DSGVO

Aus TraiNexWiki
Wechseln zu:Navigation, Suche

Vorbemerkung: 1. Halbjahr 2018

Im 1. Halbjahr 2018 ist der Schwerpunkt unserer Aktivitäten die Anpassung des TraiNex-Systems an die Anforderungen der Datenschutz-Grundverordnung (DSGVO). Eine Analyse oder Umsetzung spezieller Kundenanregungen oder Kundenwünschen ist deshalb im 1. Halbjahr 2018 nur beschränkt möglich. Sowohl Programmier- als auch Analyse-, Beratungs- oder Management-Kapazität sind durch die DSGVO gebunden. Benutzen Sie zur Einreichung von Anregungen/Wünschen bitte das Formular für den Feature-Request, welches Ihnen mit dem Sonderrecht 201 im TraiNex zur Verfügung steht. Auch bei Fragen zum System bitten wir Sie höflichst, bitte erst das Wiki unter wiki.trainings-online.de zu konsultieren und erst, wenn Sie dort keine Antwort finden, eine Frage als Mail zu formulieren. Wenn Sie eine Frage einreichen, dann beachten Sie bitte: Um unnötige Rückfragen zu vermeiden beschreiben Sie das Problem anhand eines Beispiels bitte so genau wie nötig und möglich, am besten mit einem Screenshot, damit das Problem nachvollzogen werden kann. Codefehler oder logische Fehler werden wir in unserem Ticketsystem erfassen und dokumentieren und gem. der zugewiesenen Priorität zügig abarbeiten.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Sie ist seit 2 Jahren gültig und verpflichtend anzuwenden ab 25. Mai 2018.

Die Verarbeitung personenbezogener Daten durch die Hochschule/Akademie oder deren beauftragten Systemen wie TraiNex muss der DSVGO entsprechen.

TraiNex berücksichtigt die DSGVO, z.B. in den Vereinbarungen zur Auftragsdatenverarbeitung, die bis April der Hochschule/Akademie zugehen. Die DSGVO wird auch direkt in der Systemarchitektur berücksichtigt: So verwenden wir für TraiNex keine Cloud-Server sondern definierte/dedizierte Server in Deutschland. Auch werden z.B. Daten der Nutzer in Tabellen aufgrund strenger Relationalität durchweg pseudonymisiert gehalten oder es können Rechte durch den Kunden definiert zugewiesen werden und sowohl die Rechtevergabe als auch teils die individuelle Nutzung des Rechtes werden in der Logdatei protokolliert. Auch eine Löschung oder Anonymisierung aller Daten eines Nutzers ist einfach möglich, da der Name des Nutzers nur an einer einzigen Stelle gespeichert ist.

Da die Hochschule/Akademie als der Auftraggeber weitgehend selber für z.B. Studierende, Mitarbeiter, Bewerber oder Dozenten festlegt, welche personenbezogenen Daten sie erhebt oder verarbeitet bzw. speichert oder löscht, hat auch die Hochschule/Akademie eine Mitwirkungspflicht. So sollte diese z.B. ein Berechtigungskonzept im Bereich der Sonderfunktion festlegen, die AGB aktivieren und die Logdatei quartalsmässig revisionssicher abspeichern. Im Bereich der Zugangssicherheit sollten alle erforderlichen Massnahmen aktiviert werden.

Beachten Sie auch den zugehörigen Workshop "Experte SH/Sicherheitskonzepte" unter http://akademie.trainings-online.de

Bei Rückfragen wenden Sie sich gerne an datenschutz@trainings-online.de

Excel und DSGVO

Eine hochschulseitige Verarbeitung personenbezogener Daten in z.B. nicht revisionssicheren Excel-Listen, auf die via allgemeine Benutzergruppen zugegriffen werden kann bzw. wo im Excel nicht sichtbar ist, wer und wann z.B. eine Noten eingetragen, geändert oder gelöscht wurde, ist gem. DSVGO voraussichtlich nicht gewünscht bzw. erlaubt. Die DSGVO wünscht eine anonymisierte oder pseudonymisierte bzw. individuell verschlüsselte Speicherung. Folgende Abbildung verdeutlicht, warum eine Datenbank wie TraiNex die DSGVO hinsichtlich Datenschutz besser erfüllt als ein hochschulseitiges Excel. In Excel könnte gespeichert sein "Student Martin Müller hat im Fach BWL eine 1.7 beim Dozenten Prof. Test erzielt." Im TraiNex wird unmerklick immer pseudonymisiert gespeichert, also: "Student 1255 hat im Fach 355 eine 1.7 beim Dozenten 82 erzielt." Zudem wird jede Änderung automatisch revisionssicher für 3 Monate, ebenfalls pseudonymisiert, gespeichert (Spalte H).

Excel vs trainex.JPG

Ein Tabelle mit Passworten oder Bankverbindungen würde in Excel vermutlich als "mit Zugriffsschutz" gespeichert werden. Dies genügt NICHT den Anforderungen an individueller Verschlüsselung der DSGBO. In TraiNEx wird dies nicht im Klartext gespeichert sondern für jede Person wird das z.B. Passwort individuell kryptograpisch stark verschlüsselt gespeichert (Spalte G). Dies gilt auch für z.B. IBAN/Kontonummern (Spalte G).

Video

Eine Aufzeichnung der Online-Veranstaltung vom 12.3.18 ist hier verfügbar: http://trainex.adobeconnect.com/pzh5ok327hpv/


Letzte funktionale Änderungen

  • April 2018: Weitere Optimierung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO
  • Februar 2018: Allg. Verbesserung der Systemarchitektur im Hinblick auf die neue Datenschutzgrundverordnung DSGVO