Aktuelles

Datentransfer zwischen EU und USA

Dunkle Stadt mit Schlössersymbolen

Am 10.7.2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.

Was jetzt zu tun ist, ob die Standardvertragsklauseln weiter gelten, ob ein Datentransfer in die USA jetzt immer auf Grundlage einer Auftragsverarbeitung möglich ist und andere Fragen beantwortet ZENDAS in einem 20min. Video.

Falls Einrichtungen/Unternehmen nicht in der Liste der zertifizierten Unternehmen stehen, sind weiterhin die Standardvertragsklauseln notwendig. Allerdings werden die Bewertung der Rechtslage in den USA (TransferImpacAssessment) einfacher und die Anforderungen an die zusätzlichen Maßnahmen sind geringer.

Datenschutzrechtliche Anforderungen an internationale Datentransfers (GDD-Praxishilfe, Juli 2022): Checkliste für Transfer Impact Assessment (TIA) und Musteranhang der SCC (vorausgefüllt)

Online-Prüfungen für Studierende

Zwei Hände auf einem Handy mit Datenschutzsymbolen

In einer Pressemitteilung äußerte sich der Landesdatenschutzbeauftragte Baden-Württemberg Stefan Brink zur Überwachung bei Onlineprüfungen: “Online-Prüfungen sollen Wissen und Fähigkeiten abfragen, nicht Studierende übermäßig überwachen. Online-Proctoring kann maßlos sein und Studierende in äußerst unangenehme Situationen bringen. Datenschutzrechtlich nehmen wir das Thema Online-Proctoring jetzt in den Fokus.”

Die ergänzenden Regelungen im Thüringer Hochschulgesetz zu elektronischen Prüfungen vom  31.3.2021 sehen Folgendes vor:

"Sofern Prüfungen in elektronischer Form oder in elektronischer Kommunikation durchgeführt werden, müssen die Prüfungsordnungen ein datenschutzkonformes Prüfungsverfahren gewährleisten, bei dem für alle Prüfungskandidaten vergleichbare Bedingungen herrschen. Hierfür müssen die Prüfungsordnungen zusätzlich zu Satz 1 und 2 insbesondere Regelungen

  1. zur Sicherung des Datenschutzes
  2. zur eindeutigen Identifikation der Prüfungskandidaten
  3. zur Dokumentation des Prüfungsgeschehens
  4. zur Sicherung der Authentizität und Unveränderlichkeit des Prüfungsergebnisses
  5. zur Verhinderung von Missbrauchs- und Täuschungsversuchen
  6. zum Umgang mit technischen Störungen und
  7. zur Gewährleistung der technischen Voraussetzungen enthalten."

Informationen zum Onlineprüfungssystem "Wiseflow" der Universität Erfurt

Weitere aktuelle Informationen

Vertraulichkeitsrichtlinie an der Universität Erfurt

Mit Präsidiumsbeschluss vom 27.7.2022 (Beschluss 142/2022) wurde die Richtlinie zum Umgang mit vertraulichen Informationen an der Universität Erfurt in Kraft gesetzt.

Die Richtlinie soll die Beschäftigten für den Umgang mit vertraulichen  Informationen im Arbeitsalltag sensibilisieren und sie mit der hier anhand von Beispielen vorgenommenen Informationsklassifizierung dabei unterstützen, den Schutzbedarf von Informationen im Einzelfall sowie die daraus ggf. abzuleitenden Schutzmaßnahmen zu ermitteln und umzusetzen. Dabei geht es nicht nur um den Schutz personenbezogener Daten, auch andere Daten wie Schaltpläne, Vertragsinhalte, Sicherheitmassnahmen des Rechenzentrums, Konfiguration von Software müssen je nach Klasse mit unterschiedlichen Schutzmaßnahmen gesichert werden.

Vertraulichkeitsrichtlinie(pdf): bitte vorher im Intranet anmelden

Datentracking in der Wissenschaft

"Das Informationspapier beschreibt die digitale Nachverfolgung von wissenschaftlichen Aktivitäten. Wissenschaftlerinnen und Wissenschaftler nutzen täglich eine Vielzahl von digitalen Informationsressourcen wie zum Beispiel Literatur- und Volltextdatenbanken. Häufig fallen dabei Nutzungsspuren an, die Aufschluss geben über gesuchte und genutzte Inhalte, Verweildauern und andere Arten der wissenschaftlichen Aktivität. Diese Nutzungsspuren können von den Anbietenden der Informationsressourcen festgehalten, aggregiert und weiterverwendet oder verkauft werden."

Neue Phishing-Methode

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt eine neue Methode eines Phishingversuchs:

Phishing-Mails sind immer schwieriger als solche zu erkennen. Wie Heise Online berichtet, warnen Sicherheitsforschende nun vor einer Taktik, die Phishing-Nachrichten noch glaubhafter erscheinen lassen soll. Eine iranische Hackergruppe schickt ihre Mails nicht nur an eine Mail-Adresse, sondern setzt mehrere Personen in Cc. Diese Mailadressen befinden sich aber unter der Kontrolle der Angreifenden. Sie antworten auf die Mails und stoßen so bei den Empfängerinnen und Empfängern eine Konversation an – was die Glaubwürdigkeit der Originalnachricht steigert.

BSI-Informationen über Spam, Phishing & Co: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co_node.html

Heise Online zur neuen Taktik bei Phishing-Mails: https://www.heise.de/news/Neue-Phishing-Masche-Fake-Konversationen-fuer-mehr-Glaubwuerdigkeit-7263942.html

Mehr Datenschutz für Lehrkräfte in der Ausbildung

Der Thüringer Datenschutzbeauftragte a.D. Dr. Lutz Hasse kritisiert das verhaltene Engagement der Universitäten hinsichtlich Datenschutz und Medienkompetenz  in der Ausbildung von Lehramtskräften.
Die Universitäten sollen prüfungsrelevantes Wissen im Bereich Datenschutz vermitteln, beispielsweise durch Besuch einer Datenschutzvorlesung an einer juristischen Fakultät und einer entsprechenden Klausur. Er fordert eine Umgestaltung von Lehr- und Bildungsplänen.
(BvD-News, Ausg.03/2022: Dr. Lutz Hasse; René Rösel: (Thüringer) Schulen: Digitalisierung und Medienkompetenz - wo klemmt's?)