftliche Netze und über die Telefonleitungen verbinden diese mit der ganzen Welt.

Insbesondere über das Internet können Hacker und Computervandalen unberechtigterweise in das Universitätsnetz eindringen und beispielsweise Computerviren übertragen. Dieses Gefährdungspotential zwingt zu besonders vorsichtigem und sorgfältigem Umgang mit den Rechnersystemen und den darauf befindlichen Daten. Die Datensicherheit ist aber nicht nur durch das weltweite Netz gefährdet, sondern auch ein technisches Problem der Hard- und Software. Software kann fehlerhaft programmiert sein und Datenbestände zerstören. Hardware kann ausfallen: von einer defekten Festplatte können die darauf befindlichen Daten nicht mehr gelesen werden. Und es ist sicher, daß die Hardware in Ihrem Computer irgendwann ausfällt, da diese Technik irgendwann verschleißt - und das gilt auch für elektronische Bauelemente.

Aber auch der EDV-Anwender kann versehentlich Daten zerstören oder beschädigen: ein im Bruchteil einer Sekunde falsch eingegebener Befehl kann wochenlange Arbeit zunichte machen.

Nicht oder unzureichend gesicherte Daten können der Universität einen erheblichen Schaden verursachen. Die von Datenverlust Betroffenen haben erheblichen Ärger und zusätzliche, unnötige Arbeit. Eine Voraussetzung für Datensicherheit sind sorgfältig geschulte Mitarbeiterinnen und Mitarbeiter, die wissen, wie man mit Daten umgeht.

Sicherungskopien (backups), insbesondere auf CD-ROM, gespiegelte Fest-platten und Bandlaufwerke (streamer) sind Maßnahmen, die der Datensicherheit und damit gleichzeitig auch dem Datenschutz dienen - man muß sie nur kennen und anwenden. Das Hochschulrechenzentrum bietet als Service, Daten automatisch zu sichern (UNIX und WindowsNT). Nähere Einzelheiten dazu erfahren Sie im RZ der TU Braunschweig.

Ziel des Datenschutzes
Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persön-lichkeitsrecht beeinträchtigt wird. Nach der Rechtsprechung des Bundesverfassungsgerichts gehört zum Persönlichkeitsrecht insbesondere auch das Recht, grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten bestimmen zu können (Recht auf informationelle Selbstbestimmung). Die Erlaubnis, Daten über andere zu sammeln, zu speichern, weiterzuleiten und sonst zu nutzen, wird hierdurch erheblich eingeschränkt. Anliegen des Gesetzes ist es nicht nur, einem offensichtlichen Mißbrauch persönlicher Daten entgegenzuwirken, sondern dem Persönlichkeitsrecht des einzelnen unter den Bedingungen der modernen Datenverarbeitung Geltung zu verschaffen. Das Niedersächsische Datenschutzgesetz gilt für jeden, der im Rahmen seiner Tätigkeit im öffentlichen Dienst des Landes Niedersachsens personenbezogene Daten verarbeitet.

Begriffsbestimmungen
Das NDSG regelt die Nutzung personenbezogener Daten. Personenbezogen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Dabei ist der Begriff "personenbezogene Daten" sehr weit zu verstehen. Hierzu gehören beispielsweise: Name, Anschrift, biographische Daten, Gehaltsdaten, Angaben über Mitgliedschaften oder Teilnahme an Veranstaltungen, Leistungsdaten, Beurteilungsdaten, Gleitzeitdaten, Telefondaten, Reisekostenabrechnungen, medizinische Daten etc. Dabei ist es nicht notwendig, daß der Name des Betroffenen in jedem Fall mit gespeichert wird; es genügt, daß die Daten unter Zuhilfnahme sonstiger Informationsquellen einer bestimmten Person zugeordnet werden können. Mit der zunehmenden Verbreitung der EDV an allen Arbeitsplätzen werden personenbezogene Daten an immer mehr Stellen ge-speichert und verarbeitet (beispielsweise: Textverarbeitung, Adreßlisten, elektronischer Terminkalender, etc.).

Verbot mit Erlaubnisvorbehalt
Da jede Verarbeitung personenbezogener Daten das informationelle Selbstbestimmungsrecht Betroffener tangiert, geht das Gesetz von einem Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt aus. D.h., jede Verarbeitung (dazu gehören: Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen) personenbezogener Daten ist grundsätzlich verboten, sofern nicht im Einzelfall einer der gesetzlich festgelegten Erlaubnistatbestände zum Tragen kommt.

Das NDSG erlaubt die Verarbeitung personenbezogener Daten in folgenden Fällen:

1. das NDSG selbst oder eine andere Rechtsvorschrift (z.B. Steuergesetz, Sozialgesetze, Tarifverträge, Betriebsvereinbarungen, Immatrikulationsordnung) sieht dies vor,

2. die Betroffenen haben der Verarbeitung zugestimmt und

3. personenbezogene Daten können zu Zwecken der Forschung verarbeitet werden, sofern dies im öffentlichen Interesse liegt.

Forschungsreglung
Besonders wichtig für die Forschung ist die letztgenannte Ausnahmeregelung nach § 25  NDSG. Diese ermöglicht die Verarbeitung personenbezogener Daten auch dann, wenn weder eine Rechtsvorschrift noch die Einwilligung Betroffener dazu vorliegt. Allerdings setzt dieser Weg der Verarbeitung voraus, daß Art und Verarbeitung darauf schließen lassen, daß ein schutzwürdiges Interesse der Betroffenen der Verarbeitung nicht entgegensteht oder das  öffentliche Interesse an dem Forschungsvorhaben das schutzwürdige Interesse Betroffener erheblich überwiegt. Das Ergebnis der Abwägung und seine Begründung sind vor Aufnahme der Arbeiten aufzuzeichnen. Über die Verarbeitung ist der örtliche Datenschutzbeauftragte zu unterrichten.

Sicherstellung des Datenschutzes
Jede öffentliche Stelle darf ein automatisiertes Verfahren zur Bearbeitung personenbezogener Daten nur dann einsetzen oder wesentlich ändern, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch technische und organisatorische Maßnahmen wirksam beherrscht werden können. Diese zu treffenden Feststellungen sind schriftlich festzuhalten.

Für automatisierte Daten sind von der datenerhebenden Stelle in einer Datei-beschreibung festzulegen, (1) die Bezeichnung der Datei und ihre Zweckbestimmung, (2) die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, (3) den Kreis der Betroffenen, (4) die Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Herkunft regelmäßig empfangener Daten, (5) Fristen für die Sperrung und Löschen der Daten, (6) technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes entsprechend NDSG, und (7) die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren der Übermittlung, Sperrung, Löschung und Auskunftserteilung. Im Falle der Technischen Universität Braunschweig wer-den die Dateibeschreibungen in der Abteilung 12 geführt, die diese jeweils von den datenerhebenden Stellen erhält.

Öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten und hierbei in der Regel mindestens fünf Bedienstete ständig beschäftigen, haben einen Beauftragten oder eine Beauftragte für den Datenschutz zu be-stellen.

Jede Dienststelle, die personenbezogene Daten verarbeitet, ist für die Sicherheit und den Schutz dieser Daten eigenverantwortlich. Ihr obliegt es, geeignete technische und organisatorische Maßnahmen zu treffen, um eine den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzustellen. In § 7 NDSG sind als geeignete Maßnahmen aufgeführt: Zugangskontrolle , Datenträgerkontrolle, Speicherkontrolle, Benutzerkon-trolle, Zugriffskontrolle, Übermittlungskontrolle, Eingabekontrolle, Auftragskontrolle, Transportkontrolle und Organisationskontrolle.

Diese Verpflichtung gilt für jede Person, die beispielsweise Gutachten per PC erstellt und Adressen speichert, ebenso trifft sie auf jedes Sekretariat in den Instituten und Dekanaten zu sowie auf alle zentralen Einheiten der TU Braunschweig. Die Verpflichtung zur Einhaltung des Datenschutzes kann niemandem abgenommen werden, der personenbezogener Daten verarbeitet.

Werden für die Speicherung und Verarbeitung personenbezogener Daten private PCs oder Geräte aus Drittmitteln verwendet, so gelten die Vorschriften des NDSG uneingeschränkt. Bei privaten PCs muß besonders darauf geachtet werden, daß niemand, auch nicht Familienangehörige, auf diese Daten zugreifen können.

Datengeheimnis
Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, diese zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren; dies gilt auch nach der Beendigung ihrer Tätigkeit.

Erhebung, Zweckbindung
Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Dienststelle erforderlich ist. Die Daten sind bei den Betroffen mit ihrer Kenntnis zu erheben. Sofern die Speicherung bestimmter personenbezogener Daten auf Grund eines der oben genannten Erlaubnistatbestände zulässig ist, bedeutet dies nicht, daß diese Daten für beliebige Zwecke genutzt werden dürfen. Eine Verwendung dieser Daten ist zunächst nur für den Zweck erlaubt, für den sie erhoben wurden. So darf eine Datensammlung, die zum Beispiel im Immatrikulationsamt rechtmäßig erstellt wurde, nicht einer anderen Abteilung der Universität für einen anderen Zweck überlassen werden. Allerdings stellt der Gesetzgeber auch fest, daß eine Behörde von ihren Mitgliedern jene Daten erfassen darf, die sie zu ihrer Amtsführung unbedingt benötigt. Sollen innerhalb einer Be-hörde Daten übermittelt werden, so gilt folgendes Verfahren: die abgebende Stelle prüft das Ersuchen nach Maßgabe des NDSG und entscheidet, ob es rechtmäßig ist, die Daten der nachfragenden Abteilung zu überlassen oder nicht.

Besondere Zweckbindung
Bestimmte Daten unterliegen darüber hinaus einer engeren Zweckbindung. Dies gilt zunächst für Daten, für die besondere Verschwiegenheitsverpflichtungen bestehen (ärztliche Schweigepflicht, Sozialgeheimnis, etc.). Auch dürfen personenbezogene Daten, die für Forschungszwecke erhoben wurden, nur für diese wissenschaftliche Forschung verwendet werden. Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle (z.B. Zugangskontrollsystem, Protokollierung von Benutzeraktivitäten an EDV-Systemen), der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage (z.B. Accounting-Daten) gespeichert werden, dürfen ebenfalls nur für diese Zwecke genutzt werden. Etwas anderes gilt, wenn vor der Verarbeitung eine Regelung getroffen wurde, daß diese Daten auch zu anderen Zwecken genutzt werden sollen (z.B. die Daten eines Zugangskontrollsystems werden auch zur Gleitzeitabrechnung verwendet).

Auskunft, Einsicht in Akten
Betroffenen ist von der datenverarbeitenden Stelle auf Antrag Auskunft zu erteilen über die zu ihrer Person gespeicherten Daten, den Zweck und die Rechtsgrundlage der Speicherung sowie die Herkunft der Daten und die Empfänger von Übermittlungen. Dies gilt nicht für personenbezogen Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutkontrolle gespeichert sind, oder wenn die Daten ausschließlich aus verarbeitungstechnischen Gründen vorübergehend (maximal 3 Monate) gespeichert werden.

Berichtigung, Löschung und Sperrung
Betroffene können verlangen, daß ihre personenbezogenen Daten zu berich-tigen sind, wenn die Daten berechtigt als unrichtig erkannt werden. Sie müssen gelöscht werden, sofern ihre Speicherung unzulässig ist oder sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Falls eine Löschung nicht möglich ist, weil dem gesetzliche Aufbewahrungsvorschriften entgegenstehen oder die Löschung schutzwürdige Interessen Betroffener beeinträchtigen könnte, sind diese Daten zu sperren. Sperren bedeutet eine besondere Kennzeichnung der Daten, um so jede reguläre Nutzung zu verhindern.

Schadensersatz
Wird den Betroffenen durch eine nach datenschutzrechtlichen Vorschriften unzulässige automatisierte Verarbeitung ihrer personenbezogenen Daten eine Schaden zugefügt, so sind ihnen die Träger der datenverarbeitenden Stelle unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.

Datenschutzbeauftragte
Jede Person, die meint, durch Verarbeitung ihrer personenbezogenen Daten in ihren Rechten durch eine Stelle verletzt worden zu sein, kann sich an den Landesbeauftragten für den Datenschutz Niedersachsen wenden. Bedienstete öffentlicher Stellen haben dieses Recht auch in dienstlichen Angelegenheiten. Sie müssen allerdings zuvor erfolglos versucht haben, in ihrer Dienststelle auf Abhilfe zu drängen. Keine Person darf wegen des Einschaltens des Datenschutzbeauftragten benachteiligt werden.

Der Datenschutzbeauftragte der Technischen Universität berät als soge-nannter "örtlicher Datenschutzbeauftragter" die Universitätsleitung sowie alle nachgeschalteten Dienststellen bei der Einhaltung und Sicherstellung des Datenschutzes. Er berät die Mitglieder der Universität in allen Fragen des Datenschutzes und setzt sich dafür ein, daß an der Hochschule die Bestimmungen des NDSG eingehalten werden. Der Datenschutzbeauftragte ist an der Universität auch die "Beschwerdeinstanz", an die sich alle Mitglieder der Hochschule in Fragen des Datenschutzes wenden können. Auf Wunsch behandelt er die Anfragen vertraulich.

Anmerkungen
Grundsätzlich gilt für alle PCs und Laptops, daß bei der Speicherung perso-nenbezogener Daten ein Paßwortschutz oder gar Sicherungssoftware verwendet werden müssen. Auskunft dazu erteilen das RZ, die Abteilung 52 oder der Datenschutzbeauftragte der TU.

Bei der Wahl von Paßworten sollten Sie bedenken, daß es Entschlüsselungsprogramme gibt, die triviale Paßworte (Mai, Claudia, Hans, Lord Extra) und auch scheinbar originelle Paßworte (Silhouette, Tessaloniki, Benzoesäure) auf Anhieb herausfinden. Allerdings sind auch Kunstworte wie "EIMIWEI" (= Eile mit Weile) von heutigen Hackertools und den schnellen Rechnern problemlos zu knacken. Es gilt meines Erachtungs nur noch: je länger ein Paßwort ist, desto länger braucht auch ein Angreifer, um dieses zu entschlüsseln.

Wer seine sensiblen Daten unverschlüsselt über das Internet schickt, muß damit rechnen, daß hunderte von Augenpaaren mitlesen. Dies gilt ebenso bei entsprechendem Datentransfer innerhalb des sehr offenen Hochschulnetzes, das von außen leicht erreicht werden kann: Eine Verschlüsselung von personenbezogenen oder sonstigen sensiblen Daten ist in diesen Fällen dringend zu empfehlen.

Auch die Übertragung von Daten mit dem Faxgerät ist nicht sicher - oft weiß man nicht einmal, wer den Ausdruck in die Hand bekommt.

Braunschweig, 3. Dezember 1999               


  aktualisiert am 26.08.2016
TU_Icon_E_Mail_1_17x17_RGB Zum Seitenanfang