Navigation überspringen

DSGVO – Allgemeine Vorgehensweisen

Stand: 16.05.2018/UW

Grundsätzliches

Die DSGVO braucht NICHT angewendet zu werden auf:

  • Verstorbene (Erwägungsgrund 27),
  • den familiären Bereich (Erwägungsgrund 18) und
  • juristische Personen (Erwägungsgrund 14).

Personenbezogene Daten (pD) auf Papier:

  • Papierdaten werden an sich vom Gesetz erfasst, sofern sie systematisiert (= geordnet) sind; aus pragmatischen Gründen priorisieren wir sie vorerst deutlich niedriger als digitale Daten.

Standard-Schutzmechanismen

Sicherung von Dateien:

  • Mithilfe der LRZ-Kennung, die sowohl ein sicheres Passwort als auch einen jährlichen Passwortwechsel garantiert, haben wir einen effektiven Zugriffsschutz für alle Dateien auf Server-Laufwerken.
  • Personenbezogene Daten sind prinzipiell nicht auf der lokalen Festplatte (C:) zu halten, da mit der DSGVO auch eine Sicherungspflicht verbunden ist und dort keine automatische Sicherung durch das LRZ erfolgt.
  • Personenbezogene Daten sollten grundsätzlich auf einem Server-Laufwerk des LRZ liegen, das vom LRZ mehrmals täglich automatisch gesichert wird (H, I, Z) und daher jederzeit wieder hergestellt werden kann.
  • Daten, die auf H, I, Z gespeichert sind und gelöscht werden, verschwinden nach festgelegten Regeln aus den Sicherungskopien.
  • TSM kann als zusätzliche Sicherung / Backup benutzt werden.
  • Werden mit TSM Archive statt Backups zur Sicherung angelegt, sind die Projektmitarbeiter für die Löschung selbst verantwortlich. Ein automatisches, auf den Sicherungszyklen basierendes Löschverfahren gibt es bei Archiven nicht.

E-Mail-Korrespondenzen:

Outlook und andere Mail-Clients, die den LRZ-Exchange nutzen:

  • die Daten (= E-Mails) liegen auf den Servern des LRZ
  • sind durch die LRZ-Kennung zugriffsgeschützt
  • werden mehrmals am Tag gesichert

Die E-Mail-Korrespondenzen verstehen wir eher als unproblematische Verarbeitungen, auch wenn die Mails nicht verschlüsselt sind.

  • Aus Outlook in eine .pst-Datei exportierte Korrespondenzen sollten auf Server-Laufwerken abgelegt werden (zwecks Sicherung) und nicht mit einem Passwort-Schutz versehen sein.

Personaldaten

aus Bewerbungen etc.

  • dürfen aus rechtlicher Sicht nur und ausschließlich vom Personalreferat (der BADW oder der Arbeitgeber-Institution) gespeichert werden,
  • sollten in den Projekten unbedingt gelöscht werden, nachdem sie ans Personalreferat übergeben worden sind.
  • Für die Kommunikation mit den Projektmitarbeitern inkl. Hilfskräften kann eine Datei angelegt werden, die jedoch nur die Daten enthalten darf, die für die Kommunikation notwendig sind:
    • Vorname + Name
    • Dienstadresse
    • Dienst-Telefon
    • Dienst-E-Mail
  • Sollte ein Mitarbeiter dies nicht wünschen, kann ihm so weit entsprochen werden, wie es die interne Projekt-Kommunikation nicht unangemessen beeinträchtigt.

Webseiten

Personenfotos

  • von lebenden Personen: schriftliche Einwilligung notwendig!
    ⇒ Pragmatisches Vorgehen: Ausdrucken und unterschreiben lassen.
  • bei Verstorbenen: keine Einwilligung (der Erben) notwendig
  • bei Bildern von Versammlungen, Aufzügen, Umzügen etc. darauf achten, dass nicht auf Einzelpersonen fokussiert wird (vgl. §23 KUG), ansonsten gilt vorgenanntes.

Impressum + Datenschutz

Sämtliche Websites der BADW und ihrer Projekte sollten auf jeder Seite einen Link auf das Impressum und die Datenschutzerklärung der BADW.de enthalten.

Bei denjenigen, die von BAdW-IT in Typo3 erstellt wurden, ist dies bereits so.

E-Mail-Anfragen / Wortauskünfte

Zum Dienstauftrag von Projekten gehört womöglich auch, dass Anfragen nach Wörtern, Begriffen und sonstigen im Umfeld relevanten Sachverhalten, die von außerhalb kommen, beantwortet werden.

Diese Anfragen mit den von der Redaktion erstellten Antworten werden aufgehoben – vor allem dann, wenn es sich a) um bereits mehrfach gestellte Anfragen handelt und b) um Anfragen, deren Ergebnisse später bei der Lexikonarbeit relevant sind (also selbst zu Forschungsprimärdaten werden).

⇒ unproblematisch, da freiwillige Anfrage und Teil der wissenschaftlichen Forschungsarbeit

Lehrtätigkeit

Im Rahmen einer Lehrtätigkeit, die mit zum Dienstauftrag gehört, fallen Korrespondenzen an (Briefe + E-Mails) mit Studenten + Uni-Verwaltung.

⇒ vorerst unproblematisch, da Papier und E-Mails erstmal nachrangig behandelt werden; trotzdem bitte Vorsicht walten lassen!

Adressverzeichnis Fachkollegen

Adressverzeichnisse (Word + Karteikarten) zu Fachkollegen, mit denen ein kollegialer Austausch gepflegt wird, und zu Vereinen und Verbänden, gehören mit zur wissenschaftlichen Grundlagenarbeit
⇒ unproblematisch, da rein kollegiale Kontakte idR auf gegenseitigem Einverständnis beruhen.

Sollte das Fachverzeichnis allerdings auf der Website veröffentlicht werden, so ist auf jeden Fall eine (nachweisbare) Erlaubnis der Betroffenen dafür notwendig!