Datenschutz
Hinweise für Rechner und Netze an der HFD
Inhalt
- Rechtsgrundlagen
- Personenbezogene Daten
- Rechtsgrundlagen der Verarbeitung
- Schutzmechanismen
- Löschen von Dateien
- Ausdrucken personenbezogener Daten
- Allgemeine Hinweise
1. Rechtsgrundlagen
Rechtsgrundlagen sind
-
die
Verordnung (EU) 2016/679 des
Europäischen Parlaments und des Rates vom 27. April 2016 zum
Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung
der Richtlinie 95/46/EG (Datenschutz-Grundverordnung DS-GVO),
die seit 25. Mai 2018 in Kraft ist, sowie
-
das
Hessisches Datenschutz- und Informationsfreiheitsgesetz
(HDSIG) in der Fassung vom 03. Mai 2018, das ergänzend
zur DS-GVO für die Verarbeitung personenbezogener Daten durch
die öffentlichen Stellen des Landes, der Gemeinden und Landkreise
gilt.
Das Bundesdatenschutzgesetz (BDSG) gilt im Wesentlichen
für Bundesbehörden.
Seitenanfang
2. Personenbezogene Daten
Gegenstand des Datenschutzes sind personenbezogene Daten.
Personenbezogene Daten sind alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person
(“betroffene Person”) beziehen
(Art. 4 Nr. 1 DS-GVO).
Als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung oder zu einem oder mehreren
besonderen Merkmalen, die Ausdruck der physischen, physiologischen,
genetischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität dieser natürlichen Person sind,
identifiziert werden kann.
Seitenanfang
3. Rechtsgrundlagen der Verarbeitung
Soweit für Verarbeitungsvorgänge personenbezogener Daten
eine Einwilligung der betroffenen Person erforderlich ist, dient Art. 6 Abs. 1 lit. a DS-GVO als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur
Erfüllung eines Vertrages, dessen Vertragspartei die betroffene
Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DS-GVO als Rechtsgrundlage.
Dies gilt auch für Verarbeitungsvorgänge, die zur
Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung
einer rechtlichen Verpflichtung erforderlich ist, der die Hochschule
Fulda unterliegt, dient Art. 6 Abs. 1 lit. c DS-GVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen
Person oder einer anderen natürlichen Person eine Verarbeitung
personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DS-GVO als Rechtsgrundlage.
Ist die Verarbeitung für die Wahrnehmung einer Aufgabe
erforderlich, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, die der Hochschule
Fulda übertragen wurde, so dient Art. 6 Abs. 1 lit. e DS-GVO i.V.m. einer einschlägigen, spezialrechtlichen bundes- oder
landesrechtlichen Norm als Rechtsgrundlage für die Verarbeitung.
Seitenanfang
4. Schutzmechanismen
-
Die Verarbeitung personenbezogener Daten auf öffentlich
zugänglichen Arbeitsplatzrechnern ist untersagt.
-
Arbeitsplatzrechner in Büroräumen sind besonders
zu schützen, wenn auf ihnen personenbezogene Daten verarbeitet
werden.
-
Das Büro muss abgeschlossen werden, wenn es
verlassen wird.
-
Die Anmeldung am Rechner muss über ein
sicheres Passwort geschützt
sein.
-
Das Starten des Arbeitsplatzrechners
(Boot-Vorgang)
muss durch ein Kennwort (“BIOS-Passwort”, siehe
Abschnitte “Funktionen” und “Sicherheit”
in der deutschen Erklärung zum
BIOS oder besser erklärt im Abschnitt
“Configuration” in der englischen Erklärung
zum BIOS) geschützt sein.
Dieser Schutz muss auch dann wirksam sein, wenn ein
Eindringling den Rechner mit einer eigenen
CDROM, DVD, einem Memory Stick oder etwas Ähnlichem
starten will. Falls der Rechner nicht über
einen derartigen Kennwortschutz verfügt, dürfen die
personenbezogenen Daten
nur verschlüsselt auf
der Festplatte gespeichert werden.
-
Der Rechner muss entweder gegen Diebstahl gesichert
sein oder er darf nur mit Wechselplatten betrieben werden, die
nachts in einem einbruchsicheren Schrank aufbewahrt werden.
-
Auf portablen Datenträgern (Festplatten in
Notebooks, Wechselplatten, CDROM, DVD, Memory Stick,
usw. dürfen personenbezogene Daten nur verschlüsselt gespeichert werden.
-
Auf Netzlaufwerken der Hochschule, der
Hessenbox und ähnlichen externen Speichermedien
dürfen sensible personenbezogene Forschungsdaten nach
Art. 9 DS-GVO, der die Verarbeitung
besonderer Kategorien personenbezogener Daten regelt, ebenfalls
nur verschlüsselt gespeichert werden. Für die Verschlüsselung der Daten
ist die jeweilige Person verantwortlich, die die Daten auf
diesen Speichermedien ablegt.
- Falls das Betriebssystem des Rechners den Schutz
personenbezogener Daten unterstützt, müssen die
entsprechenden Schutzmechanismen verwendet werden.
Seitenanfang
5. Löschen von Dateien
Das normale Kommando zum Löschen einer Datei streicht nur den
Namen der Datei aus systeminternen Listen (z. B. dem Dateiverzeichnis),
während der Dateiinhalt nicht zerstört wird. Speicherbereiche
von gelöschten Dateien können unter Umständen (mit einigem
Aufwand und entsprechender Kenntnis) wieder in lesbare Dateien
verwandelt werden. Ein Zerstören der Dateiinhalte ist nur mit
speziellen Betriebssystem-Kommandos (diese Kommandos werden nur von
einigen Betriebssystemen zur Verfügung gestellt) oder speziellen
Programmen möglich.
Falls ein Datenträger, auf dem personenbezogene Daten gespeichert
worden sind, für den allgemeinen Betrieb freigegeben oder ausgesondert werden soll, müssen vorher alle Dateiinhalte zerstört werden.
Seitenanfang
6. Ausdrucken personenbezogener Daten
Personenbezogene Daten dürfen nur ausgedruckt werden, wenn die
Druckausgabe persönlich überwacht wird.
Seitenanfang
7. Allgemeine Hinweise
Jede Person, die mit personenbezogenen Daten arbeitet,
sollte ihre Arbeit besonders verantwortungsvoll durchführen,
da alle Schutzmechanismen nur dann ihren Zweck erfüllen, wenn sie
von den Beteiligten ernst genommen werden.
Zum Schluss noch einige allgemeine Tipps:
-
Lassen Sie keine schriftlichen Unterlagen herumliegen, aus
denen Ihre Passwörter ersichtlich sind.
-
Lassen Sie keine andere Person unter Ihrer Kennung
arbeiten.
-
Holen Sie Ausgabelisten und Datenträger mit
personenbezogenen Daten persönlich ab, anstatt jemanden
zu schicken.
-
Lassen Sie keine portablen Datenträger (CDROM, DVD,
Memory Stick, usw.) mit personenbezogenen Daten
herumliegen, sondern verschließen Sie die Datenträger
in einem einbruchsicheren Schrank bevor Sie das Büro
verlassen.
-
Speichern Sie personenbezogene Daten auf portablen
Datenträgern nur in verschlüsselter Form.
Denken Sie daran, dass Sie persönlich in erster Linie
für den Schutz der Ihnen anvertrauten Daten verantwortlich sind.
Seitenanfang
Verwaltungsvorschriften der Hessischen Ministerien
Inhalt
- Überblick
- Informationssicherheitsleitlinie für die Hessische Landesverwaltung
1. Überblick
Die Verwaltungsvorschriften werden auf der Seite Hessen
Recht - Rechts- und Verwaltungsvorschriften (https://www.rv.hessenrecht.hessen.de)
veröffentlicht und können dort gelesen bzw.
heruntergeladen werden.
Seitenanfang
2. Informationssicherheitsleitlinie
für die Hessische Landesverwaltung
Die Informationssicherheitsleitlinie für die Hessische
Landesverwaltung wurde vom Ministerium des Innern und für
Sport am 22. September 2025 erlassen und im
Staatsanzeiger veröffentlicht. Wählen Sie bitte im Staatsanzeiger auf der linken Seite in der Jahresübersicht den Jahrgang 2025, dann in der Inhaltsübersicht
die Ausgabe 43/2025 und anschließend die Seite 1123 aus, wenn Sie
die Veröffentlichung lesen wollen. Link
Die Regelungen der Informationssicherheitsleitlinie für
die Hessische Landesverwaltung orientieren sich unter anderem
an den Grundschutz-Standards und der Leitlinie für die Informationssicherheit in der
öffentlichen Verwaltung.
Seitenanfang