Nr. 32 (24.04.2005)

Rundschreiben Nr. 32
Datenschutz-Leitfaden für die Leitung der Institute und Seminare sowie zentralen Einrichtungen der Technische Universität Braunschweig

Sehr geehrte Damen und Herren,

zu Ihrer Erleichterung, Datenschutz und Datensicherung in den Einrichtungen zu gewährleisten, habe ich den umseitig abgedruckten Datenschutz-Leitfaden zusammengestellt. Da die mit der Leitung von Hochschuleinrichtungen Beauftragten nicht notwendigerweise gleichzeitig Fachleute für Datenschutz und Datensicherheit sein können, soll die Umsetzung der umseitig aufgeführten Punkte Verletzungen des Datenschutzes in den Einrichtungen vermeiden.

Einen Schwerpunkt der umseitigen Hinweise betrifft den Einsatz von Rechnern. Ihre Nutzung als intelligente Schreibmaschine, zur weltweiten Kommunikation sowie zur Selbstdarstellung im Internet, hat in den vergangenen Jahren beträchtlich zugekommen. Leider damit auch die bei unsachgemäßer Nutzung ausgehenden Gefahren. Bei nicht aktuell gehaltenen Sicherheitseinstellungen gehen von ihnen, eingebunden in das Hochschulnetz, für alle im Netz befindlichen Rechner große Gefahren für Schutz und Sicherheit von Daten aus. Daher sind diesem Arbeitsumfeld die Hinweise 1 - 4 gewidmet.

Ein zweiter Aspekt weist darauf hin, als Aushang am Schwarzen-Brett oder im Internet keine Namen zu veröffentlichen, sondern bei Mitteilungen von beispielsweise Prüfungsergebnissen pseudonymiserte Kennungen (die Matrikelnummern der Studierenden zählen in den meisten Fällen nicht dazu) zu nutzen (Hinweis 5).

In den Sekretariaten werden häufig personenbezogene Daten für die Verwaltung der Beschäftigten für notwendig erachtet. Diese Nebenakten können bestimmte, aber nicht alle, personenbezogene Daten enthalten und selbstverständlich sind sie zu gegebener Zeit unter Beachtung des Datenschutzes zu entsorgen. Nähere Angaben dazu finden sich in meinem Rundschreiben-Nr. 2 vom 10.11.1994 (Hinweis 6).

Sobald in den Hochschuleinrichtungen neue IT-Verfahren wie Videoüberwachungen geplant werden, sollte der Datenschutzbeauftragte sowie die Personalvertretung dieser Universität rechtzeitig in die Planungen eingebunden werden (Hinweis 7).

Bei Fragen zu diesen datenschutzrechtlichen Aspekten wenden Sie sich gerne an den aktuellen Datenschutzbeauftragten.

Mit freundlichen Grüßen
Michael Wettern



Datenschutz-Leitfaden für die Leitungen
der Institute und Seminare sowie zentralen Einrichtungen
Technische Universität Braunschweig

Zur Sicherheit von Rechnern und deren Datenbeständen

Die Leitungen der Institute und Seminare sowie zentralen Einrichtungen sind verantwortlich für die Einhaltung der Vorschriften zu Datenschutz und Datensicherheit in ihrem Zuständigkeitsbereich [§ 8 Grundordnung der TU Braunschweig vom 01.02.2005; § 4 Informationsdienste-Ordnung der TU Braunschweig vom 15.07.2000]. Diese Verantwortlichkeit kann nicht übertragen werden, wohl aber die zur Ausführung der zur Sicherstellung des Datenschutzes erforderlichen Maßnahmen. Deshalb wird zur Vermeidung von Verletzungen des Datenschutzes die Einhaltung der folgenden Punkte dringend empfohlen.

1. Sicherstellung und Kontrolle der Aufgaben einer kontinuierlichen Pflege der IT-Infrastruktur in der Organisationseinheit

(Beispielsweise durch: fachgerechter Anschluss der Rechner an das Hochschulnetz [§ 6 Nutzungsordnung zur Informationstechnologie an der Technischen Universität Braunschweig], Einbau von Sicherheitsbarrieren [Router, Firewalls, Virenscanner, rechtzeitige Betriebssystem-Updates], Nutzung von VPN bei WLAN-Anbindungen, regelmäßige automatische Sicherung von Festplatten
Weitere Informationen beim Gauß IT-Zentrum

2. Erstellung einer Arbeitsanleitung für die Aktualisierung der Sicherheitseinstellungen von Rechnersystemen in der Organisationseinheit sowie eines Notfallplanes

(Unter Umständen den Rechner vom Netz abkoppeln und § 8 (1) der "Ordnung zur IT-Sicherheit an der Technischen Universität Braunschweig" beachten)

3. Führung einer aktuellen Liste der in der Organisationseinheit verwendeten dienstlichen bzw. mit dienstlicher Genehmigung genutzten Software, Versagen der Nutzung von privater Software ohne dienstliche Genehmigung auf dienstlichen Rechnern

4. Beachtung der rechtlichen Vorgaben bei der Erstellung von Internetseiten, insbesondere des Datenschutz-, Telekommunikations-, Medien-, Marken-, Urheberrechts

5. Gewährleistung des Datenschutzes durch Pseudonymisierung bei personenbeziehbaren Mitteilungen im Rahmen des Lehrbetriebs bei Fernabfragen zu eigenen Daten. (Für derartige Auskünfte soll das Web-basierte System StudIP genutzt werden.)

6. Datenschutzrechtlich korrekte Führung und Entsorgung von in den Organisationseinheiten geführten Nebenakten

7. Rechtzeitige Beteiligung des/der behördlichen Datenschutzbeauftragten bereits bei der Planung neuer IT-Verfahren zur Durchführung der gesetzlich erforderlichen Datenschutz-Folgenabschätzung (DSFA)*, sowie Einbindung der Personalvertretung bei mitbestimmungspflichtigen Vorhaben (beispielsweise bei der beabsichtigten Einführung einer Videoüberwachung).


*ehemals Vorabkontrolle (wurde nachträglich und unabhängig von Herrn Wettern geändert)