Your master studies (German language) or your international study preparation program for a Bachelor program in German language at TU Hamburg: Applications are open until January 15.

Datenschutz an der TUHH

Datenschutz und TU Hamburg, was muss man wissen? Auf dieser Seite finden Sie Themen rund um den Datenschutz an der TU Hamburg.

Unter dem ersten Punkt werden Ihnen die Grundlagen des Datenschutzes und deren Bedeutung für die TU Hamburg vermittelt.

Im zweiten Teil werden hochschultypische Themen behandelt. Anhand der Übersicht können Sie gezielt auswählen, welche Themen von Interesse für Sie sind. Zusätzlich sind nützliche Vorlagen und Muster verlinkt.  

Haben Sie ein datenschutzrechtliches Anliegen? Beantworten Sie vor Kontaktaufnahme folgende Fragen:

  • WAS? Um welche Daten (Personen) handelt es sich?
  • WER? Haben Sie die Daten selbst erhoben oder von einer anderen Stelle erhalten?
  • WARUM? Liegt gegebenenfalls eine Projektbeschreibung vor?
  • WOHIN? Leiten Sie die Daten weiter?
  • WIE LANGE? Bis wann werden die Daten benötigt?

Die aufbereitete Mail geht an: datenschutz@tuhh.de
 

Network switch and cables
Network switch and cables
Photo by Thomas Jensen on Unsplash

1. Grundlagen des Datenschutzes

Was ist Datenschutz?

Datenschutz umfasst den Schutz einer Person vor der missbräuchlichen Verarbeitung ihrer persönlichen Informationen. Jede Person entscheidet selbst, ob und welche Daten verarbeitet werden. Einschränkungen jeglicher Art in diese Entscheidung, bedürfen einer Rechtsgrundlage. Das heißt: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn, eine Rechtsgrundlage gestattet die Verarbeitung. Juristisch wird dieser Mechanismus: Verbot mit Erlaubnisvorbehalt genannt.

Die Datenschutzgrundverordnung (DSGVO) gilt seit Mai 2018 auch in Deutschland verbindlich und ist von allen Personen und Einrichtungen, die personenbezogene Daten verarbeiten, bindend. Daher hat auch die TU Hamburg diese Bestimmungen zu beachten. Das Hamburgische Datenschutzgesetz (HmbDSG) als auch das Hamburgische Hochschulgesetz (HmbHG) mit den hochschuleigenen Satzungen und Ordnungen ergänzen und konkretisieren die DSGVO.

Wichtig: Zu Beginn eines jeden Projektes oder bei dem Start eines neuen Vorhabens, zum Beispiel die Einführung einer neuen Software, ist die Datenschutzkoordination der Hochschule zu kontaktieren: datenschutz@tuhh.de

Wann verarbeite ich personenbezogene Daten?

Die DSGVO kommt ins Spiel, wenn in einem Arbeitsschritt oder Projekt personenbezogene Daten verarbeitet werden. Dann müssen auch datenschutzrechtliche Maßnahmen ergriffen werden. 

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder (mit Zusatzwissen) bestimmbaren natürlichen Person Das können schon folgende Angaben sein wie Name, Adresse, Geburtsdatum, Staatsangehörigkeit, Beruf, Titel, Konfession, Personalnummer, Matrikelnummer, Familienstand, Telefonnummer, Mailadresse, Beurteilungen, Zeugnisnoten und Bilder sowie biometrische Daten der Person.
Bestimmte personenbezogene Daten genießen besonderen Schutz. Das können folgende Angaben sein: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten wie die Krankmeldung und eine Behinderung. Diese Daten dürfen entweder gar nicht verarbeitet werden oder es werden besondere Auflagen für die Verarbeitung gemacht.

Verarbeitung

Die Verarbeitung personenbezogener Daten ist jeder Vorgang oder jede Vorgangsreihe mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO) und zwar über den gesamten „Lebenszyklus“ von Daten, z.B. die Erhebung, Speicherung, Nutzung, Weitergabe, Übermitteln, Anonymisierung, Löschung. Im Zweifel liegt eine Datenverarbeitung vor und der Datenschutz ist zu beachten.

Wer ist verantwortlich?

Die DSGVO definiert denjenigen als Verantwortlichen, der über die Zwecke und Mittel einer Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Dies ist zunächst die TU Hamburg, als Körperschaft des öffentlich Rechts, die durch ihren Präsidenten nach außen rechtlich vertreten wird. Aufgabe des Verantwortlichen (hier: die TU Hamburg) ist dafür sorgen, dass die DSGVO umgesetzt und eingehalten wird.

Folgende Konstellationen sind zu beachten:

  • Für alle administrativen Verarbeitungen (in Verwaltung, Dekanate, Instituten und anderen Einrichtungen) ist die TU Hamburg verantwortlich. Innerhalb der TU Hamburg liegt die Beachtung des Datenschutzes bei den Fachverantwortlichen. Wobei es auch möglich ist, dass die Verantwortung geteilt wird. Beispiel: So liegt die Verantwortung für den datenschutzgerechten Betrieb von TUNE (Campus-Management-System) bei SLS und die datenschutzkonforme Umsetzung des IT-Betriebs bei dem Rechenzentrum.
  • Mitarbeitende können persönlich zur Verantwortung gezogen werden, wenn Sie personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeiten oder durch unrichtige Angaben erschleichen und hierbei gegen Entgelt oder in der Absicht handeln, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 26 HmbDSG, Straftat). Nach § 27 HmbDSG kann zudem ein Bußgeld gegen die Person verhängt werden, wenn diese personenbezogene Daten für andere Zwecke verarbeitet, als für die sie übermittelt wurden (Ordnungswidrigkeit).
  • Für die Forschung gilt, dass auch hier die datenschutzrechtlichen Bestimmungen beachtet und umgesetzt werden müssen. Die datenschutzrechtliche Verantwortlichkeit muss für jedes Vorhaben gesondert geprüft werden.
  • Bei studentischen Prüfungs- und Studienleistungen liegt die Verantwortung für den Datenschutz grundsätzlich beim Studierenden.
  • Die Studierendenschaft ist eine rechtsfähige Gliedskörperschaft der Hochschule. Sie nimmt ihre Angelegenheiten selbst wahr und ist für die Einhaltung der Rechten und Pflichten derDSGVO selbst verantwortlich.

Ein Irrglaube der an den Hochschulen weit verbreitet ist: Öffentliche Stellen (und damit auch die Hochschulen) sind durch das Hamburgische Datenschutzgesetz von der Bußgeldandrohung der DSGVO zwar ausgenommen (§ 24 Abs. 3 HmbDSG), allerdings gibt es über das Bußgeld hinaus weitere Reaktionsmöglichkeiten, die der Aufsichtsbehörde gegenüber einer Hochschule zur Verfügung stehen und sogar kumulativ Anwendung finden können. Art. 58 Abs. 2 DSGVO nennt zehn Abhilfebefugnisse, unter anderem Warnungen, Verwarnungen, Anweisungen, Beschränkungen, Anordnungen bis hin zum Widerruf von Zertifizierungen. Die Abhilfebefugnisse variieren nach Schwere und Dauer des Verstoßes. Somit kann auch eine Hochschule vor enormen Problemen stehen.

Nimmt die TU Hamburg aber am Wettbewerb teil, kann eine Geldbuße vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhängt werden. Dieser Umstand ist im Einzelfall zu begutachten. 

Des Weiteren kann gegen die TU Hamburg ein Schadenersatzanspruch (Art. 82 DSGVO) geltend gemacht werden, sofern jemandem ein finanzieller Schaden durch die Datenschutzverletzung der Hochschule entsteht. Im Rahmen des Arbeits- und Dienstrechts kann die Hochschule intern die verfahrens-/ fachverantwortliche Person in Regress nehmen.

Angesehen davon kann die TU Hamburg auch durch einen sorglosen Umgang mit personenbezogenen Daten zu massiven Reputationsschäden herangezogen werden.

Welche Rollen gibt es an der TU Hamburg für den Datenschutz?

Die Verantwortlichkeiten an der TU Hamburg:

  1. Hochschulleitung/Präsidium: Die Hochschulleitung trägt die Gesamtverantwortung für die Einhaltung des Datenschutzes. Sie trägt durch ihre Entscheidungen dem Organisationsziel Rechnung und stellt im Rahmen der bereitgestellten Haushaltsmittel die erforderlichen finanziellen, personellen und zeitlichen Ressourcen für die Umsetzung des Datenschutzes zur Verfügung. Die Hochschulleitung trägt dafür Sorge, dass Mitglieder und Angehörige der TU Hamburg durch Informationsangebote oder Schulungen für den Datenschutz und die Sicherheit personenbezogener Daten sensibilisiert werden.
  2. Datenschutzkoordination: Um den Datenschutz an der TU Hamburg flächendeckend umzusetzen, gibt es eine Datenschutzkoordination. Im Auftrag der Hochschulleitung stimmt die Datenschutzkoordination die Maßnahmen, die zur Einhaltung des Datenschutzes und der darüberhinausgehenden gesetzlichen Regelungen, ab. Die Datenschutzkoordination ist daher mit der Entscheidungs- und Vollzugskompetenz in datenschutzrechtlichen Belangen ausgestattet. Anfragen an die Datenschutzkoordination richten sie bitte unter: datenschutz@tuhh.de
  3. MMKH: Das MMKH unterstützt die TU Hamburg bei der Einhaltung der gesetzlichen Vorgaben zum Datenschutz. Das bedeutet, die Beschäftigten der TU Hamburg werden durch das MMKH durch datenschutzrechtliche Schulungen sensibilisiert und erhalten bei datenschutzrechtlichen Einzelanfragen Unterstützung. Bei der Erstellung des Datenschutzkonzeptes hat das MMKH mitgewirkt.
  4. Behördliche Datenschutzbeauftragte: Die TU Hamburg hat einen externen behördlichen Datenschutzbeauftragten benannt, die datenschutz nord GmbH (dsn). dsn wird insbesondere bei übergreifenden Datenschutzthemen, einer Datenpanne (Datenschutzverletzung) sowie dem Beschäftigtendatenschutz herangezogen.
  5. Fachverantwortliche/Führungskräfte: Jede Führungskraft trägt, ausgehend von der fachlichen Verantwortung, die Verantwortung für den Datenschutz in ihrem Aufgabenbereich. Führungskräfte übernehmen eine Vorbildfunktion und sind im Hinblick auf den Datenschutz dafür verantwortlich, Maßnahmen in ihrem Bereich umzusetzen, aufrecht zu erhalten und bei Bedarf an neue rechtliche, technische und organisatorische Gegebenheiten anzupassen. Durch Informationen und Schulungen des MMKH können Führungskräfte zur datenschutzrechtlichen Sensibilisierung der Beschäftigten beitragen.
  6. Datenschutzmultiplikator*innen: Eine zentrale Rolle im Datenschutzkonzept der TU Hamburg nehmen die Datenschutzmultiplikator*innen ein. Diese haben die Aufgabe in ihren Bereichen die erste Anlaufstelle zur Datenschutzkoordination zu sein. Sie kanalisieren die datenschutzrechtlichen Anliegen und bereiten diese auf. Der Einsatz Datenschutzmultiplikatoren für den Bereich Datenschutz ist notwendig, um die Vielzahl an Verfahren möglichst flächendeckend zu erfassen und eine Sensibilisierung in den jeweiligen Bereichen zu erreichen. Zum Aufbau und Erhalt eines datenschutzrechtlichen  Know-How werden die Datenschutzmultiplikator*innen regelmäßig geschult und es finden regelmäßige Treffen zum Erfahrungsaustausch mit der Datenschutzkoordination/MMKH statt.
  7. Beschäftigte an der TU Hamburg: Die Beschäftigten nehmen die angebotenen Informations- und Schulungsangebote wahr und verarbeiten personenbezogenen Daten nur im Rahmen der ihnen übertragenen Aufgaben. Sie achten darauf, dass nur Berechtigte auf die von ihnen verwalteten personenbezogenen Daten Zugriff haben. Sie haben Regelverletzungen oder Sicherheitslücken unverzüglich dem Vorgesetzten, dem behördlichen Datenschutzbeauftragten oder der Datenschutzkoordination mitzuteilen.
Wie kann der Datenschutz im Arbeitsalltag an der TU Hamburg berücksichtigen werden?

Alle Beschäftigten haben im Rahmen ihres Beschäftigtenverhältnisses den Datenschutz im Arbeitsalltag zu berücksichtigen. Hier ein paar einfache Regeln, die helfen, ein Mindestmaß an Datenschutz im Arbeitsalltag zu gewährleisten:

  • Beim Verlassen des Büros den PC sperren und die Tür verschließen (Sperren geht auf Windows Rechnern  am schnellsten mit der Tastenkombination „Windows-Taste“ + „L“)
  • Schlüssel zum Büro, Schreibtisch usw. sicher verwahren
  • Schlüssel nicht mit Aufschriften oder Anhängern kennzeichnen, aus denen hervorgeht, zu welchem Schloss diese passen (farbliche Markierungen helfen, mehrere Schlüssel schnell richtig zuzuordnen, die im Verlustfall für Dritte jedoch keinen Informationswert besitzen.)
  • Unterlagen mit personenbezogenem Inhalt bei Abwesenheit unter Verschluss halten (Schrank statt auf demSchreibtisch)
  • Besucher sollten keine „fremden“ personenbezogenen Daten zur Kenntnis nehmen können, darauf ist zu achten.
  • keine Papier-Fehlkopien mit personenbezogenem Inhalt in den Papierkorb neben den Kopierer entsorgen
  • Follow Me Printing wird empfohlen
  • Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt sammeln und alsbald vernichten (Schredder bzw. Aktenvernichtung – dabei sind die Aufbewahrungsfristen zu beachten)
  • keinem Unbefugten Zugriff auf Ihren Arbeitsplatz-PC und Fachanwendungen gewähren
  • darauf achten, dass der Bildschirm so ausgerichtet ist, dass ein Unbefugter/Besucher die Daten auf dem Bildschirm nicht lesen kann
  • Anmeldenamen und Passwort nicht weiter geben
  • passwortgeschützte Bildschirmschoner einsetzen
  • Passwörter sorgfältig auswählen, geheim halten und nicht aufschreiben
  • nur die personenbezogenen Daten verarbeiten, die für die jeweilige Aufgaben benötigen werden
  • regelmäßig prüfen, welche Daten nicht mehr benötigen werden und diese dann löschen
  • möglichst keine personenbezogenen Daten auf der lokalen Festplatte des PCs speichern
  • personenbezogene Daten nur dann auf Datenträger (CD-ROMs, USB-Sticks etc.) kopieren, wenn dies unumgänglich ist
  • Datenträger (CD-ROMs, USB-Sticks usw.) verschlossen aufbewahren
  • „alte“ oder defekte Datenträger (Disketten, CD-ROMs, USB-Sticks usw.) nicht einfach wegwerfen, sondern diese ordnungsgemäß entsorgen
  • die Standardsoftware nicht dazu benutzen, Eigenentwicklungen ohne Genehmigung zu programmieren
  • keine private Software oder private Datenträger mitbringen
  • keine unbekannten zusätzlichen Rechner (mobile oder stationäre) an das Netzwerk anschließen
  • personenbezogene Daten niemals unverschlüsselt per E-Mail versenden
  • nicht mehr benötigte Emails löschen (auch aus dem „Papierkorb“ des E-Mail-Programmes)
Welche Maßnahmen muss ich treffen, wenn personenbezogene Daten verarbeitet werden?

Folgende Aspekte muss bei jeder Verarbeitung von personenbezogenen Daten berücksichtigt werden:

  • Die Verarbeitung benötigt eine Rechtsgrundlage.
  • Es müssen die weiteren Grundsätze für die Verarbeitung von personenbezogenen Daten erfüllt werden.

Neben der Rechtmäßigkeit gehören zu den Grundsätzen für die Verarbeitung von personenbezogenen Daten noch die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht.

Wie dieses Paket aus Grundsätzen im Rahmen einer Verwaltungstätigkeit, eines Forschungsprojektes oder eines anderen Anlasses an der TU Hamburg berücksichtigt werden kann, zeigen die folgenden Punkte.

(1) Informationspflichten

Zum Zeitpunkt der Verarbeitung von Daten sind betroffene Personen entsprechend des Art. 12 ff. der DSGVO zu informieren. Die Datenschutzerklärung einer Webseite hat zum Beispiel in erster Linie das Ziel, dieser Informationspflicht nachzukommen.

Tipp: Worüber informiert werden muss und wie dieser Verpflichtung bestmöglich nachgekommen werden kann, finden sie hier: https://hh-datenschutz.de/infothek

(2) Rechtsgrundlage

Eine zulässige Verarbeitung kann durch eine Einwilligung oder eine gesetzliche Rechtsgrundlage vorliegen.

Einwilligung

Die Verarbeitung kann auch durch eine freiwillige Einwilligung von Betroffenen möglich werden (bspw. zur Aufzeichnung von Videokonferenzen, Newsletter oder bei Forschungsvorhaben). Die Einwilligung ist an konkrete Vorgaben aus der DSGVO gestützt.

Tipp: Eine Mustereinwilligungserklärung existiert nicht. Da ein Muster kaum für alle Fälle eindeutig verfasst werden kann. Unter dem folgenden Link ist eine kurze Anleitung zu finden, damit eine Einwilligungserklärung datenschutzfreundlich gelingen kann: https://hh-datenschutz.de/infothek

Gesetzliche Rechtsgrundlage

Ein großer Teil der Verarbeitung personenbezogener Daten an der TU Hamburg erfolgt allerdings nicht aufgrund einer erteilten Einwilligung, vielmehr ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 Buchstabe e DSGVO). Die öffentliche Aufgabe wird hier durch §§ 3, 4 HmbHG definiert. Weitere Regelwerke wie dem Hamburgischen Datenschutzgesetz (HmbDSG), den Satzungen der TU Hamburg, oder Regelungen aus dem Landesbeamtengesetz, Tarifverträgen oder Dienstvereinbarungen und/oder Dienstanweisungen können hier gesetzliche Rechtsgrundlagen darstellen.

Tipp: Fragen zur Rechtsgrundlage können Sie an datenschutz@tuhh.de richten.

(3) Verzeichnis von Verarbeitungstätigkeiten - VVT

Die DSGVO verpflichtet den Verantwortlichen dazu, eine Dokumentation und Verfahrensübersicht über die Verarbeitung von personenbezogenen Daten, die an der TU Hamburg erfolgen, zu führen. In diesem „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) müssen alle wesentlichen Angaben über die Datenverarbeitung aufgeführt werden. Beispiele für dokumentationswürdige Verarbeitungstätigkeiten sind

  • Verwaltung von Studierendendaten
  • Immatrikulationsprozess
  • Prüfungsverwaltung
  • Forschungsdatenerhebung
  • Verwaltung von Daten der Ausleihenden für Geräte im Fachbereich
  • Verwaltung der Nutzerkonten der Hochschulbibliothek
  • Verabschiedung von Absolvent*innen
  • Teilnehmende an einem Kurs (insbesondere Teilnehmerverwaltung, Zusendung von Teilnamebescheinigungen, Auswertung der Teilnahme etc.)
  • Teilnehmende an einer Exkursion
  • Personalaktenführung

(4) Frühes Einbinden des/der Datenschutzkoordinator*in oder eines Multiplikators

Die Datenschutzkoordination der TU Hamburg ist frühzeitig, d.h. bereits bei der Planung eines Einsatzes einer neuer Verarbeitungstätigkeit miteinzubeziehen. Dadurch können datenschutzrechtliche Aspekte von Anfang an berücksichtigt werden, wie z.B.

  • bei der Verarbeitung "besonderer Kategorien" personenbezogener Daten lt. Art. 9 DSGVO (dies sind z.B. Gesundheitsdaten, Daten über politische Meinungen, ethnische Herkunft, biometrische Daten, ...)
  • bei dem Umgang mit großen Mengen an personenbezogenen Daten oder
  • wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen könnte.

Daher Mail an: datenschutz@tuhh.de

Was ist bei einer Datenpanne zu beachten?

Sollte es zu einer Datenschutzpanne (Datenschutzverletzung) kommen, ist die TU Hamburg dazu verpflichtet, diese Panne der Datenschutzbehörde binnen 72 Stunden zu melden. Es kommt auch in Betracht, dass der Vorfall der betroffenen Person mitgeteilt werden muss, Art. 33, 34 DSGVO.

Beispiele für eine Datenschutzverletzung:

  • ein verlorengegangener USB-Stick, unverschlüsselt, sofern personenbezogene Daten enthalten sind
  • versendete E-Mail mit falschem Anhang
  • liegengelassener Dienstrechner (am Bahnhof/Flughafen/im Bus o.ä.)
  • der Versand von E-Mails an einen größeren Empfängerkreis ohne Verwendung der BCC-Funktion
  • Entsorgung von vertraulichen Unterlagen/Dokumenten im Papiermüll

Eine Datenpanne ist über diese E-Mail: datenpanne@tuhh.de mitzuteilen.

Um umgehend die Melde- und Benachrichtigungspflichten einzuhalten werden folgende Angaben benötigt:

  • eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen  Personen und Datensätze,
  • Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Die Situation wird bewertet und Sie erhalten in jeden Fall eine Rückmeldung.
Vielen Dank für Ihren Beitrag.

Weiterführende Informationen, Fragen und Schulungsmöglichkeiten?

Die TU Hamburg arbeitet eng mit dem MMKH zusammen. Das MMKH bietet Informationen rund um das Thema „Datenschutz in der Hochschule“ und unterstützt die TU Hamburg und weitere Hamburger Hochschulen bei allen Fragen rund um das Thema Datenschutz.

Schulungen!

Der Besuch einer Grundlagenschulung im Datenschutz wird allen (neuen) Mitarbeitenden empfohlen. Neben den Grundlagen-Schulungen im Datenschutz bietet das MMKH weitere Schulungen im Hochschulkontext an. Informationen hier: https://www.mmkh.de/schulungen/datenschutz.html

Das Schulungs-Angebot ist kostenfrei.

Fragen zum Beschäftigtendatenschutz?

Wenden Sie sich bitte an: office@datenschtz-nord.de

Tipp: Vertiefende Hinweise und Informationen zum Thema Datenschutz an den Hamburger Hochschulen sind unter: www.hh-datenschutz.de zu finden.

2. Hochschultypische Themen

Gibt es Muster und Vorlagen zum Datenschutz?

Werden Einwilligungserklärungen oder Datenschutzerklärungen für Ihr Projekt oder Ihre Webseite benötig, finden Sie hier weitere Informationen: www.hh-datenschutz.de

Bitte vor dem finalen Einsatz von Muster und Vorlagen zum Datenschutz diese durch datenschutz@tuhh.de freigeben lassen.

Was muss man bei E-Mails beachten?
  • Die „BCC“ Funktion nutzen! Soweit datenschutzrechtlich geboten, ist die Anonymität der Empfänger*innen durch den Gebrauch der „BCC“-Funktion untereinander zu wahren. Warum? Bei der Angabe vieler Empfangsadressen in einer E-Mail im “An”- oder “CC”-Feld werden zum einen jede einzelnen E-Mail Adresse (name.vorname) allen Empfänger*innen angezeigt. Zum anderen werten einige E-Mailprovider E-Mails mit einer langen Empfängerliste zudem als SPAM und markieren die E-Mail dementsprechend. Daher ist stets darauf zu achten, dass, bei E-Mails, bei denen für die Empfänger nicht von Belang ist, wer diese E-Mail noch erhalten hat, das “BCC”- oder “Blindkopie”-Feld zu verwenden. Die E-Mail lässt sich dann auf Empfangsseite auch häufig kompakter darstellen. Bei einer Vielzahl externer Empfängerinnen und Empfängern ist stets die “BCC”-Funktion zu verwenden
  • Keine Mails an private Mails weiterleiten! Keine automatisierte Weiterleitung von dienstlichen Mails an private Mailaccounts. Warum? Im dienstlichen Kontext gefährdet die Verarbeitung dienstlicher E-Mails in privaten Mailboxen eindeutig die Vertraulichkeit des E-Mailinhaltes. Außerdem besteht die Gefahr, dass Dienstgeheimnisse über einen solchen Kanal abfließen
  • Vorsicht bei: "Antwort an alle"
  • Betreff möglichst neutral halten und keine Angaben zu Personen
Was ist bei Links bzw. Hyperlinks zu beachten?

Teilweise werden an die Mitglieder der TU Hamburg E-Mails mit externen Links verschickt. Hierbei handelt es sich beispielsweise um eine externe Stellenausschreibung und/oder um eine Weiterleitung auf eine externe Webseite zu einer Projektvorstellung. Bei diesen Links handelt sich hierbei um sog. Hyperlinks zu Webseiten anderer Anbieter. Bei Aktivierung dieser Hyperlinks werden die Nutzer*innen von einer Webseite der TU Hamburg (oder aus der E-Mail heraus) direkt auf die Webseite der anderen Anbieter weitergeleitet. Die TU Hamburg kann keine Verantwortung für den vertraulichen Umgang den Daten der Betroffenen auf diesen Webseiten Dritter übernehmen, da die TU Hamburg keinen Einfluss darauf hat, dass diese Unternehmen/Einrichtungen die Datenschutzbestimmungen einhalten. Um Risiken der TU Hamburg gering zu halten und um Klarheit über die Verantwortung darzustellen, kennzeichnen Sie bitte alle externen Links deutlich.

Wie sollte krankheitsbedingte Abwesenheit kommuniziert werden?

Sind Beschäftigte krankheitsbedingt abwesend, ist es häufig notwendig, Kolleginnen und Kollegen über die Abwesenheit zu informieren, da Umorganisationen im Team oder die Übernahme von Aufgaben erforderlich sein können.

Krankheitsdaten sind besonders schützenswerte Daten und müssen deshalb auch besonders sensibel behandelt werden. Bei der Kommunikation im Team über den krankheitsbedingten Ausfall ist daher besondere Achtsamkeit gefragt.

Hierbei sollten insbesondere Vorgesetzte oder Sekretariate Folgendes beachten:

  • Abwesenheit sollte intern (am Institut, in der Arbeitsgruppe) nur kommuniziert werden, wenn es dienstlich notwendig ist - was wahrscheinlich in den meisten Fällen der Fall ist. Ob ein Beschäftigter krank, auf Kur oder im Urlaub ist, sollte zumindest nicht von der Leitung kommuniziert werden.
  • Die voraussichtliche Länge der Abwesenheit darf - falls dienstlich notwendig - kommuniziert werden.
  • Wird die Abwesenheit z.B. in gemeinsame Kalender eingetragen, so sollten wegen der Speicherung der Daten die Hinweise für Personalverwaltungssysteme berücksichtigt werden,
  • Werden Abwesenheiten durch Aushang am Büro kommuniziert (um z.B. auch Publikumsverkehr zu informieren), so ist auch hier der Grund der Abwesenheit nicht zu nennen.
  • Was die betroffenen Beschäftigten selbst an die Kolleg*innen kommunizieren, unterliegt der eigenen Verantwortung.

Je nach dem sozialen Gefüge im Team können diese Regelungen übertrieben wirken, gerade wenn das Team untereinander sehr offen auch über Krankheiten spricht. Dennoch kann nie davon ausgegangen werden, dass alle Teammitglieder eine offene Einstellung zum lockeren Umgang mit Krankheitsdaten teilen (z. B. beim Vorliegen einer schweren Erkrankung).

Tipp: Die Kommunikation bei Abwesenheit zwischen Vorgesetzten und Teammitgliedern sollte im Vorfeld geklärt werden. Vorgesetzte sind auf die Einhaltung der Regelungen und auf einen vertraulichen Umgang mit Krankheitsdaten verpflichtet.

 

Was gilt beim Webauftritt des Instituts bzw. für ein Projekt?

Gestaltet Ihr Institut oder Projekt eine eigene Webseite, die an der TU Hamburg gehostet werden soll? Bitte beachten Sie dieses Dokument. Zusätzlich gelten folgende Regeln:

  • Die Webseite sollte ausschließlich verschlüsselt zu erreichen sein. (Für die Typo3- und Wordpress-Websites des RZ ist dies bereits Standard.)
  • hinreichende Datenschutzerklärung sowie Impressum (Für die Typo3- und Wordpress-Websites des RZ wird beides standardmäßig angelegt, muss jedoch noch durch Sie eergänzt werden - s.u.)
  • Auf die externe Einbindung externer Webservices (wie z.B. Bootstrap, jquery, AWS, GoogleWebFonts, GoogleMaps) sollte verzichtet werden.
  • Cookie-Consent-Banner sind Pflicht, wenn Cookies gesetzt werden (Handreichung Cookie-Consent-Banner)
  • Kein Einsatz von Google Analytics
  • Keine Social Media-Plugins/Social Sharing Buttons
  • Sorgfalt bei der Auswahl von externen Webhostern/Webprogrammierern: Auftragsverarbeitung
  • Dokumentation der Verarbeitung im Verarbeitungsverzeichnis

Tipp: Haben Sie vor, weitere Tools in Ihre Webseite einzubinden? Halten Sie Rücksprache über datenschutz@tuhh.de.

 

Was muss ein Impressum enthalten?

Im Zusammenhang mit der DSGVO wird oft gefragt, wie ein korrektes Impressum auszusehen hat. Sofern ihre Webseite an der TU Hamburg gehostet wird, bitte das Impressum unter der Berücksichtigung folgender Punkte einbinden:

Erreichbarkeit des Impressums: Die Platzierung des Impressums ist genauso wichtig wie die inhaltliche Gestaltung. Es ist darauf zu achten, dass der Webseitennutzer das Impressum schnell findet und immer aufrufen kann.

Inhaltliche Gestaltung: Im Sinne des § 5 des TMG (Telemediengesetz) sind für die TU Hamburg folgende Angaben aufzuführen:

Adresse:
Technische Universität Hamburg (TU Hamburg)
Am Schwarzenberg-Campus 1
21073 Hamburg

E-Mail:
pressestelle@tuhh.de

Rechtsform:
Körperschaft des öffentlichen Rechts

Gesetzlicher Vertreter:

der Präsident der TU Hamburg, z. Zt. Prof. Dr. Andreas Timm-Giel

Zuständige Aufsichtsbehörde:

Behörde für Wissenschaft, Forschung, Gleichstellung und Bezirke
der Freien und Hansestadt Hamburg
Hamburger Straße 37
22083 Hamburg

Umsatzsteuer-Identifikationsnummer:
DE 245 980 291

Herausgeber (Verantwortlich für den Inhalt gem. § 18 MStV):
[Vorname, Nachname]
[Dienstanschrift]
[E-Mailadresse]

Tipp: Achtung, die Angabe des Herausgebers/Herausgeberin ist für jedes Institut, Dekanat, Einrichtung individuell anzupassen! Es handelt sich um eine erforderliche Zusatzangabe, die vor allem bei journalistisch geprägten Angeboten notwendig ist. Hier ist die inhaltlich verantwortliche Person zu nennen.

Was gilt beim Betreiben eines Social-Media-Kanals?

Soziale Medien sind auch aus dem Hochschulberiech nicht mehr wegzudenken. Sie dienen den Hochschulen als Informationskanäle und zum gegenseitigen Austausch von Meinungen unter Studierenden, Lehrenden und Mitarbeitern. Falls das jeweilige  Institut, Dekanat o.ä. ein eigenes Profil anlegen möchte, sind folgende Aspekte zu beachten:

Social Plugins/Social Sharing Buttons:

Das direkte Einbinden eines solchen Social Plugins/Social Sharing Buttons ist datenschutzrechtlich problematisch, da schon bei dem Besuch einer Webseite, die diesen Button enthält, personenbezogene Daten des Besuchers (z. B. die IP-Adresse, Browserversion etc.) an die Betreiber von sozialen Netzwerken (in der Regel immer bei Facebook, Google) übermittelt werden.

Die Datenübermittlung erfolgt sogar unabhängig davon, ob der Nutzer auf den „Gefällt-Mir-Button“ geklickt hat oder nicht. Das bedeutet am Ende, dass auch diejenigen Nutzer ihre Daten übermitteln, die selbst gar keinen Account bei Facebook und Co. besitzen. Die TU Hamburg ist als Diensteanbieter datenschutzrechtlich verantwortlich für das Einbinden von Social Plugins auf ihren Internetseiten. Das bedeutet, dass sie die Nutzer vollumfänglich über Art, Zweck und Umfang der Verarbeitung ihrer personenbezogenen Daten zu informieren hat. Diese Pflicht wird die TU Hamburg jedoch kaum erfüllen können, da die Betreiber der sozialen Netzwerke genau darüber weder ausreichende noch vollständig verlässliche Informationen preisgeben.

Bei dieser Sachlage wäre das Einbinden eines Social Plugins nicht datenschutzkonform und somit unzulässig. Aus diesem Grund verzichtet die TU Hamburg generell auf das Einbinden von Social Plugins. Als datenschutzfreundliche Alternative kann – beispielsweise über ein Facebook-Icon – ein externer Link gesetzt werden, der dann auf die entsprechende „Fanseite“ verweist.

Datenschutzerklärung und Impressum:

Die allgemeine Impressumspflicht nach dem TMG gilt auch für öffentliche „Fanseiten“ auf Facebook (o. ä. sozialen Netzwerken). Ein fehlendes oder unvollständiges Impressum kann Konsequenzen nach sich ziehen. Auch eine Datenschutzerklärung muss vorhanden sein.

 

Ist eine Umfrage geplant?

Ob papiergebundene oder webbasierte Umfragen, auch hier muss der Datenschutz beachtet werden.

  • Wenn möglich, konzipieren Sie Ihre Befragung so, dass diese von vornherein (wirklich) anonym ist bzw. die erhobenen Daten unmittelbar wirksam anonymisiert werden.
  • Wenn Sie eine anonyme Befragung beabsichtigen: Achten Sie darauf, dass Sie die Antwortmöglichkeiten für Ihre Fragen nicht so detailliert ausführen, dass eine anonyme Beantwortung dadurch gefährdet wird. Fragen Sie also z.B. nicht nach dem genauen Geburtsdatum, wenn das Geburtsjahr (oder eine Spanne von Geburtsjahren) für Ihren Forschungszweck ausreichen würde. Prüfen Sie kritisch, ob sich bei Betrachtung der Gesamtheit Ihrer Fragen evtl. eine zu kleine Gruppe mit gleichen Antworten ergeben könnte (das sollte nicht passieren).
  • Bei der Nutzung von Web-basierten Umfrage-Tools werden in der Regel bereits beim Aufruf der Fragebogenseite die IP-Adresse der Teilnehmer*innen an den Befragungsdienstleister übermittelt. Nutzt daher die Möglichkeiten, die die TU Hamburg anbietet (https://www.tuhh.de/rzt/services/webserver/limesurvey/datensicherheitserklaerung.html). Sollten dennoch externe Dienstleister verwendet werden, kontaktiert die Datenschutzkoordinator*in
  • Wenn eine anonyme Befragung nicht möglich ist (z.B., weil Längsschnittstudie durchgeführt werden soll oder es einen anderen Grund gibt, aus dem Sie Ihr Forschungsziel nicht mit einer anonymen Befragung erreichen können), greifen die Formalien des Datenschutzes (Informationspflichten, Verarbeitungsverzeichnis, etc.). Wenden Sie sich bitte frühzeitig an die Datenschutzkoordination und informieren Sie sich hier: hh-datenschutz.de/themen/forschung  
  • Spezialfall: Befragungen von Kindern oder Jugendlichen müssen gesondert beachtet werden, da hier eventuell das Hamburgische Schulgesetz sowie die Einwilligung der Sorgeberechtigten beachtet werden muss!

Stand: Oktober 2022