Datenschutz Anleitung für jeden PC-Nutzer Arbeitsmaterial für alle DV-Arbeitsplätze

Transkript

1 Datenschutz Anleitung für jeden PC-Nutzer Arbeitsmaterial für alle DV-Arbeitsplätze C A U Christian-Albrechts-Universität zu Kiel Rektorat

2 Vorwort Inhaltsverzeichnis Vorwort 1. Vorbemerkung 2. Verantwortlichkeit im Hinblick auf die Verwendung personenbezogener Daten für Verwaltung und wissenschaftliche Aufgaben 3. Hinweise zu den besonderen Verhaltensregeln und rechtlichen Anforderungen bei nicht-privater Datenverarbeitung in IT-Systemen der CAU 4. Hinweise zur Aufstellung eines Sicherheitskonzeptes 4.1 Räumlichkeiten 4.2 Personal 4.3 Software 4.4 Arbeitsplatz und Server 4.5 Sonstiges 5. Hinweise und Anmerkungen Was geht uns der Datenschutz an? Die fortschreitende Digitalisierung und Datenverarbeitung hat in den vergangenen Jahren fast alle Bereiche des gesellschaftlichen und privaten Lebens durchdrungen. Um den damit verbundenen Gefahren zu begegnen, haben die Gesetzgeber Regeln für den Datenschutz aufgestellt, die das Recht jedes Einzelnen auf informationelle Selbstbestimmung garantieren sollen. Auch an unserer Universität werden an vielen Stellen personenbezogene Daten gespeichert. Alle diejenigen, die mit solchen Daten umgehen, müssen wissen, welche Datenschutz-Regeln dafür gelten. Eine vom Rektorat der Christian-Albrechts-Universität zu Kiel einberufene»arbeitsgruppe Datenschutz«hat sich mit dem Thema beschäftigt. Ihr gehörten die Professoren Norbert Luttenberger, Alexander Trunk und Thomas Wilke an sowie Dr. Klaus Nielsen vom Rechenzentrum, Claus Frömsdorf und Dieter Graf aus der Universitätsverwaltung. Das Ergebnis des Diskussionsprozesses ist die vorliegende Broschüre, die zur Information für jeden DV-Nutzer gedacht ist. Allen Beteiligten sowie dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gilt mein Dank für die Unterstützung bei der Erarbeitung dieser Broschüre. Dr. Steffen Richter, Kanzler

3 Vorbemerkungen Der Umgang mit personenbezogenen Daten insbesondere auf elektronischen Datenträgern hat mit der fortschreitenden Ausstattung der Arbeitsplätze in Forschung, Lehre und Verwaltung mit Personal-Computern auch innerhalb der CAU in den letzten Jahren naturgemäß stark zugenommen. Um eine möglichst störungsfreie, ungehinderte und sichere Nutzung der Kommunikations- und Datenverarbeitungsstruktur zu gewährleisten, hat der Senat der Christian-Albrechts-Universität (CAU) am 18. Dez eine»benutzungsrahmenordnung (Satzung) für Kommunikations- und Datenverarbeitungsinfrastruktur der Christian-Albrechts-Universität zu Kiel«verabschiedet. Als Ergänzung dazu hat das Rektorat die anliegenden Hinweise zur Gewährleistung des Datenschutzes in den Einrichtungen der CAU erarbeitet. Sie sollen jedem Beschäftigten, insbes. den PC-Nutzern und Bearbeitern personenbezogener Daten und Dateien der Universität als Pflichtlektüre und erste Handlungsanleitung ermöglichen, die vielschichtigen Regeln des Datenschutzes zu verstehen und zu beachten. Diese Empfehlungen ersetzen aber nicht die Kenntnis und Beachtung der dazu ergangenen gesetzlichen Vorschriften, insbesondere das»schleswig-holsteinische Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz - LDSG -)«vom 9. Februar 2000 (Gl.-Nr.: 204-4; Fundstelle: GVOBl. Schl.-H S. 169; die»landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO -)«vom 2. April 2001 (Gl.-Nr.: ; Fundstelle: GVOBl. Schl.-H S. 49; Diese beiden Regelungen sind anwendbar auf die gesamte personenbezogene Datenverarbeitung durch sämtliche Mitarbeiter der CAU in ihrer dienstlichen Funktion. die»studentendaten-verordnung (Stud.-Daten-VO)«vom (NBl.MWFK/MFBWS.Schl.-H S. 414), zuletzt geändert durch VO vom (NBl. MWFK/MFBWS.Schl.-H. 1999, S. 430) Diese Regelung ist anwendbar im Bereich der Studierendenverwaltung das»bundesdatenschutzgesetz - BDSG -«vom (BGBl. I S. 2954), zuletzt geändert durch Gesetz vom 21. August 2002 (BGBl. I S. 3322), Diese Regelung ist anwendbar für Mitglieder der Hochschule, soweit sie als Privatpersonen auf Universitätsrechnern personenbezogene Daten verarbeiten. 2. Verantwortlichkeit im Hinblick auf die Verwendung personenbezogener Daten für Verwaltung und wissenschaftliche Aufgaben (Erfassung Speicherung Verarbeitung) Für die Erfüllung der Aufgaben in Lehre, Forschung und der zugehörigen Verwaltung in den Fakultäten und den zugehörigen Einrichtungen werden in den Anwendungsund Verwaltungsbereichen bei den verschiedensten Sachverhalten regelmäßig auch personenbezogene Daten anfallen, erfasst, gespeichert und verarbeitet werden müssen.

4 4 5 In den Bereichen Dekanate, Instituts- /Seminarleitungen, Abteilungen (wenn vorhanden), Lehrstühle, bei den Professoren, Dozenten, Lehrbeauftragten u. ggf. anderen beauftragten Personen werden persönliche Angaben über Beschäftigte, Studierende, externe Personen mit folgenden Daten anfallen: Stammdaten (z.b.: Name, Geburtsdatum, Matrikel-Nr.,...), biographische oder studiumbezogene Daten, leistungsbezogene Daten, Prüfungsdaten und -dokumente, ereignisbezogene Daten. Durch die Verarbeitung personenbezogener Daten gelten diese Standorte als»verantwortliche Stellen«im Sinne des Datenschutzrechtes. Die einzelnen Standorte haben dabei selbständig besondere Verhaltensregeln und rechtliche Anforderungen zu beachten. Das ist immer zu beachten! Hinweis: Soweit Mitglieder der CAU als Privatpersonen Daten anderer Personen verarbeiten, trifft die CAU keine Verantwortlichkeit. Vielmehr sind die Personen dann selbst»verantwortliche Stellen«im Sinne des Datenschutzrechtes. 3. Hinweise zu den besonderen Verhaltensregeln und rechtlichen Anforderungen bei nicht-privater Datenverarbeitung in IT-Systemen der CAU (Auszüge LDSG /DSVO) Die Verarbeitung personenbezogener Daten berührt die Persönlichkeitsrechte der Betroffenen und ist daher gesetzlich beschränkt. Die Zulässigkeit der Verarbeitung personenbezogener Daten durch die CAU und ihre Untereinheiten bestimmt sich nach dem schleswig-holsteinischen Landesdatenschutzgesetz (LDSG) vom 9. Februar , der Datenschutzverordnung (DSVO) vom 2. April sowie spezielleren Vorschriften 3. Personenbezogene Daten sind Angaben über persönliche oder sachliche Verhältnisse eines Menschen (Betroffene oder Betroffener). Der Begriff ist sehr weit und beschränkt sich insbesondere nicht auf die sog. sensiblen Daten, z.b. Daten über die ethnische Herkunft, politische Meinungen, Gesundheit etc. Diese sensiblen Daten unterliegen nach dem Datenschutzrecht einem erhöhten Schutz. Verarbeitung von Daten ist sowohl die Erhebung als auch das Speichern, Übermitteln, Löschen oder jede sonstige Verwendung von Daten. Datenverarbeitende Stellen sind sowohl die CAU als Ganzes als auch ihre Untereinheiten. Das Speichern von Daten auf Datenträgern ( 2 Abs.2 Nr. 2 LDSG) bezieht sich nicht nur auf elektronische Datenträger. Als sicherungsbedürftige Da- Fußnoten: siehe 3. Umschlagseite

5 6 7 tenträger gelten auch Papier (Akten und Notizen), Videobänder und Filme. Das Datenschutzrecht erlaubt die Verarbeitung personenbezogener Daten durch die CAU nur, wenn die Betroffenen eingewilligt haben oder eine Grundlage für die Datenverarbeitung in einer Rechtsvorschrift (z.b. Gesetz, Hochschulsatzung) vorliegt 4. Die Einwilligung in die Datenverarbeitung muss grundsätzlich schriftlich erklärt werden 5. Bei der Datenverarbeitung ist der Grundsatz der Datenvermeidung und Datensparsamkeit zu beachten 6. Personenbezogene Daten dürfen grundsätzlich nur bei den Betroffenen und mit ihrer Kenntnis erhoben werden 7. Sie dürfen grundsätzlich nur für den Zweck verarbeitet werden, für den sie erhoben worden sind (sog. Zweckbindung) 8. Datenerhebung auf Vorrat und zu noch nicht bestimmten Zwecken ist unzulässig. Unbefugte sind im Rahmen der technischen und organisatorischen Möglichkeiten am Zugriff auf Datenträger, auf denen personenbezogene Daten gespeichert sind, zu hindern. Werden Daten ausschließlich automatisiert verarbeitet, muss die Verarbeitung protokolliert werden 9. Datenübermittlungen an andere Stellen, insbesondere ins Ausland, sind nur unter eingeschränkten Voraussetzungen zulässig 10. Verstöße gegen Verpflichtungen aus dem Landesdatenschutzgesetz sind Ordnungswidrigkeiten (Geldbuße bis zu Euro). Unter Umständen ist auch eine weitergehende strafrechtliche Verantwortlichkeit oder eine zivilrechtliche Haftung möglich. Die gültigen gesetzlichen Detailregelungen sind in jedem Fall den LDSG, der DSVO und der Stud.-Daten-VO zu entnehmen. Betroffene haben gegenüber der datenverarbeitenden Stelle ein Recht auf Auskunft über die zu ihrer Person gespeicherten Daten. Neben dem rechtlichen Datenschutz steht der technische Datenschutz. Z.B. sollen informationstechnische Produkte auch unter dem Gesichtspunkt ausgewählt werden, ob sie datenschutzfreundlich gestaltet sind (wenig Sicherheitslöcher, Datensparsamkeit etc.). Die einzelnen universitären Bereiche, wie Institute, Lehrstühle usw. haben als datenverarbeitenden Stellen in einem Sicherheitskonzept darzustellen, welche technischen und organisatorischen Maßnahmen zum Zweck des Datenschutzes von ihnen getroffen werden. 4. Hinweise zur Aufstellung eines Sicherheitskonzeptes Nach 6 der Datenschutzverordnung (DSVO) haben die datenverarbeitenden Stellen der verschiedenen universitären Bereiche in einem Sicherheitskonzept darzulegen, welche technischen und organisatorischen Maßnahmen getroffen werden, um die Sicherheitsanforderungen der 5 und 6 des Landesdatenschutzgesetzes (LDSG) zu erfüllen. Dabei sind der Stand der Technik und die Schutzbedürftigkeit der Daten angemessen zu berücksichtigen. Im Rahmen der Wahrnehmung der Gesamtverantwortung der CAU für die Datenverarbeitung werden sowohl die Fußnoten: siehe 3. Umschlagseite

6 8 9 Erstellung der Sicherheitskonzepte, wie auch deren Vollständigkeit, Richtigkeit und Beachtung kontinuierlich überprüft. Datenschutzbeauftragter der CAU: Dez. 110, Herr Frömsdorf, Syndikus, App. 3005, Hochhaus Zi. 114, Mail: cfroemsdorf@uv.uni-kiel.de 4.1 Räumlichkeiten Es sind vorbeugende Maßnahmen gegen Diebstahl und Feuergefahr zu treffen. Während der Dienstzeit sind unbesetzte Räume, in denen Datenträger mit personenbezogenen Daten lagern, verschlossen zu halten. Außerhalb der Dienstzeit sind bewegliche Datenträger mit personenbezogenen Daten in Schutzschränken aufzubewahren Das Mitnehmen von Datenträgern und Unterlagen mit personenbezogenen Daten aus dem normalen Bereich heraus bedarf der Genehmigung. Besucher (auch Wartungspersonal) dürfen sich niemals ohne Aufsicht in Räumen aufhalten, in denen sich frei zugängliche Datenträger und Unterlagen befinden. 4.2 Personal Jedem Administrator oder Benutzer eines Rechners ist eine eigene Benutzerkennung und ein eigenes Kennwort zuzuweisen. Mit Ausscheiden eines Benutzers oder Administrators ist unverzüglich dessen Kennwort zu deaktivieren. Personal, das mit personenbezogenen Daten umgeht, ist einzuweisen, zu schulen und fortzubilden. Darüber hinaus sind vor Ort die eindeutigen Verantwortlichkeiten festzulegen. Die Schulung erfolgt im Rahmen der innerbetrieblichen Weiterbildung ggf. auch extern. (siehe: Software Für die Verarbeitung personenbezogener Daten sind grundsätzlich Mehrbenutzer-Betriebssysteme einzusetzen (wie z.b. Windows NT, Windows 2000, unix, aber nicht z. B. Win 95/98). Software darf erst nach erfolgter Freigabe durch den jeweils für das DV-Verfahren Verantwortlichen (Leiter der Einrichtung, Geschäftsführer, Dezernent u.ä.) benutzt werden. Administratoren ist das Ausführen von Anwendungsprogrammen untersagt. Sie haben privilegierte Benutzerkennungen ausschließlich für Systemarbeiten zu nutzen. Administratoren haben dafür zu sorgen, dass Benutzer Anwendersoftware nicht verändern können. Es ist nur die benötigte Software zu installieren. Nicht mehr benötigte Software wird deinstalliert. Es ist stets aktuelle Antivirensoftware einzusetzen. Das Betriebssystem ist durch Einspielen von Korrekturen auf dem neuesten Sicherheitsstand zu halten. Dazu haben die Administratoren sich stets über aktuelle Sicherheitsprobleme und ihre Belange zu informieren. Es sind Bildschirmschoner mit Passwort einzusetzen. Schlüssel für Räume und Schutzschränke sind sicher zu verwahren. Ist es erforderlich, dass Datenträger mit personenbezogenen Daten die normale gesicherte Umgebung verlassen (z. B. bei Außeneinsatz oder Reparatur), so müssen die Daten zuvor durch Verschlüsselung gegen Missbrauch geschützt werden.

7 Arbeitsplatz und Server Grundsätzlich ist die Speicherung personenbezogener Daten nur auf den Festplatten eines zentralen Servers zulässig. Die Platten der zentralen Server werden regelmäßig gesichert. Sicherungsbänder sind an einem feuertechnisch separaten Ort aufzubewahren. Wenn ein Arbeitsplatz nicht vernetzt ist, ist ausnahmsweise eine lokale Datenhaltung zulässig. In diesem Fall sind die relevanten Daten zusätzlich lokal zu sichern und entsprechend aufzubewahren (i. d. R. außerhalb des entsprechenden PC-Raumes). Ausrangierte Datenträger, die personenbezogene Daten enthalten, sind mit einem Spezialprogramm sicher zu löschen. Das einfache Löschen ist nicht ausreichend. Ist eine Internet-Anbindung des Arbeitsplatzes unbedingt erforderlich, so ist das Netz, in dem er sich befindet, durch eine Firewall abzusichern. Die Benutzer sind auf die verbleibenden Sicherheitsprobleme hinzuweisen. Bei personenbezogenen Daten ist zur Sicherung der Revisionsfähigkeit eine Protokollierung erforderlich. Ein vorhandenes Systemaccounting ist zu aktivieren. Die Zweckbindung der Protokollierung ist zu beachten. Kennwörter sind so zu wählen, dass sie nicht leicht zu erraten sind. Trivialpasswörter wie oder aaaaaaa eignen sich ebenso wenig wie Begriffe aus einem Wörterbuch, Eigennamen oder Geburtstage. Kennwörter dürfen weder in schriftlicher noch in sonstiger Form notiert werden. Hinweise zur Passwortwahl unter: themen/bekannt/passwort.htm 4.5 Sonstiges Bei der Übermittlung von personenbezogenen Daten sind Verschlüsselungsverfahren anzuwenden. Bei Beschaffungsmaßnahmen sollte stets der Sicherheitsaspekt berücksichtigt werden. Von den datenverarbeitenden Stellen (bzw. Nutzern) sind die Datenbestände, die Datenträger, die Verfahren und die Verantwortlichkeiten vor Ort schriftlich zu dokumentieren. 5. Hinweise und Anmerkungen Das Rechenzentrum (RZ) der CAU ist Kompetenz- und Dienstleistungszentrum für alle Belange der IT-Nutzung an der CAU. Auch die Universitätsverwaltung steht Ihnen für Auskünfte zur Verfügung. Die Ansprechpartner ersehen Sie auf der 4. Umschlagseite. Hilfreiche Handlungsanleitungen zum LDSG hat das Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein (ULD) in Form von Broschüren herausgegeben:»datenschutzrecht in Schleswig-Holstein mit allen Ausführungsbestimmungen«(2. völlig neu überarbeitete Auflage, Kiel 2002, 142 Seiten),»Datenschutz leicht gemacht Tipps und Hinweise zur Anwendung des neuen Landesdatenschutzgesetzes«(3. Auflage, Mai 2002; 149 Seiten),»PC-Arbeitsplatz So viel Datenschutz muss an jedem Arbeitsplatz sein!«(reihe»backup MAGAZIN FÜR IT- SICHERHEIT,«Ausgabe Nr. 04, 1. Auflage, 2003; 74 Seiten), Sicherheitsmaßnahmen und Restrisiken«(Reihe»backUP MAGAZIN FÜR IT-SICHER- HEIT,«Ausgabe Nr. 05, 1. Auflage, 2003; 321 Seiten),

8 12 Fußnoten (zum Abschnitt 3) Zu beziehen sind diese durch das ULD, Holstenstr, 98, Kiel, Tel. 0431/ , Postfach 7116, Kiel, Fax / Eine detaillierte Handlungsanleitung für»it-sicherheitskonzepte - Planung Erstellung Umsetzung«ist zu finden unter: In Fortsetzung der Arbeitsgruppe konstituierte sich im Oktober 2003 an der CAU der»arbeitskreis Datenschutz«, der sich mit der Entwicklung des Datenschutzes an der CAU befassen wird. Ihm gehören die folgenden Mitglieder an: R. Bröck; Direktor des Rechenzentrums der CAU, C. Frömsdorf; Dezernent 110; Datenschutzbeauftragter der CAU, D. Graf; Dezernent 131 (DV), Prof. Dr. N. Luttenberger; Lehrstuhl für Kommunikationssysteme, Dr. K. Nielsen, Rechenzentrum der CAU (Computer u. Netzsicherheit), Dr. S. Richter; Kanzler (Vorsitz), Prof. Dr. A. Trunk; Lehrstuhl für Bürgerliches Recht und Osteuropäisches Recht. Der Inhalt dieser Broschüre ist auch im Intranet /Web auf der Homepage der CAU im Abschnitt Uni-Angehörige - Infomaterial über die CAU zum Herunterladen unter der Adresse enthalten und wird dort aktualisiert. 1 GVBl S.169, auch zugänglich über die Datenbank Landesrecht auf der Webseite der Schleswig-Holsteinischen Landesregierung, sowie über die Webseite des Unabhängigen Zentrums für Datenschutz des Landes Schleswig-Holstein, 2 GVBl 2001 S. 49, oder über 3 Hier insbesondere die»studentendaten-verordnung (Stud.-Daten-VO)«vom Daneben aber auch z.b. Teledienste-Datenschutzgesetz, Telekommunikationsdienstunternehmen-Datenschutzverordnung, arbeitsrechtliche Bestimmungen. Viele dieser Vorschriften sind über zugänglich. 4 Z.B. 11 Abs.1 Nr.3 LDSG: Erforderlichkeit der Datenverarbeitung zur Erfüllung der Aufgaben der CAU LDSG. 6 vgl. 4 Abs. 1 LDSG 7 13 Abs. 1 LDSG Abs. 2 LDSG. 9 6 Abs. 4 LDSG LDSG. Impressum Herausgeber: Rektorat der Christian-Albrechts-Universität zu Kiel Kiel Redaktion: Dezernat 131 (DV) Fotos: J. Haacks Druck und Herstellung: Christian-Albrechts-Universität zu Kiel, Zentrale Vervielfälltigungsstelle 1. Auflage: 2004 (1.000) Stand: Februar 2004 Für die Ausstattung der PC-/DV-Arbeitsplätze können weitere Exemplare dieser Broschüre im Dezernat 110 angefordert werden.

9 Christian-Albrechts-Universität zu Kiel Ansprechpartner Für Informationen und Fragen zu technischen Aspekten der Computersicherheit wenden Sie sich bitte an: Dr. Klaus Nielsen Rechenzentrum, Zi. 119, App. 3581, Fax: 1523 Mail: In der Universitätsverwaltung stehen Ihnen für Auskünfte zum Datenschutz zur Verfügung: Dez. 110, Claus Frömsdorf Syndikus und Datenschutzbeauftragter der CAU App. 3005, Hochhaus Zi. 114 Mail: Dez. 131, Dieter Graf Dezernent, DV-Dezernat App. 3040, Hochhaus Zi. 416 Mail: