Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Die Telemetriedaten-Erhebung in Windows 10 lässt sich komplett deaktivieren.

Zu diesem Schluss kam eine Facharbeitsgruppe des bayerischen Landesdatenschutzbeauftragten, die mit Unterstützung von Microsoft die Datenübermittlung von Windows 10 untersucht hat.

Hierbei hat die Arbeitsgruppe herausgefunden, dass ein aktuelles Windows 10 Enterprise (Stand: Version 1909) durch das Setzen des Telemetrielevels auf Security keine Telemetriedaten mehr sendet.

Mit dieser Einstellung eignen sich somit die Enterprise und die Education Versionen für den universitären datenschutzkonformen Betrieb.
Dies gilt allerdings nicht für Windows 10 Pro oder Home.

Administratoren können diese Einstellung am besten in den Gruppenrichtlinien für die Organisation einrichten.

Sollten Sie diese Möglichkeit nicht haben können Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection navigieren und dort das DWORD-Wert (32-Bit) „AllowTelemetry“ erstellen und mit dem Wert 0 versehen.

Golem Artikel
Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule, in der Forschung, Recht.

Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (auch Joint Controllership genannt) bedeutet, dass bei einer Zusammenarbeit mehrerer Stellen diese gemeinsam für die Datenverarbeitung verantwortlich sein können. Die genannte rechtliche Grundlage der Datenschutzgrundverordnung verlangt u.a. den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit und bestimmt, dass die von der Datenverarbeitung betroffenen Personen ihre Rechte nach der Verordnung jedem einzelnen der Verantwortlichen gegenüber geltend machen können.

Die Rechtsfigur der gemeinsamen Verantwortlichkeit wirft zahlreiche praxisrelevante Fragen auf. Es bedarf z.B. der Abgrenzung zur Auftragsverarbeitung nach Art. 28 DS-GVO einerseits und zur alleinigen Verantwortlichkeit andererseits. Im jeweiligen Einzelfall ist zu klären wie weit die gemeinsame Verantwortlichkeit reicht, wie die Transparenz gegenüber der betroffenen Person im Außenverhältnis gewährleistet wird, und wie die notwendigen Inhalte der gesetzlich geforderten Vereinbarung im Innenverhältnis ausgestaltet werden. Auch stellt sich die Frage nach haftungsrechtlichen Konsequenzen, wenn Daten in gemeinsamer Verantwortung verarbeitet werden.

Insbesondere durch die jüngere Rechtsprechung des Europäischen Gerichtshofs (EuGH) hat das Thema neue Bedeutung erlangt: Gemeinsame Verantwortlichkeit setzt danach nicht voraus, dass jeder der Beteiligten hinsichtlich der Verarbeitung der Daten identische Handlungsoptionen hat. Gemeinsame Verantwortlichkeit ist also nicht im Sinne einer gleichwertigen Verantwortlichkeit zu verstehen und setzt auch nicht voraus, dass alle Verantwortlichen gegenüber der betroffenen Person in Erscheinung treten. (EuGH, Urteil vom 05.06.2018 – C-210/16 (Facebook-Fanpages); EuGH, Urteil vom 10.07.2018 – C-25/17 (Zeugen Jehovas)) Auch der tatsächliche Zugang zu den Daten ist kein maßgebliches Kriterium. Es genügt, dass ein Beteiligter die Verarbeitung eines anderen Beteiligten veranlasst und von dessen Ergebnissen profitiert. Für vor- oder nachgelagerte Vorgänge in einer Verarbeitungskette, an der ein Beteiligter keinen Einfluss in Form von Festlegung der Zwecke oder Mittel hat, soll dieser dann auch nicht verantwortlich sein. (EuGH, Urteil vom 29.07.2019 – C-40/17 (Fashion ID))

Aufgrund dieses, durch den EuGH sehr weit gefassten Anwendungsbereichs ist in der Regel davon auszugehen, dass das Betreiben eines Social Media Accounts zu einer gemeinsamen Verantwortlichkeit führt: durch das Einrichten wird dem Anbieter des sozialen Netzwerks die Möglichkeit verschafft, z.B. durch das Setzen von Cookies, personenbezogene Daten einzelner Nutzer zu erheben und weiter zu verarbeiten, auf die er andernfalls keinen Zugriff hätte. Die Anbieter haben darauf teilweise reagiert, indem sie ihre Nutzungsbedingungen um eine Vereinbarung i.S.d. Art. 26 DS-GVO ergänzt haben. Ob diese den rechtlichen Anforderungen genügt, ist nach Ansicht der Aufsichtsbehörden mehr als fraglich. Auch die Einbindung von Social Media PlugIns in eine Webseite führt nach den Urteilen des EuGH zu einer gemeinsamen Verantwortlichkeit mit dem Anbieter des sozialen Netzwerks, soweit es um Vorgänge geht, bei denen gemeinsam über Zwecke und Mittel entschieden wird. Hierfür stellen die Anbieter bislang noch keine Zusatzvereinbarungen zur Verfügung.

Bei Fragen steht Ihnen das Büro des Datenschutzbeauftragten selbstverständlich gern zur Verfügung.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Es ist nicht selten, dass dienstliche Inhalte über hochschulexterne
Mailadressen verarbeitet werden.

Hierzu ein paar Kommentare aus Sicht des Datenschutzes:

Mailadressen bei GMX, Web.de, GoogleMail usw. sind nicht erkennbar mit einer
Person verbunden. Die Identität ist in keiner Weise überprüft. Vorname.
Nachname@mailprovider.de kann in den meisten Fällen jeder für sich
reklamieren.

Erhalten Sie eine Mail vorname.nachmame@gmail.com sollten Sie unbedingt
davon ausgehen, dass es sich nicht um die Person vorname.nachname handeln
könnte. Sollten vertrauliche Inhalte angefragt werden, so sollte die
Identität nochmals überprüft werden. Weisen Sie Studierende darauf hin, dass
die Frage nochmals per RUB-Mailadresse zu stellen ist, damit die Identität
überprüft werden kann. Inhalte die vermeintlich von MitarbeiterInnen der
Hochschule stammen sollten ebenfalls überprüft werden, wenn sie von nicht
überprüfbaren Mailadressen stammen.

Weiterleitungen dienstlicher Inhalte an hochschulexterne Adressen kommen
einer Übertragung solcher Inhalte in den Privatbereich gleich. Das ist so,
als ob Sie als Dienstadresse Ihre Privatadresse angeben.

Das wird spätestens dann zu einem Problem, wenn in (seltenen Ausnahme-)
Fällen die Hochschule dringend Zugang zu den dienstlichen Inhalten benötigt.
Das ist dann bei Drittanbietern nicht möglich. Haftung des Verursachers ist
da nicht ausgeschlossen.

Senden Sie keine dienstlichen Mails an Personen, die ein dienstliches Konto
nutzen sollten, dafür aber eine private Mailadresse nutzen. Verwenden Sie
dafür die dienstlichen RUB-Mailadresse.

Es ist sinnvoll private Mailadressen für Privates und dienstliche
Mailadressen für Dienstliches zu verwenden.

Ein weiterer Aspekt, ist dass die Verwendung bekannter autorisierter
Mailadressen auch dazu geeignet sind, Schadsoftware und Phishing leichter zu
erkennen. Die Gefahr kann zudem durch die Verwendung von Mail-Zertifikaten
reduziert werden, die über IT.Services (klick) zu bekommen sind. Mit denen
können auch Mails verschlüsselt werden.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Am 29. März 2019 wird Großbritannien aus der EU austreten. Das wird auch Folgen für den Datenschutz haben. Welche genau das sein werden, ist zum gegenwärtigen Zeitpunkt noch unklar. Findet Großbritannien keine Einigung mit der EU, findet ein sogenannter „No-Deal-Brexit“ statt. Dieser Fall hätte die weitreichendsten Folgen. Großbritannien würde damit gegenüber der EU als Drittstaat gelten.

Dazu hat die Europäische Kommission eine Stellungnahme veröffentlicht. Sie empfiehlt die Nutzung von Standardvertragsklauseln für das Vereinigte Königreich, wie sie derzeit auch für andere Drittstaaten Anwendung finden.

Die European University Association hat zusammen mit Universities UK einen Leitfaden veröffentlicht, um Universitäten konkrete Hilfestellung zur Vorbereitung auf das No-Deal-Szenario zu geben.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Für Mitarbeiter der RUB steht über das Serviceportal ab sofort die Online Einführung Datenschutz der Akademie Mont-Cenis zur Verfügung.

Das Programm richtet sich an die Beschäftigten des Landes und gibt eine Einführung in das Thema Datenschutz insbesondere auch im Hinblick auf die seit Mai 2018 in Kraft getretene EU Datenschutz-Grundverordnung (DS-GVO) und die Neufassung des Landesdatenschutzgesetzes NRW.

Die Einführung Datenschutz im Serviceportal der RUB

Lernprogramm (feste Größe)
Lernprogramm skalierbar

Veröffentlicht: von & gespeichert unter Allgemein.

Einen lesenswerten Beitrag zum Umgang mit Passwörtern ist auf den Seiten des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg erschienen. Der Beitrag bietet dabei sowohl Tipps und Hilfestellungen für Anwenderinnen und Anwender, als auch Hinweise für die Administration und Erstellung von Software.

Wir wünschen viel Spaß bei der Lektüre!

Hinweise zum Umgang mit Passwörtern

Veröffentlicht: von & gespeichert unter Datenschutz.

Der Thüringer Landesbeauftragte für Datenschutz warnt vor einer sogenannten „Datenschutzauskunft-Zentrale“.

Unter diesem Namen wurden zahlreiche Unternehmen, Kanzleien und Vereine per Fax aufgefordert ein beigefügtes Formular zum Datenschutz auszufüllen und zu unterschreiben.

Achtung: Es handelt sich hierbei um eine Abofalle!
Es besteht keine Verpflichtung diese Angaben an eine „Datenschutzauskunft-Zentrale“ zu übermitteln!

Wichtig: Wer ein solches Schreiben erhalten hat, sollte es auf keinen Fall bearbeiten. Wer das Fax bereitsunterschrieben und zurückgesendet hat, sollte seine Erklärung umgehend widerrufen.

Die offizielle Warnung des Thüringer Landesbeauftragten für Datenschutz, Dr. Lutz Hasse, finden Sie hier.
Heise Newsmeldung.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Seit 2012 ist der Oktober der Europäische Monat der Cyber-Sicherheit.
Europaweite Aktionen zielen darauf ab, das Bewusstsein der Bürger für Informationssicherheit zu schärfen. Sie weisen auf Gefahren hin, die bei einer arglosen Nutzung des Internets entstehen können und zeigen einfache Schritte auf, die jeder zum Schutz persönlicher oder beruflicher Daten unternehmen kann.

Hierzu bieten die UA Ruhr Universitäten Duisburg-Essen und Ruhr-Universität Bochum dieses Jahr eine Reihe von Veranstaltungen an.
Alle Studierenden und Beschäftigten aller UA Ruhr Universitäten sind herzlich zu den ca. zweistündigen Veranstaltungen eingeladen. Die Veranstaltungen sind kostenlos, jedoch ist bei den Veranstaltungen in Bochum eine Anmeldung erforderlich.

Weitere Informationen finden Sie auf der Website oder auf dem Flyer

Veröffentlicht: von & gespeichert unter Allgemein, Datenschutz, Hochschule.

Ab sofort ist der Zugang zur Informationsplattform des ZENDAS für alle MitarbeiterInnen der Ruhr-Universität Bochum möglich und nicht mehr auf freigeschaltete IP-Adressbereiche beschränkt. Auf der Informationsplattform finden Sie viele Hilfestellungen und Informationen zum Datenschutz an Hochschulen; vom korrekten Schwärzen in PDF-Dokumenten, über die Konfiguration von Mailinglisten bis zum Umgang mit TeilnehmerInnen-Listen.

Um alle Informationen sehen zu können, ist ein Login via Shibboleth bzw. DFN-AAI notwendig, wenn Ihr IP-Adressbereich nicht freigeschaltet ist:

  1. Besuchen Sie die Login-Seite (letzter Punkt im Menü).
  2. Wählen Sie unter „Mitarbeiter Login“ den Punkt „Login via Shibboleth (DFN-AAI)„.
  3.  sie werden auf die Website „DFN-AAI“ weitergeleitet. Wählen Sie hier „Ruhr-Universität Bochum aus“.
  4. Sie werden auf eine Anmeldemaske der RUB weitergeleitet. Melden Sie sich mit Ihrer LoginID an.
  5. Sie werden auf ZENDAS weitergeleitet und haben jetzt Zugriff.