Datenschutz und IT-Sicherheit im KIT

Stellungnahme, die die Nutzung von Online-Diensten regelt.

Am 16.3.2021 wurde an alle Mitarbeitende das Rundschreiben 06/2021 zur Richtlinie "aufgeräumter Arbeitsplatz" verschickt. Danach müssen z.B. Speichermedien in mobilen IT-Geräten verschlüsselt werden, wenn personenbezogene, vertrauliche oder persönliche Informationen gespeichert sind.

Wer ein Windows-Gerät verschlüsseln möchte, findet weitere Infos unter "Geräte- und Datenträgerschlüsselung"

In den Erklärvideos auf https://www.isb.kit.edu/erklaervideos.php gibt es zu verschiedenen Themen nützliche und wichtige Infos zum richtigen Umgang - ein Blick hinein lohnt!

Ein Einbruch auf einem Rechner, das Auftreten von Schadsoftware, der Klick auf einen "falschen" link, der Verlust eines Gerätes - in jedem Fall liegt eine sogenannte Datenpanne vor, die in den meisten Fällen meldepflichtig ist: https://www.dsb.kit.edu/359.php. Die Meldung erfolgt an KIT-CERT per Mail unter cert∂kit.edu oder telefonisch unter +49721608-45678
In jedem dieser Fälle müssen alle im KIT verwendeten Passwörter und Schlüssel geändert werden. Erfolgt keine Änderung des Passworts wird das KIT-Konto für die weitere Nutzung evtl. gesperrt werden. Das kann z.B. auch dann passieren, wenn erhöhtes SPAM-Aufkommen in einem Postfach festgestellt wird.

Manchmal werden personenbezogene Daten online abgefragt (z.B. zur Planung und Durchführung eines Meetings). Hierfür ist es notwendig und ratsam, eine Datenschutzerklärung bereitzustellen, die die Verarbeitung dieser personenbezogenen Daten offenlegt.

Der Grundsatz der Datenminimierung (Art. 5 I c DS-GVO) muss unbedingt beachtet werden. Danach dürfen nur die Daten verarbeitet werden, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind. Das bedeutet, dass z.B. für ein Anmeldeformular nur die wirklich erforderlichen Daten abgefragt und gespeichert werden dürfen. Bei Bedarf kann zwischen Pflicht- und freiwilligen Angaben unterschieden werden.

Das Datenschutz-Team hilft bei der Erstellung einer passenden Datenschutzerklärung. Hierfür sollte das Dokument "Fragen zum Sachverhalt" (als pdf oder Worddatei) ausgefüllt und dem Datenschutzteam zugesendet werden.

Die Datenschutzerklärung wird eine angepasste Form des DSE-Grundgerüsts sein: DSE-Grundgerüst-Datenschutzerklärung.pdf

Aus dem DSE-Grundgerüst ist ersichtlich, dass die Datenschutzerklärung folgende Informationen enthalten muss:

• Die Identität des Verantwortlichen für die Datenverarbeitung
• Die Zwecke der Datenverarbeitung
• Die Kategorien personenbezogener Daten, die verarbeitet werden
• Die Empfänger oder Kategorien von Empfängern personenbezogener Daten (Angaben zum Zugriffsberechtigten Personenkreis (KIT intern und KITextern))
• Die Dauer der Speicherung personenbezogener Daten
• Die Rechte der betroffenen Personen
• Die Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde einzureichen