Veröffentlicht: von & gespeichert unter Datenschutz, Recht.

Am 16.7.2020 hat der europäische Gerichtshof (EuGH) über die Zulässigkeit von Datentransfers in die USA entschieden. Dieses Urteil hinterlässt derzeit eine weitreichende rechtliche Unsicherheit, obwohl es eigentlich Klärung bringen sollte. Aber der Reihe nach.

Das Urteil betrifft Datentransfers in die USA, für die komplexe Regelungen in der Datenschutz-Grundverordnung (DSGVO) getroffen wurden. Solche Datentransfers finden an Hochschulen z. B. bei der Benutzung von (Cloud-) Diensten der großen US-Anbieter statt. Es betrifft aber auch die Zusammenarbeit mit US-amerikanischen Forscher:innen oder Hochschulen.

Von Schrems I zu Schrems II

Geklagt hatte ursprünglich Max Schrems und die Organisation NOYB gegen Facebook in Irland, um die Datentransfers von Facebook in die USA zu unterbinden. In Irland wurde dann die Frage an den EuGH gerichtet, ob das Privacy-Shield-Abkommen, das zwischen der EU und den USA Regelungen für die Datentransfers vereinbart, ausreichende rechtliche Garantien für EU Bürger gewährleistet. Nicht überraschend kam die Feststellung, dass die Privacy-Shield-Vereinbarung hier nicht ausreichend ist. Mit Urteilsspruch wurden damit Übermittlungen die darauf basieren nicht weiter zulässig. Das wirkt sich in der Praxis allerdings zunächst nur gering aus. Die Entscheidung wurde so bereits erwartet, da die Unterschiede zum vorherigen Abkommen namens „Safe Harbour“ nur gering waren und dieses bereits 2015 mit dem Schrems-I-Urteil für unzulässig erklärt wurde. Wie bereits 2015 sind die Sicherheitsgesetze in den USA, hier konkret FISA 702 und EO 12333, und die daraus folgenden Eingriffe, wie Massenüberwachung und Datenzugriffe durch Behörden und Geheimdienste bei Nicht-US-Bürgern, ausschlaggebend.

Privacy Shield nur im Doppelpack

Die erwartete Aufhebung von Privacy Shield hat dazu geführt, dass bei den meisten großen IT Konzernen bereits seit 2016 die Legitimierung der Übermittlungen auch auf der Basis von vertraglichen Vereinbarungen rechtlich abgesichert wurde, über die sogenannte Standardvertragsklauseln (SCC). Diese Klauseln hat, wie auch das Privacy-Shield-Abkommen, die EU-Kommission zur Vereinfachung und Vereinheitlichung von internationalen Datentransfers ausgehandelt. Die Klauseln sind 2010 vereinbart worden und finden auch bei Übermittlungen in andere Staaten Anwendung, die kein der EU vergleichbares Datenschutzniveau auf gesetzlicher Basis bieten, z. B. Indien oder Mexiko. Auch die SCC werden bereits seit längerem kritisiert. Neben der Privacy-Shield-Zertifizierung wurden zuletzt also viele Übermittlungen zusätzlich auf diese Basis gestellt, um der erwartbaren Entscheidung zur Ungültigkeit des Privacy-Shield-Abkommens zu begegnen.

Wie weiter?

Das aktuelle Urteil erhält nun aber weitere ernsthafte Brisanz, weil auch Aussagen zu den Standardvertragsklauseln getroffen werden. Die Sicherheit der Verarbeitung muss mit ausreichenden Garantien belegt sein – im Fall von Privacy Shield hat der EuGH diese in den USA verneint. Für die Standardvertragsklauseln werden zusätzliche etwas unklare Anforderungen formuliert. In der Folge können, so wird bereits diskutiert, sämtliche derzeitigen regelmäßigen Übermittlungen in die USA datenschutzrechtlich unzulässig sein. Derzeit fehlen vor allem konkreten Alternativen, um dem zum Begegnen. Am Zug ist jetzt die EU-Kommission. Sie muss für die EU eine tragfähige Lösung anbieten, die auch eine dauerhafte Verlässlichkeit gewährleistet. Ein Abkommen namens „Safe Shield“ oder „Privacy Harbour“ wird der EuGH sicher nicht akzeptieren.

Was sagen die Aufsichtsbehörden?

Die Datenschutzaufsichtsbehörden in Deutschland verhalten sich bereits sehr unterschiedlich, einige wenige drohen bereits, andere setzen zunächst auf sorgfältige Analysen. Diese Analysen dürften auch zu gemeinsamen Positionen der Datenschutzaufsicht in Europa führen. Der europäische Datenschutzausschuss (EDSA), das gemeinsame Gremium der alle 27 Datenschutzaufsichtsbehörden in der EU, hat sich bereits in einem ersten FAQ dem Urteil angenommen. Wie sich die Aufsichtsbehörden im Einzelfall gegenüber den Verantwortlichen verhalten werden, ist noch unklar.

Was nun?

Die Schuld für diese rechtliche Situation liegt klar bei der EU-Kommission, die ihren Auftrag, die Rahmenbedingungen für freien wirtschaftlichen Austausch und damit auch Datenverkehr zu schaffen, hier nicht ausreichend erfüllt hat. Dennoch werden auch den Verarbeitern, wie beispielsweise den Hochschulen, Handlungen abverlangt. Wie diese Handlungen konkret aussehen müssen, was möglicherweise zulässig bleiben kann und was nicht, wird sich erst nach einem gewissen juristischen Meinungsfindungsprozess herausbilden. Für Unternehmen, die als Vertragspartner der Hochschulen Daten verarbeiten, besteht nun der Auftrag aus dem Urteil, Schutz über technisch-organisatorische Maßnahmen sicherzustellen und zu dokumentieren. Nicht zuletzt sind die Positionen und Empfehlungen der Aufsichtsbehörden, insbesondere die Position der Landesbeauftragten in NRW, die für die Hochschulen in NRW zuständig ist, für die direkt erforderlichen nächsten Schritte wesentlich. Die Bewertung des Urteils ist auch hier auch nach Aussage des europäischen Datenschutzausschusses noch nicht abgeschlossen.

Veröffentlicht: von & gespeichert unter Datenschutz.

Für Teilnehmer:innen einer Konferenz:

Wenn Sie die Zoom-Applikation nicht auf Ihrem Computer installieren wollen oder können, ist es möglich einer Konferenz auch im Webbrowser beizutreten. Der Funktionsumfang ist dann eingeschränkt. Eine (aktive) Nutzung ist aktuell nur mit Chromium und Chrome sinnvoll möglich. Details dazu direkt bei Zoom.us – Support.

  1. Öffnen Sie den Meeting Link mit Chromium/Chrome
    Screenshot Zoom: Aufforderung zum Download
  2. Zoom versucht jetzt die App zu starten bzw. herunterzuladen
  3. Ein Download ist nicht notwendig und kann ggf. Abgebrochen werden
  4. Nach einigen Sekunden erscheint der Link zur Onlineteilnahme unter dem bisherigen Hinweis. Sollte dieser nicht erscheinen, klicken Sie auf „Zoom herunterladen und ausführen“. Der Link sollte jetzt erscheinen.

Beachten Sie, dass die Browserteilnahme ggf. in den Meeting-Einstellungen deaktiviert sein kann oder die Teilnahme am Meeting nur nach Registrierung auf der Plattform möglich sein kann. Bitten Sie ggf. die Veranstalter:innen die Einstellungen anzupassen.

Für Veranstalter:innen einer Konferenz:

  1. Nutzen Sie ein Passwort für Ihre Konferenz um Störungen durch Externe zu vermeiden
    Einstellungen für Zoom-Meetings
  2. Erlauben Sie die Teilnahme am Meeting mit dem Webclient ohne Registrierung (siehe auch: Zoom.us – Support)
  3. Weitere Tipps zur Zoom-Nutzung und empfohlene Sicherheitstipps finden Sie auf den Seiten von IT-Services.

 

Veröffentlicht: von & gespeichert unter Allgemein.

Hier folgen einige Hinweise und Antworten auf Fragen die uns im Zusammenhang mit der aktuellen Umstellung auf Home Office erreichen.

Allgemeine Hinweise zum Home Office

Eine kurze Zusammenstellung wichtiger Aspekte beim Einrichten des Home Office Arbeitsplatzes und zur Nutzung privater Geräte gibt es vom ULD Schleswig Holstein. Gute Tipps zur Sicherheit im Netz und zum Schutz der Geräte gibt es bei der Stabsstelle Informationssicherheit.

Nutzung von Cloud-Diensten für (Video-) Chat u.ä.

Pauschal können wir auf Grund der großen Vielfalt an Produkten und deren verschiedenen Versionen (Abos, Freemium, etc.) keine detaillierte Auskunft zu einzelnen Produkten geben. In der Regel sind für uns die „education“ Versionen geeignet und nutzbar, falls es diese nicht gibt die „business“ Variante. Kostenlose Versionen eignen sich auf Grund der Einbindung von Werbung und Nutzer-Tracking häufig nicht. Einige Hinweise auf Tools finden Sie bei den Kolleg:innen vom ZfW. Wichtig: Für die Nutzung von Clouddiensten ist ein Auftragsdatenverarbeitungsvertrag (AV-Vertrag) abzuschließen. Diese finden sich bei vielen Anbietern als Zusatz zum Nutzungsvertrag (Data Processing Addendum) oder können über den Support angefragt werden. Weitere Überlegungen zur Auswahl und Links zu den Vereinbarungen vieler Anbieter hat Thomas Schwenke auf seinen Seiten zusammengestellt. Alternativ stellt IT-Services im Testbetrieb „Matrix“ (https://riot.ruhr-uni-bochum.de/) als Messenger bereit. Für die Nutzung ist kein weiterer Account und kein AV-Vertrag notwendig.

Scannen im Home Office

Bei der Nutzung des heimischen Scanners sollte darauf geachtet werden, dass die eingescannten (vertraulichen) Dokumente nicht im Heimnetzwerk abgelegt werden, sondern möglichst direkt auf dem Dienst-Rechner, um den Zugang für Dritte und den Verlust zu erschweren. Ebenso sollte mit den Papierdokumenten und Ausdrucken sorgsam umgegangen werden. Vermeiden Sie ein Vermischen mit privaten Unterlagen und legen Sie dienstliche Dokumente separat und nach Möglichkeit unzugänglich ab. Entsorgen Sie vertrauliche Dokumente keinesfalls einfach über den Hausmüll, sondern stellen Sie eine ordnungsgemäße Vernichtung sicher.

Wer keinen Scanner hat, greift gerne auf das Smartphone zurück. Am einfachsten geht das mit der normalen Kamera-App. Achten Sie darauf, dass die Aufnahmen nicht automatisch in die Cloud übertragen werden. Spezialisierte Apps bieten hingegen mehr Komfort und bessere Ergebnisse. Achtung: Es gibt leider viele unseriöse Anbieter von Scan-Apps oder cloudbasierte Apps. Diese sollten Sie nicht benutzen. Für einfache Aufgaben eignet sich das kostenlose Open Note Scanner (Fdroid, GooglePlay). Etwas mehr Umfang bietet Microsofts Office Lens (iOS, GooglePlay) – dabei ist aber vor allem darauf zu achten, dass die Daten nicht in der Microsoft-Cloud landen.

Nutzung privater E-Mailadressen

Bitte benutzen Sie ausschließlich Ihre dienstliche E-Mail-Adresse zur Korrespondenz im Home Office. Seien Sie kritisch, wenn Sie Anfragen von Nicht-RUB-Adressen bekommen und geben Sie Informationen nicht einfach heraus. Beachten Sie unsere Hinweise zu E-Mail-Nutzung.

Verschlüsselung von Dokumenten u.ä.

IT-Services bietet eine Kurzanleitung zur Verschlüsselung mit Cryptomator. Dieses Tool eignet sich besonders für die Nutzung mit Sciebo kann aber auch unabhängig verwendet werden. Auch ein verschlüsseltes ZIP-Archiv oder Office Dokument können für den Austausch per E-Mail in Frage kommen. Teilen Sie das Passwort unbedingt per Telefon mit da aktuell Schadsoftware so verbreitet wird. Beachten Sie auch die Tipps des LfDI Baden-Württemberg zum Umgang mit Passwörtern.

Backup

Stellen Sie sicher, dass auch Ihre Backups auch im Home Office erfolgen. Wenn Sie Ihre Daten auf einen externen Datenträger sichern, stellen Sie sicher das dieser geeignet verschlüsselt ist und bewahren Sie diesen getrennt und nach Möglichkeit verschlossen auf.

Veröffentlicht: von & gespeichert unter Allgemein.

SLACKbot Logo

Aktuell erreichen uns vermehrt Anfragen zur Nutzung von Chat-Diensten wie SLACK. Problematisch ist an diesen Diensten die Übertragung in die USA, sowie z.B. SLACK die unbegrenzte Speicherung der Daten. Je nach Abo-Version unterscheiden sich die Praktiken und Eingriffmöglichkeiten für Administratoren.

Aktuell raten wir von der Nutzung von SLACK ab. Alternativ kann z.B. Matrix (aktuell im Testbetrieb: https://riot.ruhr-uni-bochum.de/) verwendet werden.

Sollten Sie dennoch SLACK nutzen wollen oder es bereits nutzen ist ein Vertrag zur Auftragsdatenverarbeitung notwendig. SLACK stellt einen solchen als Vertragsergänzung bereits vor ausgefüllt und von SLACK unterschrieben bereit. Aktuell sind individuell ausgehandelte Verträge mit SLACK nicht möglich.

 

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Die Telemetriedaten-Erhebung in Windows 10 lässt sich komplett deaktivieren.

Zu diesem Schluss kam eine Facharbeitsgruppe des bayerischen Landesdatenschutzbeauftragten, die mit Unterstützung von Microsoft die Datenübermittlung von Windows 10 untersucht hat.

Hierbei hat die Arbeitsgruppe herausgefunden, dass ein aktuelles Windows 10 Enterprise (Stand: Version 1909) durch das Setzen des Telemetrielevels auf Security keine Telemetriedaten mehr sendet.

Mit dieser Einstellung eignen sich somit die Enterprise und die Education Versionen für den universitären datenschutzkonformen Betrieb.
Dies gilt allerdings nicht für Windows 10 Pro oder Home.

Administratoren können diese Einstellung am besten in den Gruppenrichtlinien für die Organisation einrichten.

Sollten Sie diese Möglichkeit nicht haben können Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection navigieren und dort das DWORD-Wert (32-Bit) „AllowTelemetry“ erstellen und mit dem Wert 0 versehen.

Golem Artikel
Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule, in der Forschung, Recht.

Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (auch Joint Controllership genannt) bedeutet, dass bei einer Zusammenarbeit mehrerer Stellen diese gemeinsam für die Datenverarbeitung verantwortlich sein können. Die genannte rechtliche Grundlage der Datenschutzgrundverordnung verlangt u.a. den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit und bestimmt, dass die von der Datenverarbeitung betroffenen Personen ihre Rechte nach der Verordnung jedem einzelnen der Verantwortlichen gegenüber geltend machen können.

Die Rechtsfigur der gemeinsamen Verantwortlichkeit wirft zahlreiche praxisrelevante Fragen auf. Es bedarf z.B. der Abgrenzung zur Auftragsverarbeitung nach Art. 28 DS-GVO einerseits und zur alleinigen Verantwortlichkeit andererseits. Im jeweiligen Einzelfall ist zu klären wie weit die gemeinsame Verantwortlichkeit reicht, wie die Transparenz gegenüber der betroffenen Person im Außenverhältnis gewährleistet wird, und wie die notwendigen Inhalte der gesetzlich geforderten Vereinbarung im Innenverhältnis ausgestaltet werden. Auch stellt sich die Frage nach haftungsrechtlichen Konsequenzen, wenn Daten in gemeinsamer Verantwortung verarbeitet werden.

Insbesondere durch die jüngere Rechtsprechung des Europäischen Gerichtshofs (EuGH) hat das Thema neue Bedeutung erlangt: Gemeinsame Verantwortlichkeit setzt danach nicht voraus, dass jeder der Beteiligten hinsichtlich der Verarbeitung der Daten identische Handlungsoptionen hat. Gemeinsame Verantwortlichkeit ist also nicht im Sinne einer gleichwertigen Verantwortlichkeit zu verstehen und setzt auch nicht voraus, dass alle Verantwortlichen gegenüber der betroffenen Person in Erscheinung treten. (EuGH, Urteil vom 05.06.2018 – C-210/16 (Facebook-Fanpages); EuGH, Urteil vom 10.07.2018 – C-25/17 (Zeugen Jehovas)) Auch der tatsächliche Zugang zu den Daten ist kein maßgebliches Kriterium. Es genügt, dass ein Beteiligter die Verarbeitung eines anderen Beteiligten veranlasst und von dessen Ergebnissen profitiert. Für vor- oder nachgelagerte Vorgänge in einer Verarbeitungskette, an der ein Beteiligter keinen Einfluss in Form von Festlegung der Zwecke oder Mittel hat, soll dieser dann auch nicht verantwortlich sein. (EuGH, Urteil vom 29.07.2019 – C-40/17 (Fashion ID))

Aufgrund dieses, durch den EuGH sehr weit gefassten Anwendungsbereichs ist in der Regel davon auszugehen, dass das Betreiben eines Social Media Accounts zu einer gemeinsamen Verantwortlichkeit führt: durch das Einrichten wird dem Anbieter des sozialen Netzwerks die Möglichkeit verschafft, z.B. durch das Setzen von Cookies, personenbezogene Daten einzelner Nutzer zu erheben und weiter zu verarbeiten, auf die er andernfalls keinen Zugriff hätte. Die Anbieter haben darauf teilweise reagiert, indem sie ihre Nutzungsbedingungen um eine Vereinbarung i.S.d. Art. 26 DS-GVO ergänzt haben. Ob diese den rechtlichen Anforderungen genügt, ist nach Ansicht der Aufsichtsbehörden mehr als fraglich. Auch die Einbindung von Social Media PlugIns in eine Webseite führt nach den Urteilen des EuGH zu einer gemeinsamen Verantwortlichkeit mit dem Anbieter des sozialen Netzwerks, soweit es um Vorgänge geht, bei denen gemeinsam über Zwecke und Mittel entschieden wird. Hierfür stellen die Anbieter bislang noch keine Zusatzvereinbarungen zur Verfügung.

Bei Fragen steht Ihnen das Büro des Datenschutzbeauftragten selbstverständlich gern zur Verfügung.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Es ist nicht selten, dass dienstliche Inhalte über hochschulexterne
Mailadressen verarbeitet werden.

Hierzu ein paar Kommentare aus Sicht des Datenschutzes:

Mailadressen bei GMX, Web.de, GoogleMail usw. sind nicht erkennbar mit einer
Person verbunden. Die Identität ist in keiner Weise überprüft. Vorname.
Nachname@mailprovider.de kann in den meisten Fällen jeder für sich
reklamieren.

Erhalten Sie eine Mail vorname.nachmame@gmail.com sollten Sie unbedingt
davon ausgehen, dass es sich nicht um die Person vorname.nachname handeln
könnte. Sollten vertrauliche Inhalte angefragt werden, so sollte die
Identität nochmals überprüft werden. Weisen Sie Studierende darauf hin, dass
die Frage nochmals per RUB-Mailadresse zu stellen ist, damit die Identität
überprüft werden kann. Inhalte die vermeintlich von MitarbeiterInnen der
Hochschule stammen sollten ebenfalls überprüft werden, wenn sie von nicht
überprüfbaren Mailadressen stammen.

Weiterleitungen dienstlicher Inhalte an hochschulexterne Adressen kommen
einer Übertragung solcher Inhalte in den Privatbereich gleich. Das ist so,
als ob Sie als Dienstadresse Ihre Privatadresse angeben.

Das wird spätestens dann zu einem Problem, wenn in (seltenen Ausnahme-)
Fällen die Hochschule dringend Zugang zu den dienstlichen Inhalten benötigt.
Das ist dann bei Drittanbietern nicht möglich. Haftung des Verursachers ist
da nicht ausgeschlossen.

Senden Sie keine dienstlichen Mails an Personen, die ein dienstliches Konto
nutzen sollten, dafür aber eine private Mailadresse nutzen. Verwenden Sie
dafür die dienstlichen RUB-Mailadresse.

Es ist sinnvoll private Mailadressen für Privates und dienstliche
Mailadressen für Dienstliches zu verwenden.

Ein weiterer Aspekt, ist dass die Verwendung bekannter autorisierter
Mailadressen auch dazu geeignet sind, Schadsoftware und Phishing leichter zu
erkennen. Die Gefahr kann zudem durch die Verwendung von Mail-Zertifikaten
reduziert werden, die über IT.Services (klick) zu bekommen sind. Mit denen
können auch Mails verschlüsselt werden.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Am 29. März 2019 wird Großbritannien aus der EU austreten. Das wird auch Folgen für den Datenschutz haben. Welche genau das sein werden, ist zum gegenwärtigen Zeitpunkt noch unklar. Findet Großbritannien keine Einigung mit der EU, findet ein sogenannter „No-Deal-Brexit“ statt. Dieser Fall hätte die weitreichendsten Folgen. Großbritannien würde damit gegenüber der EU als Drittstaat gelten.

Dazu hat die Europäische Kommission eine Stellungnahme veröffentlicht. Sie empfiehlt die Nutzung von Standardvertragsklauseln für das Vereinigte Königreich, wie sie derzeit auch für andere Drittstaaten Anwendung finden.

Die European University Association hat zusammen mit Universities UK einen Leitfaden veröffentlicht, um Universitäten konkrete Hilfestellung zur Vorbereitung auf das No-Deal-Szenario zu geben.

Veröffentlicht: von & gespeichert unter Datenschutz, Hochschule.

Für Mitarbeiter der RUB steht über das Serviceportal ab sofort die Online Einführung Datenschutz der Akademie Mont-Cenis zur Verfügung.

Das Programm richtet sich an die Beschäftigten des Landes und gibt eine Einführung in das Thema Datenschutz insbesondere auch im Hinblick auf die seit Mai 2018 in Kraft getretene EU Datenschutz-Grundverordnung (DS-GVO) und die Neufassung des Landesdatenschutzgesetzes NRW.

Die Einführung Datenschutz im Serviceportal der RUB

Lernprogramm (feste Größe)
Lernprogramm skalierbar