DSGVO: Unterschied zwischen den Versionen

Aus TraiNexWiki
Wechseln zu:Navigation, Suche
(1. Halbjahr 2018)
(Letzte funktionale Änderungen)
 
(77 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
==1. Halbjahr 2018==
+
Unsere Pflichtinformationen zum Datenschutz gem. DSGVO finden Sie hier: [https://datenschutz.trainex24.de https://datenschutz.trainex24.de]
Im 1. Halbjahr 2018 ist der Schwerpunkt unserer Aktivitäten die Anpassung des TraiNex-Systems an die Anforderungen der Datenschutz-Grundverordnung (DSGVO). Eine Analyse oder Umsetzung spezieller Kundenanregungen oder Kunden[[wunsch|wünsche]] ist deshalb im 1. Halbjahr 2018 nur beschränkt möglich. Benutzen Sie zur Einreichung von Anregungen/Wünschen  bitte das Formular für den [[Wunsch|Feature-Request]], welches Ihnen mit dem [[Sonderfunktion|Sonderrecht]] 201 im TraiNex zur Verfügung steht. Sowohl Programmier- als auch Analyse-, Beratungs- oder Management-Kapazität sind durch die DSGVO gebunden. Auch bei Fragen zum System bitten wir Sie höflichst, bitte erst das Wiki unter wiki.trainings-online.de zu konsultieren und erst, wenn Sie dort keine Antwort finden, eine Frage als Mail zu formulieren. Wenn Sie eine Frage einreichen, dann beachten Sie bitte: Um unnötige Rückfragen zu vermeiden beschreiben Sie das Problem anhand eines Beispiels bitte so genau wie nötig und möglich, am besten mit einem Screenshot, damit das Problem nachvollzogen werden kann. Codefehler oder logische Fehler werden wir in unserem Ticketsystem unter [http://ticket.it-coll.de] erfassen und dokumentieren und gem. der zugewiesenen Priorität zügig abarbeiten.
+
 
 +
 
 +
[[Datei:Fotolia_206265401_XS.jpg|200px|thumb|right]] Das TraiNex-System wurde Anfang 2018 an die Anforderungen der Datenschutz-Grundverordnung (DSGVO)/General Data Protection Regulation (GDPR) angepasst, damit die Hochschulen/Akademien den Anforderungen der DSGVO entsprechen können.
  
 
==DSGVO==
 
==DSGVO==
 
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Sie ist seit 2 Jahren gültig und verpflichtend anzuwenden ab 25. Mai 2018.  
 
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Sie ist seit 2 Jahren gültig und verpflichtend anzuwenden ab 25. Mai 2018.  
  
Die Verarbeitung personenbezogener Daten durch die Hochschule/Akademie oder deren beauftragten Systemen wie TraiNex muss der DSVGO entsprechen. Eine hochschulseitige Verarbeitung personenbezogener Daten in z.B. nicht revisionssicheren Excel-Listen, auf die via allgemeine Benutzergruppen zugegriffen werden kann bzw. wo im Excel nicht sichtbar ist, wer und wann z.B. eine Noten eingetragen, geändert oder gelöscht wurde, ist gem. DSVGO voraussichtlich nicht gewünscht bzw. erlaubt.
+
Die Verarbeitung personenbezogener Daten durch die Hochschule/Akademie oder deren beauftragte Systeme wie TraiNex muss der DSVGO entsprechen.
 +
 
 +
TraiNex berücksichtigt die DSGVO, z.B. in den Vereinbarungen zur Auftragsdatenverarbeitung, die im April 2018 allen TraiNex-Hochschulen/Akademien zugegangen sind per Papierpost. Die DSGVO wird auch direkt in der Systemarchitektur berücksichtigt: So verwenden wir für TraiNex-Systemserver keine Cloud-Server, sondern '''definierte/dedizierte Server in Deutschland''', wobei der Kunden die [[Server-Variante]] selber wählen kann. Auch werden z.B. Daten der Nutzer in Tabellen aufgrund strenger Relationalität durchweg pseudonymisiert gehalten oder es können Rechte durch den Kunden definiert zugewiesen werden und sowohl die Rechtevergabe als auch teils die individuelle Nutzung des Rechtes werden in der [[Logdatei]] protokolliert. Auch eine Löschung oder Anonymisierung aller Daten eines Nutzers ist einfach möglich, da der Name des Nutzers nur an einer einzigen Stelle gespeichert ist.
  
TraiNex berücksichtigt die DSGVO, z.B. in den Vereinbarungen zur Auftragsdatenverarbeitung, die bis April der Hochschule/Akademie zugehen. Die DSGVO wird auch direkt in der Systemarchitektur berücksichtigt: So verwenden wir für TraiNex keine Cloud-Server sondern definierte/dedizierte Server in Deutschland. Auch werden z.B. Daten der Nutzer in Tabellen aufgrund strenger Relationalität durchweg pseudonymisiert gehalten oder es können Rechte durch den Kunden definiert zugewiesen werden und sowohl die Rechtevergabe als auch teils die individuelle Nutzung des Rechtes werden in der [[Logdatei]] protokolliert.
+
Die DSGVO gibt keine konkreten Ausgestaltungen für die Anwendungssituation "Campus Management System" vor. Funktional wichtig ist aber z.B.:
 +
*Eine Zustimmung zur Verarbeitung der Daten muss widerrufbar sein. Dies ist bei der Funktion [[AGB]] berücksichtigt.
 +
*Recht auf Auskunft über gespeicherte Daten. Dies ist auf dem [[Daten|Datenblatt]] mit dem Export berücksichtigt.
 +
*Recht auf Vergessen. Die Löschung eines Nutzers löscht alle Nutzerdaten inkl. Noten oder Anwesenheiten. Nicht gelöscht werden hochgeladene Dateien. Ebenfalls möglich: Wenn der Name des Nutzers auf Datenblatt bzw. Stammdatenblatt geändert wird, wird der Name im kompletten System ebenfalls geändert. Ein weiterer begründeter Speicherbedarf der datenverarbeitenden Stelle hat aber Vorrang vor einem Löschwunsch.
 +
*Recht auf Export der gespeicherten Daten zum Zweck des Re-Imports. Da es keine technischen Standards zum Austausch von Daten unterschiedlicher Campus-Management-Systeme gibt, ist der Export zum Zweck des Imports derzeit nicht möglich.  
  
Da die Hochschule/Akademie als der Auftraggeber weitgehend selber für z.B. Studierende, Mitarbeiter, Bewerber oder Dozenten festlegt, welche personenbezogenen Daten sie erhebt oder verarbeitet bzw. speichert oder löscht, hat auch die Hochschule/Akademie eine Mitwirkungspflicht. So sollte diese z.B. ein Berechtigungskonzept im Bereich der [[Sonderfunktion]] festlegen, die [[AGB]] aktivieren und die [[Logdatei]] quartalsmässig revisionssicher abspeichern. Im Bereich der [[Zugangssicherheit]] sollten alle erforderlichen Massnahmen aktiviert werden.
 
  
Beachten Sie auch den zugehörigen Workshop "Experte SH/Sicherheitskonzepte" unter http://akademie.trainings-online.de
+
Da die Hochschule/Akademie als der Auftraggeber weitgehend selber für z.B. Studierende, Mitarbeitende, Bewerber oder Lehrkräfte und Alumni festlegt, welche personenbezogenen Daten sie erhebt oder verarbeitet bzw. speichert oder löscht, hat auch die Hochschule/Akademie eine Mitwirkungspflicht. So sollte diese z.B. ein Berechtigungskonzept im Bereich der [[Sonderfunktion]] festlegen, die [[AGB]] aktivieren lassen und ergänzen um DSGVO-Inhalte. Auch die [[Logdatei]] sollte quartalsmäßig revisionssicher abgespeichert werden. Prüfen Sie die Rechtmäßigkeit der [[Alumni]]-Arbeit. Im Bereich der [[Zugangssicherheit]] sollten alle erforderlichen Maßnahmen aktiviert werden.
 +
 
 +
Beachten Sie auch den zugehörigen Workshop "Experte SH/Sicherheitskonzepte" unter https://akademie.trainings-online.de
  
 
Bei Rückfragen wenden Sie sich gerne an datenschutz@trainings-online.de
 
Bei Rückfragen wenden Sie sich gerne an datenschutz@trainings-online.de
 +
 +
==Excel und DSGVO==
 +
Eine hochschulseitige Verarbeitung personenbezogener Daten in Excel-Listen, auf die via allgemeine Benutzergruppen zugegriffen werden kann bzw. wo im Excel nicht sichtbar ist, wer und wann z.B. eine Note eingetragen, geändert oder gelöscht wurde, ist gem. DSVGO voraussichtlich nicht gewünscht bzw. erlaubt (Revisionssicherheit in Excel fehlt). Die DSGVO wünscht zudem eine anonymisierte oder pseudonymisierte bzw. individuell verschlüsselte Speicherung.
 +
 +
(Pseudonymisiert bedeutet, dass bedeutsame "Dinge" durch stellvertretende Zahlen repräsentiert werden, also z.B. Namen durch Nummern. Verschlüsselt bedeutet, dass diese Nummern nur mit einem Schlüsselgeheimnis lesbar sind. Individuell bedeutet, dass das Schlüsselgeheimnis bei jeder Person ein anderes Geheimnis ist. Statt Müller schreibt man also 13 und statt 13 ein &G$%&.)
 +
 +
 +
Folgende Abbildung verdeutlicht, warum die DSGVO hinsichtlich Datenschutz besser erfüllt wird durch eine Datenbank wie TraiNex (blaue Zeile 3) als durch ein hochschulseitiges Excel (gelbe Zeile 2). In Excel könnte gespeichert sein "Studierender Martin Müller hat im Fach BWL eine 1.7 bei Lehrkraft Prof. Test erzielt." Im TraiNex wird unmerklich immer pseudonymisiert gespeichert, also: "Studierender 1255 hat im Fach 355 eine 1.7 bei Lehrkraft 82 erzielt." Zudem wird jede Änderung automatisch revisionssicher für 3 Monate, ebenfalls pseudonymisiert, gespeichert (Spalte H).
 +
 +
[[Datei:excel_vs_trainex.JPG]]
 +
 +
Eine Tabelle mit Passworten oder Bankverbindungen würde in Excel vermutlich als "mit Zugriffsschutz" gespeichert werden. Dies genügt NICHT den Anforderungen an individuelle Verschlüsselung der DSGVO. Im TraiNex wird dies nicht im Klartext gespeichert, sondern für jede Person wird das z.B. Passwort individuell kryptographisch stark verschlüsselt gespeichert (Spalte F). Dies gilt auch für z.B. IBAN/Kontonummern (Spalte G).
 +
 +
==Informationspflicht bei Erhebung von personenbezogenen Daten bei TraiNex-Nutzern==
 +
Da TraiNex nur der Auftragsdatenverarbeiter ist und die Hochschule selber festlegt, welche Daten wie verarbeitet werden auf welcher Rechtsgrundlage, muss die Hochschule die TraiNex-Nutzer darüber selber über z.B. den Zweck der Verarbeitung der personenbezogenen Daten informieren. Anfragen von TraiNex-Nutzern an [[TrOn]] leiten wir an den jeweiligen Kunden weiter. Der Kunde sollte zur Belehrung die Funktion der [[AGB]] nutzen. Mehr zur Informationspflicht bei der Erhebung von personenbezogenen Daten hier: https://dsgvo-gesetz.de/art-13-dsgvo/
 +
 +
== siehe auch ==
 +
*[[Zugangssicherheit]]<BR>
 +
*[[Daten#Export_gem._DSGVO]]<BR>
 +
*[[VRaum|Virtueller Raum/Videokonferenz]]
 +
 +
==Videos==
 +
Eine Aufzeichnung der Online-Veranstaltung vom 12.3.18 ist hier verfügbar: <!-- http://trainex.adobeconnect.com/pzh5ok327hpv/ --> https://youtu.be/XrihS5GCwp0<BR>
 +
Veränderungen und Folgen für den Hochschulbereich: https://www.e-teaching.org/community/communityevents/schulung/dsgvo-veraenderungen-und-folgen-fuer-den-hochschulbereich
 +
 +
==Letzte funktionale Änderungen==
 +
*Juni 2022: [[Atteste]]: Möglichkeit zur Massen-Löschung gem. [[DSGVO]] von gesundheitsbezogenen Daten wie z.B. Corona-Stati  unter [[Aufteilung]] 160
 +
*Mai 2022: [[Login-Seite]]: Bei der Anforderung der Zugangsdaten wird nun auch Standort und Matrikelnummer abgefragt. Es wird aus [[DSGVO|Datenschutz]]-Gründen nicht mehr angezeigt, ob eine Mail mit neuen Zugangsdaten versendet wurde oder nicht. Es wird entweder als Notfallkontakt der Mitarbeitende mit Sonderrecht 330 genannt oder, falls keiner hinterlegt ist, der [[Textbaustein]] "Notfallkontakt_Zugangsdaten" verwendet.
 +
*Juli 2021: Optimierung der Backup-Aufbewahrungsdauer im Sinne der [[DSGVO]]-Datensicherheit auf 12 Tage für Tagesbackup / 12 Wochen für Wochenbackup / 12 Monate für Monatsbackup
 +
*Mai 2018: Wg. DSGVO: Die [[Alumni]] aller Standorte können mit einem Klick massenhaft auf unsichtbar / kein Newsletter-Bezug gesetzt werden.
 +
*Mai 2018: Wg. DSGVO: Die [[Alumni]], die länger als 10 Jahre den Abschluss haben, können pro Standort massenhaft gelöscht werden.
 +
*Mai 2018: Überarbeitung der [[AGB|Nutzungsbedingungen]] im Hinblick auf DSGVO und Auftragsverarbeitung
 +
*März 2018: Weitere Optimierung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO
 +
*Jan/Feb/Mrz/April/Mai 2018: Weitere Optimierung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO

Aktuelle Version vom 11. Juli 2022, 13:29 Uhr

Unsere Pflichtinformationen zum Datenschutz gem. DSGVO finden Sie hier: https://datenschutz.trainex24.de


Fotolia 206265401 XS.jpg

Das TraiNex-System wurde Anfang 2018 an die Anforderungen der Datenschutz-Grundverordnung (DSGVO)/General Data Protection Regulation (GDPR) angepasst, damit die Hochschulen/Akademien den Anforderungen der DSGVO entsprechen können.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Sie ist seit 2 Jahren gültig und verpflichtend anzuwenden ab 25. Mai 2018.

Die Verarbeitung personenbezogener Daten durch die Hochschule/Akademie oder deren beauftragte Systeme wie TraiNex muss der DSVGO entsprechen.

TraiNex berücksichtigt die DSGVO, z.B. in den Vereinbarungen zur Auftragsdatenverarbeitung, die im April 2018 allen TraiNex-Hochschulen/Akademien zugegangen sind per Papierpost. Die DSGVO wird auch direkt in der Systemarchitektur berücksichtigt: So verwenden wir für TraiNex-Systemserver keine Cloud-Server, sondern definierte/dedizierte Server in Deutschland, wobei der Kunden die Server-Variante selber wählen kann. Auch werden z.B. Daten der Nutzer in Tabellen aufgrund strenger Relationalität durchweg pseudonymisiert gehalten oder es können Rechte durch den Kunden definiert zugewiesen werden und sowohl die Rechtevergabe als auch teils die individuelle Nutzung des Rechtes werden in der Logdatei protokolliert. Auch eine Löschung oder Anonymisierung aller Daten eines Nutzers ist einfach möglich, da der Name des Nutzers nur an einer einzigen Stelle gespeichert ist.

Die DSGVO gibt keine konkreten Ausgestaltungen für die Anwendungssituation "Campus Management System" vor. Funktional wichtig ist aber z.B.:

  • Eine Zustimmung zur Verarbeitung der Daten muss widerrufbar sein. Dies ist bei der Funktion AGB berücksichtigt.
  • Recht auf Auskunft über gespeicherte Daten. Dies ist auf dem Datenblatt mit dem Export berücksichtigt.
  • Recht auf Vergessen. Die Löschung eines Nutzers löscht alle Nutzerdaten inkl. Noten oder Anwesenheiten. Nicht gelöscht werden hochgeladene Dateien. Ebenfalls möglich: Wenn der Name des Nutzers auf Datenblatt bzw. Stammdatenblatt geändert wird, wird der Name im kompletten System ebenfalls geändert. Ein weiterer begründeter Speicherbedarf der datenverarbeitenden Stelle hat aber Vorrang vor einem Löschwunsch.
  • Recht auf Export der gespeicherten Daten zum Zweck des Re-Imports. Da es keine technischen Standards zum Austausch von Daten unterschiedlicher Campus-Management-Systeme gibt, ist der Export zum Zweck des Imports derzeit nicht möglich.


Da die Hochschule/Akademie als der Auftraggeber weitgehend selber für z.B. Studierende, Mitarbeitende, Bewerber oder Lehrkräfte und Alumni festlegt, welche personenbezogenen Daten sie erhebt oder verarbeitet bzw. speichert oder löscht, hat auch die Hochschule/Akademie eine Mitwirkungspflicht. So sollte diese z.B. ein Berechtigungskonzept im Bereich der Sonderfunktion festlegen, die AGB aktivieren lassen und ergänzen um DSGVO-Inhalte. Auch die Logdatei sollte quartalsmäßig revisionssicher abgespeichert werden. Prüfen Sie die Rechtmäßigkeit der Alumni-Arbeit. Im Bereich der Zugangssicherheit sollten alle erforderlichen Maßnahmen aktiviert werden.

Beachten Sie auch den zugehörigen Workshop "Experte SH/Sicherheitskonzepte" unter https://akademie.trainings-online.de

Bei Rückfragen wenden Sie sich gerne an datenschutz@trainings-online.de

Excel und DSGVO

Eine hochschulseitige Verarbeitung personenbezogener Daten in Excel-Listen, auf die via allgemeine Benutzergruppen zugegriffen werden kann bzw. wo im Excel nicht sichtbar ist, wer und wann z.B. eine Note eingetragen, geändert oder gelöscht wurde, ist gem. DSVGO voraussichtlich nicht gewünscht bzw. erlaubt (Revisionssicherheit in Excel fehlt). Die DSGVO wünscht zudem eine anonymisierte oder pseudonymisierte bzw. individuell verschlüsselte Speicherung.

(Pseudonymisiert bedeutet, dass bedeutsame "Dinge" durch stellvertretende Zahlen repräsentiert werden, also z.B. Namen durch Nummern. Verschlüsselt bedeutet, dass diese Nummern nur mit einem Schlüsselgeheimnis lesbar sind. Individuell bedeutet, dass das Schlüsselgeheimnis bei jeder Person ein anderes Geheimnis ist. Statt Müller schreibt man also 13 und statt 13 ein &G$%&.)


Folgende Abbildung verdeutlicht, warum die DSGVO hinsichtlich Datenschutz besser erfüllt wird durch eine Datenbank wie TraiNex (blaue Zeile 3) als durch ein hochschulseitiges Excel (gelbe Zeile 2). In Excel könnte gespeichert sein "Studierender Martin Müller hat im Fach BWL eine 1.7 bei Lehrkraft Prof. Test erzielt." Im TraiNex wird unmerklich immer pseudonymisiert gespeichert, also: "Studierender 1255 hat im Fach 355 eine 1.7 bei Lehrkraft 82 erzielt." Zudem wird jede Änderung automatisch revisionssicher für 3 Monate, ebenfalls pseudonymisiert, gespeichert (Spalte H).

Excel vs trainex.JPG

Eine Tabelle mit Passworten oder Bankverbindungen würde in Excel vermutlich als "mit Zugriffsschutz" gespeichert werden. Dies genügt NICHT den Anforderungen an individuelle Verschlüsselung der DSGVO. Im TraiNex wird dies nicht im Klartext gespeichert, sondern für jede Person wird das z.B. Passwort individuell kryptographisch stark verschlüsselt gespeichert (Spalte F). Dies gilt auch für z.B. IBAN/Kontonummern (Spalte G).

Informationspflicht bei Erhebung von personenbezogenen Daten bei TraiNex-Nutzern

Da TraiNex nur der Auftragsdatenverarbeiter ist und die Hochschule selber festlegt, welche Daten wie verarbeitet werden auf welcher Rechtsgrundlage, muss die Hochschule die TraiNex-Nutzer darüber selber über z.B. den Zweck der Verarbeitung der personenbezogenen Daten informieren. Anfragen von TraiNex-Nutzern an TrOn leiten wir an den jeweiligen Kunden weiter. Der Kunde sollte zur Belehrung die Funktion der AGB nutzen. Mehr zur Informationspflicht bei der Erhebung von personenbezogenen Daten hier: https://dsgvo-gesetz.de/art-13-dsgvo/

siehe auch

Videos

Eine Aufzeichnung der Online-Veranstaltung vom 12.3.18 ist hier verfügbar: https://youtu.be/XrihS5GCwp0
Veränderungen und Folgen für den Hochschulbereich: https://www.e-teaching.org/community/communityevents/schulung/dsgvo-veraenderungen-und-folgen-fuer-den-hochschulbereich

Letzte funktionale Änderungen

  • Juni 2022: Atteste: Möglichkeit zur Massen-Löschung gem. DSGVO von gesundheitsbezogenen Daten wie z.B. Corona-Stati unter Aufteilung 160
  • Mai 2022: Login-Seite: Bei der Anforderung der Zugangsdaten wird nun auch Standort und Matrikelnummer abgefragt. Es wird aus Datenschutz-Gründen nicht mehr angezeigt, ob eine Mail mit neuen Zugangsdaten versendet wurde oder nicht. Es wird entweder als Notfallkontakt der Mitarbeitende mit Sonderrecht 330 genannt oder, falls keiner hinterlegt ist, der Textbaustein "Notfallkontakt_Zugangsdaten" verwendet.
  • Juli 2021: Optimierung der Backup-Aufbewahrungsdauer im Sinne der DSGVO-Datensicherheit auf 12 Tage für Tagesbackup / 12 Wochen für Wochenbackup / 12 Monate für Monatsbackup
  • Mai 2018: Wg. DSGVO: Die Alumni aller Standorte können mit einem Klick massenhaft auf unsichtbar / kein Newsletter-Bezug gesetzt werden.
  • Mai 2018: Wg. DSGVO: Die Alumni, die länger als 10 Jahre den Abschluss haben, können pro Standort massenhaft gelöscht werden.
  • Mai 2018: Überarbeitung der Nutzungsbedingungen im Hinblick auf DSGVO und Auftragsverarbeitung
  • März 2018: Weitere Optimierung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO
  • Jan/Feb/Mrz/April/Mai 2018: Weitere Optimierung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO