Wenden Sie sich an das bei:

• Organisatorischen Fragen des Datenschutzes
• Fragen zum Verzeichnis von Verarbeitungstätigkeiten
• Auskunftsanfragen nach Art. 15 DSGVO
• Fragen nach Schulungsangeboten
• Meldung von Verstößen

Wenden Sie sich an den bei:

• Allgemeinen Fragen zum Datenschutz
• Vertraulichen Anfragen und/oder Beschwerden bzgl. des Datenschutzes
• Fragen zu Betroffenenrechten

Hinter dem Kürzel DSGVO steht eine unmittelbar anzuwendende europäische Verordnung, die "Datenschutz-Grundverordnung". Diese regelt seit Mai 2018 primär, was bei der Verarbeitung personenbezogener Daten zu beachten ist.

Die DSGVO hat damit in großen Teilen das BDSG (Bundesdatenschutzgesetz) abgelöst, welches aber weiterhin ergänzende Regelungen trifft. Außerdem gibt es noch Landesgesetze, die weitere ergänzende Regelungen für den Datenschutz treffen. So zum Beispiel das NDSG (Niedersächsisches Datenschutzgesetz) und auch einzelne Regelungen des NHG (Niedersächsisches Hochschulgesetz).

Verantwortlich für die Einhaltung ist die Carl von Ossietzky Universität Oldenburg, vertreten durch den Präsidenten. Also das Präsidium. Allerdings sind auch alle Mitarbeiterinnen und Mitarbeiter sowie alle Studierenden auch an die Regelungen der DSGVO gebunden, sofern sie im Rahmen ihrer Tätigkeit an der Uni Oldenburg personenbezogene Daten verarbeiten.

Grundsätzlich dürfen personenbezogene Daten nur solange verarbeitet werden, bis der Zweck der Verarbeitung entfallen oder erreicht worden ist. Danach müssen die Daten gelöscht werden.

Im Bereich der Forschung kann nicht immer genau vorher bestimmt werden, für welche Zwecke genau die Daten noch vernünftigerweise gebraucht werden können. Daher ist hier, sofern ein Zweck noch nicht derart konkret genannt werden kann, anzuraten, die Dauer der Speicherung auf maximal 10 Jahre festzulegen. Die Grenze von 10 Jahren stellt eine anerkannte, gute wissenschaftliche Praxis dar.

In Ausnahmefällen und unter entsprechender Begründung kann die Dauer der Speicherung natürlich auch länger festgelegt werden.

Bitte beachten Sie aber, dass immer primär der Wegfall des Zwecks ausschlaggebend für die Löschfrist der personenbezogenen Daten sein soll.

Problem:

Die Verantwortliche muss sicherstellen, dass Auskünfte über die Verarbeitung personenbezogener Daten nur an zur Auskunftserteilung berechtigte Personen erteilt werden. Die Identität der anfragenden Person muss also offengelegt werden.

Lösung:

Je sensibler die personenbezogenen Daten sind, desto sicher muss die Identität der anfragenden Person feststehen. Im Normalfall ist es ausreichend, wenn die Identität pausibel erscheint. Je nach Situation gilt es zu unterscheiden, wie die Identität (plausibel) nachgewiesen werden soll.

• In einem Telefonat ist dies durch entsprechende Fragen zu ermitteln. So kann das Geburtsdatum, eine bestimmte zugeordnete Kennung oder die Matrikelnummer erfragt werden.
• In einem persönlichen Gespräch dürfte es ausreichen, sich den amtlichen Lichtbildausweis respektive einen Studierendenausweis zeigen zu lassen.
• Bei schriftlichen Anfragen sollte die Person bereits selbst im Vorfeld ausreichende Angaben zu ihren eigenen Daten gemacht haben. Sie sollte also bereits in ihrem Initiativschreiben relevante und konkrete Daten angegeben haben, damit man sich ihrer Identität sicher sein kann.

Hinweis:

Telefonisch sollten nur organisatorische Auskünfte gegeben werden. Für alles Weitergehende empfiehlt es sich dringend, diese schriftlich oder elektronisch per E-Mail zu erteilen.

Wenn die Verarbeitung personenbezogener Daten keine anderweitige Rechtsgrundlage hat, oder diese auf "zwei Beine" gestellt werden soll, kann mit einer Einwilligungserklärung eine Rechtsgrundlage geschaffen werden.

Die Einholung einer Einwilligungserklärung dient dem Nachweis der Freiwilligkeit der Erklärung. Sie muss ausreichende Informationen über die geplante Datenverarbeitung erhalten, damit die betroffene Person verstehen kann, worin sie einwilligt.

Daher ist in der Einwilligungserklärung mindestens enthalten:

• Zweck der Verarbeitung
• Auflistung der Datenkategorien

Gegebenenfalls kann auch auf eine bereits vorhandene, entsprechende Datenschutzerklärung verwiesen werden. Hier ist auch ein sog. "Medienbruch" zulässig.

Bei elektronischer Erklärung ist darauf zu achten, dass ein sog. Opt-Out-Verfahren nicht zulässig ist. Das bedeutet, dass das Kästen zum Ankreuzen nicht schon beim Aufruf der Seite oder des elektronischen Dokuments vorangekreuzt sein darf.

Eine einmal erteilte Einwilligung kann jederzeit widerrufen werden.

Weitere Informationen zum Anfertigen einer Einwilligungserklärung finden Sie hier.

Wenn Sie eine Datenpanne bemerken, die ein Risiko für die Rechte und Freiheiten natürlicher Personen aufweist, müssen Sie dies den Referenten des unverzüglich mitteilen, damit diese binnen 72 Stunden eine Meldung an die Aufsichtsbehörde abgeben und die Betroffenen informieren können.

Datenübermittlung in die USA via EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss)

Was ist passiert?

Die Europäische Kommission hat am 7.10.2023 einen neuen Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shield“) angenommen und damit ein angemessenes Schutzniveau für bestimmte U.S.-Unternehmen attestiert.

Was bedeutet dies?

Mit dem neuen Angemessenheitsbeschluss ist es wieder möglich, personenbezogene Daten zur Verarbeitung durch U.S.-Unternehmen zu legitimieren, ohne, dass es dabei auf weitere Übermittlungsinstrumente, wie z.B. die Standarddatenschutzklauseln / Standardvertragsklauseln oder zusätzliche Maßnahmen, wie Verschlüsselung, ankommt.

Grundlegend für den Angemessenheitsbeschluss ist ein von Präsident Biden unterzeichnetes Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“). Für Europäerinnen und Europäer, deren personenbezogene Daten in die USA übermittelt werden, sieht das Dekret Folgendes vor:

• verbindliche Garantien, die den Zugang der US-Nachrichtendienste zu den Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken,
• eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste, um sicherzustellen, dass die für Überwachungstätigkeiten geltenden Beschränkungen eingehalten werden, und
• die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das auch ein neues Gericht zur Datenschutzüberprüfung umfasst, welches Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersucht und beilegt.

Dies gilt jedoch nur für solche U.S.-Unternehmen, die sich nach dem Data Privacy Framework zertifiziert haben. Ob dies erfolgt ist, muss vorab geprüft werden.

Der Angemessenheitsbeschluss ist nicht zeitlich befristet, wird jedoch kontinuierlich von der Europäischen Kommission auf die Entwicklungen in den USA hin überprüft.

Wo erhalte ich weitergehende Informationen und wer berät mich?

Weitere Informationen zum EU-U.S. Data Privacy Framework erhalten Sie hier:

https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html

und hier: https://ec.europa.eu/commission/presscorner/detail/de/qanda_23_3752

Die Stabsstelle Datenschutz- und Informationssicherheitsmanagement berät Sie gerne bei der Prüfung der Zulässigkeit von Datenübermittlungen in die USA oder sonstige Drittländer.
Am besten erreichen Sie uns per E-Mail unter:

Weitergehende Informationen zu den Themen Datenschutz und Informationssicherheit finden Sie unter

Datenschutzkonform arbeiten

Für Mitglieder und Angehörige der Universität steht ein umfangreiches Skript zu datenschutzrechtlichen Grundlagen zur Verfügung, das Sie mit weiteren interessanten Dokumenten zum Thema Datenschutz  hier [im Intranet] als PDF-Dokument herunterladen können:

Dokumente der Stabsstelle

Phishing bezeichnet ursprünglich das Angeln nach Passwörtern. Mittlerweile meint man aber in der Regel E-Mails, die den Leser täuschen sollen, um so an vertrauliche Daten zu kommen.

Die erste Version täuscht einen bekannten Absender vor und will den Leser dazu verleiten, auf den enthaltenen Link zu klicken. Dieser Link führt dann nicht wie behauptet zu einer bekannten Webseite, sondern zu einer Fälschung. Gibt der Anwender hier nun sein Passwort ein, um sich anzumelden, haben die Angreifer ihr Ziel erreicht.

In der zweiten Version wird eine Datei als Anhang verschickt, die der Empfänger öffnen soll. In dieser Datei ist dann ein Virus enthalten.

Empfehlung

Achten Sie bei E-Mail, die Sie erhalten darauf, ob der Inhalt plausibel ist. Haben Sie mit dem Absender schon Kontakt zu dem Thema gehabt? Erwarten Sie die Nachricht oder diese Antwort? Hat er Ihnen tatsächlich die Zusendung einer Datei versprochen?

Häufig schalten Viren sich in ein bestehendes Gespräch ein und verschicken eine vermeintliche Antwort in Verbindung mit einer Virusdatei.

Würde der Absender an diese E-Mail-Adresse schreiben?

Ihre Bank wird Ihnen wahrscheinlich keine E-Mail an Ihre Uni-Oldenburg-Mailadresse schicken.

Wenn Sie in einer E-Mail unerwartet aufgefordert werden, sich auf einer Webseite anzumelden, klicken Sie nie auf den Link. Öffnen Sie einen Webbrowser und tippen Sie die bekannte Adresse selbst ein. 

Tipp: Wenn Sie mit dem Mauszeiger in Ihrer Mail über einen Link gehen, ohne ihn anzuklicken, sehen Sie, wohin der Link tatsächlich führt. 

Seien Sie misstrauisch bei Dateien in E-Mails. Wenn Sie die Datei unerwartet zugeschickt bekommen, öffnen Sie sie nicht.

Und wenn Sie eine Sicherheitswarnung erhalten, dass Makros deaktiviert sind, dann aktivieren Sie den Virus bitte nicht.

Übrigens: Sollten Sie verdächtige E-Mails erhalten, können Sie diese gerne an weiterleiten!

Problem:

E-Mail Adressen sind immer personenbezogene Daten. Auch dann, wenn die E-Mail nicht den Vor- und Nachnamen der betroffenen Person beinhaltet.

Daher bedarf es grundsätzlich immer einer Rechtsgrundlage, um E-Mail Adressen im Sinne der DSGVO zu verarbeiten, also zu speichern, Inhalte an eine E-Mail zu senden, etc.

Lösung:

Wenn Sie selbst E-Mail-Adressen aus öffentlich bekanntgemachten Websites sammeln wollen:

Differenzieren Sie, woher die E-Mail-Daten stammen.

Zunächst kommt es darauf an, ob die jeweilige Institution/Stelle/Organisation, sowie die jeweiligen Empfänger ein zumindest unterstellbares Interesse an dem Inhalt der zu versendenden E-Mail haben dürften.

Weiterhin müssen die potentiellen Empfänger ihre E-Mail auch zumindest unterstellbar derart öffentlich bekannt gemacht haben, dass damit zu rechnen ist, dass sie auch bzgl. des jeweiligen Inhalts über diese E-Mail zu kontaktieren sind und auch hieran ein Interesse haben.

Sofern dies nicht der Fall ist, benötigen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten (= hier: speichern und senden von und an „fremde“ E-Mails der jeweiligen Institutionen). Das ist im Normalfall nur durch eine Einwilligung zu erreichen. Diese haben Sie jedoch in der Regel nicht.

Wenn Sie auf eine E-Mail-Adressliste einer anderen Institution/Stelle/Organisation zugreifen wollen:

Klären Sie mit der jeweiligen Institution/Stelle/Organisation ab, ob diese entsprechende E-Mail-Adresslisten an Sie weitergeben dürfen. Dies ist regelmäßig nur dann der Fall, wenn die Mitarbeiter und Angehörigen ihre Einwilligung dazu bereits dazu gegeben haben, dass ihre Daten an Dritte zum Zwecke des jeweiligen Inhalts weitergegeben werden dürfen. Konkrete Zwecke dürften hier regelmäßig sein: Informationsangebote, Einladungen zu Fachtagungen, Teilnahme an Studien zur Forschung, etc.

Sofern eine solche Einwilligung der Mitarbeiter und Angehörigen nicht vorliegt, müssten Sie die jeweilige Institution/Stelle/Organisation darum bitten, dass diese eine Einwilligung der potentiellen Empfänger einholt.

Problem:

Bei der Einrichtung von Newslettern und E-Mail-Verteilern über die Webseiten der Universität Oldenburg bestehen nach Artikel 13 DSGVO Informationspflichten. Danach muss unter anderem der Zweck, die Rechtsgrundlage, die Dauer und die Art der Datenverarbeitung sowie insbesondere die Art der Kategorien personenbezogener Daten und vieles mehr genannt werden.

Lösung:

In einfachen Fällen reicht es aus, auf die Datenschutzerklärung der Universität zu verweisen. Das ist beispielsweise der Fall bei einfachen Kontaktformularen, Newslettern & E-Mail-Verteilern.

Sofern allerdings mehr Daten abgefragt werden, als durch die Datenschutzerklärung der Universität umfasst, sollten Sie eine eigene Datenschutzerklärung erstellen. Wenn Sie dabei Beratung in Anspruch nehmen möchten, wenden Sie sich an die Stabsstelle Datenschutz- und Informationssicherheitsmanagement unter der E-Mail-Adresse .

Problem:

Auch bei der Gestaltung von E-Mail-Verteilern sind datenschutzrechtliche Anforderungen zu berücksichtigen, da es sich bei (zumindest personalisierten) E-Mail-Adressen um personenbezogene Daten im Sinne der DSGVO handelt.

Wird ein E-Mail-Verteiler verwendet, in dem alle angeschriebenen Personen im "AN-" oder "CC-Feld" adressiert werden, so sind die Adressaten für alle anderen Personen im Verteiler sichtbar. Aus dem Inhalt der E-Mail lassen sich über die bloße E-Mail-Adresse hinaus noch Zusatzinformationen über den Adressatenkreis gewinnen (z.B. wenn alle Adressaten Absolventen eines Jahrganges in einem bestimmten Studiengang sind). Datenschutzrechtlich handelt es sich dann über eine "Übermittlung" an Dritte, die nur aufgrund einer gesetzlichen Vorschrift oder einer Einwilligung der Betroffenen zulässig ist.

Lösung:

Statt in das "AN-Feld" oder "CC-Feld" sind die E-Mail-Adressen in das "BCC-Feld" (englisch: Blind Carbon Copy) einzutragen. So ist für den Adressaten nicht erkennbar, an wen eine E-Mail sonst noch versandt wurde.

In das „AN-Feld“ wird die eigene E-Mail-Adresse eingetragen. Sie schicken die Mail also an sich selbst, die Empfänger, die Sie im BCC-Feld eingetragen haben, bekommen die Mail aber trotzdem.

"Unsubscribe"-Funktion

Weiterhin sollten Sie die Möglichkeit schaffen und auch mit jeder E-Mail kommunizieren, dass sich die Empfänger jederzeit aus dem Verteiler austragen können. Dies muss genauso einfach zu bewerkstelligen sein, wie es die Anmeldung auch war, also regelmäßig durch eine einfache Antwort-E-Mail oder Klick auf einen "Unsubscribe"-Button. Die betroffene Person muss die Möglichkeit haben, keine E-Mails mehr zu erhalten und aus der Adressliste des Verteiler ausgetragen zu werden.

Hinweis:

Hiervon nicht betroffen ist das "in CC setzen" im Rahmen der dienstlichen Aufgabenerfüllung bei (internem)E-Mail-Verkehr. Jedoch ist auch hier eine restriktive Handhabung zu empfehlen.

Problem:

Die Nutzung von externen Cloud-Services (z.B. Dropbox, OneDrive), Messenger-Diensten (z.B. WhatsApp) oder Groupwarediensten (z.B. gmail, icloud) ist oftmals datenschutzrechtlich sehr bedenklich. Das liegt darin begründet, dass oft nicht auf der ersten Blick klar ist, welche Daten bei der Nutzung solcher Dienste überhaupt übermittelt werden und welche davon verschlüsselt sind bzw. ob die Anbieter den Regelungen des in der EU geltenden Datenschutzes unterworfen sind bzw. diese einhalten.

Insbesondere bei der Nutzung von Messenger-Diensten wie WhatsApp und Threema ist bedenklich, dass hier Metadaten gespeichert und weitergeleitet werden können. Außerdem kann bei beiden Diensten ein Zugriff auf die Kontaktliste der Nutzer möglich sein, wodurch die Dienste Zugriff auf Telefonnummern anderer Personen bekämen. Bei Skype kommt erschwerend hinzu, dass Videoanrufe generell nicht verschlüsselt sind.

Lösung:

Es sollten daher nur datenschutzkonforme Cloud-, Messenger-, und Groupware-Dienste genutzt werden. Zu diesen zählen:

• NextCloud (über die Uni-Website)
• DFNconf (Web- und Videokonferenz mit mehreren Teilnehmern)

Problem:

Der EuGH hat entschieden, dass Betreiber einer Facebook "Fanpage" für die Verarbeitung personenbezogener Daten in einer sog. "gemeinsamen Verantwortlichkeit" mit Facebook Ireland agieren. (EuGH Urteil vom 5. Juni 2018, Az.: C-210/16). Da der "Fanpage"-Betreiber allerdings keinen Zugriff auf die von Facebook verarbeiteten Daten hat, ist unklar, wie er Betroffenenrechte ausüben soll. Es müsste daher zwischen dem Betreiber einer "Fanpage" und Facebook eine Vereinbarung gemäß Art. 26 DSGVO geschlossen werden in der insbesondere die Wahrnehmung der Betroffenenrechte geregelt ist. Eine solche Vereinbarung bietet Facebook derzeit jedoch nicht an.

Darüber hinaus werden bei der Implementierung des "Gefällt mir"-Buttons auf der eigenen Website (personenbezogene) Daten eines Nutzers an Facebook übertragen (auch wenn dieser Nutzer gar nicht bei Facebook eingeloggt ist).

Lösung:

Vermeiden Sie einen Datenversand an Facebook durch Nichtimplementierung des "Gefällt mir"-Buttons auf Ihrer Website bzw. sprechen Sie den der Universität hinsichtlich einer datenschutzkonformen Implementierung ("Zwei-Klick-Lösung") an. Dies gilt grundsätzlich auch für die Implementierung anderer Social-Media Dienste (z.b. Youtube, Twitter etc.) in Webseiten der Universität.

Darüber hinaus sollte in den von der Universität genutzten Social-Media Angeboten zumindest die Datenschutzerklärung der Universität geeignet verlinkt werden.

Bei Fragen zur dienstlichen Nutzung von Social-Media Diensten wenden Sie sich gerne an die .

Problem:

Bei der Terminabstimmung über Doodle teilen Sie der Doodle AG, einem in der Schweiz ansässigen Unternehmen, nicht nur Ihre E-Mail-Adresse und Ihren Namen, sondern ggf. auch den dienstlichen Anlass der Terminabstimmung mit. Dadurch können sowohl Geheimhaltungsinteressen des Arbeitgebers als auch Belange des Datenschutzes verletzt werden. Denn auch die Tatsache, ob und mit wem Sie dienstlich kommunizieren, unterliegt grds. der Geheimhaltung.

Doodle verwendet darüber hinaus Google Analytics und andere Auswertungsmechanismen, die eine Profilbildung sowie gezielte Werbung ermöglichen.

Lösung:

Termine können komfortabel auch über das auf allen Dienstrechnern installierte Microsoft Outlook koordiniert werden. Die Daten bleiben dann grds. innerhalb des Universitäts-Netzes.

Sollte es dennoch einmal unerlässlich sein, einen externen Dienst zu nutzen, sollte auf die datenschutzfreundlichere Alternative des DFN-Vereins (Deutsches Forschungsnetz) unter terminplaner.dfn.de zurückgegriffen werden. Hier erfolgt die Datenübertragung verschlüsselt, die Umfrage kann mit einem Löschdatum versehen werden und die Aktivitäten werden weder ausgewertet noch erhalten Sie Werbung.

Die Universitätsleitung ist für den Schutz der personenbezogenen Daten ihrer Mitglieder und Angehörigen (und ggf. auch Gästen) rechtlich verantwortlich, nimmt diese Verantwortung sehr ernst und legt daher die erste Priorität auf das bewährte und bestmöglich in die digitale Infrastruktur der Universität integrierte Tool des DFN-Vereins (Deutsches ForschungsNetz) sowie als Ergänzung in der jetzigen Situation (Performanceschwierigkeiten beim DFN) auf die von den IT-Diensten der Universität kurzfristig aufgesetzten selbst gehosteten (betriebenen) Tools zur digitalen Kommunikation (siehe uol.de/itdienste).

Diese haben zum einen den Vorteil, dass sie von der Universität selbst „beherrscht“ werden können und der (personenbezogene) Datenverkehr nicht über Systeme/Server Dritter läuft, die sich zwar vertraglich zur Einhaltung der hiesigen Datenschutzstandards (insbesondere derer der Europäischen Datenschutzgrundverordnung; DSGVO) verpflichten können, aber ggf. auch divergierenden Gesetzen der Länder unterliegen, in denen die Firmen ihren Sitz haben (z.B. den USA). Zum anderen, sind sie in die bestehenden universitären Systeme UniCloud und Stud.IP integriert und ermöglichen so eine leichte Bedienbarkeit und insbesondere auch eine technisch unkomplizierte (Nach-)Nutzung von erstellten digitalen Inhalten (z.B. Veranstaltungen, Seminare).

Die Freigabe von Systemen Dritter mit denen personenbezogene Daten, die im Verantwortungsbereich der Universität liegen, verarbeitet werden (können) setzt überdies einen sorgfältigen Prozess der technischen und (datenschutz-)rechtlichen Prüfung, der Abstimmung mit dem Personalrat, der entsprechenden durch die DSGVO vorgeschriebenen Dokumentation und des Abschließens von erforderlichen Verträgen sowie in der Regel einer entsprechenden Lizensierung voraus.

Neben dem Schutz personenbezogener Daten spielen hier aber auch die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) der Informationssicherheit (insbesondere bei vertraulichem Austausch/Gesprächen) eine erhebliche Rolle.

Viele externe Angebote genügen den o.g. Anforderungen nur unzureichend.

Darüber hinaus legt die Universitätsleitung großen Wert darauf, die mobile Kommunikation strukturiert anzugehen. Nur so lässt sich ein „Wildwuchs“ bei der Nutzung von Kommunikationstools vermeiden und es können wertvolle Erkenntnisse für die Digitalisierungsstrategie der Universität insgesamt gewonnen werden.

Hierfür (und für die Planung des weiteren Vorgehens) ist jedoch ein konstruktives und konkretes Feedback aller Nutzer/innen hinsichtlich des derzeitigen Angebots unumgänglich.

Dieses richten Sie bitte an die bekannte E-Mailadresse: .

Weitere Ansprechpartner:

Bei Fragen zum Datenschutz und der Informationssicherheit können Sie sich überdies gerne an die Stabsstelle Datenschutz- und Informationssicherheit () sowie (insbesondere bei vertraulichen Anliegen) an den behördlichen Datenschutzbeauftragten () wenden.

Problem:

Google Analytics ist aus folgenden Gründen nicht datenschutzkonform zu nutzen:

• Fehlende, aber erforderliche Zustimmung der Nutzer beim Aufruf der Webseite (diese ist nur schwer datenschutzkonform einzuholen).
• Eingriffe in die Privatsphäre: Google Analytics sammelt eine große Menge persönlicher Daten von Website-Besuchern, einschließlich IP-Adresse(n), Surfverhalten oder demografische Daten.
• Begrenzte Transparenz: Google Analytics arbeitet wie eine Blackbox und bietet nur begrenzte Transparenz hinsichtlich seiner Datenerfassungsmethoden und Algorithmen.
• Eigentum an den Daten: Das Eigentum an den Daten wird im Wesentlichen an Google abgetreten.

Lösung:

Matomo (ehemals Piwik): Eine Open-Source-Webanalyseplattform, die es Ihnen ermöglicht, die Daten auf Ihren eigenen Servern zu hosten, so dass Sie die volle Kontrolle über Ihre Daten haben und der Datenschutz gewährleistet ist. Sie ist bereits an der UOL im Einsatz. Bei Bedarf wenden Sie sich gerne an den .

Die Sicherheit der IT an der Universität Oldenburg hängt von jedem einzelnen Mitarbeitenden ab. Deshalb haben wir Informationen zu den wichtigsten Sicherheitsrisiken am Arbeitsplatz und wie Sie diese minimieren können hier nochmals gesondert für Sie zusammengestellt.

Nein. Die Speicherung ist unsicher, die Passwörter können gestohlen werden. Nehmen Sie lieber einen Passwortsafe.

Zur Speicherung von Passwörtern gibt es sogenannte Passwortsafes. Dabei handelt es sich um Programme, die die hinterlegten Passwörter in einer verschlüsselten, passwort-gesicherten Datei abspeichern. Statt z.B. 30 Passwörter müssen Sie sich nur noch ein einziges Passwort merken, das Masterpasswort. Überlegen Sie, ob Sie als Masterpasswort ein anderes, längeres Passwort als für Ihren Uni-Zugang verwenden wollen. Und teilen Sie niemandem dieses Masterpasswort mit.

Zu den bekanntesten Passwortsafes gehören das Programm Keepass (keepass.info/) und der Ableger KeepassXC (keepassxc.org/).

Sie können diese Programme auch an der Uni Oldenburg einsetzen, um Ihre Passwörter zu verwalten. Achten Sie nur darauf, dass sie für das Programm ein sicheres, ausreichend langes Passwort wählen. Dies ist dann das einzige Passwort, dass Sie sich noch merken müssen. Alle weiteren Passwörter speichern Sie in dem Programm ab und können sie bei Bedarf kopieren und zur Anmeldung nutzen. Die Programme bieten auch einen Passwort-Generator zum erzeugen von sicheren Passwörtern.

Die genannten Programme sind alle open source und kostenlos nutzbar.

Problem:

Immer wieder werden Fotos von Kolleginnen und Kollegen gemacht. Sei es ein Portrait-Foto für die dienstliche Website oder ein Gruppenfoto zur Präsentation der eigenen Mitarbeiter und Mitarbeiterinnen, während einer Besprechung oder auf einer Feier. Solche Fotos werden nicht selten auf der dienstlichen Website, also im grundsätzlich weltweit zugänglichen Internet, veröffentlicht.

Sofern keine Einwilligung der auf dem Foto abgelichteten Person/en vorliegt, ist diese Anfertigung als auch die Veröffentlichung solcher Fotos unrechtmäßig. Die betroffenen Personen haben dann u.a. einen Anspruch auf Löschung dieser Fotos. Oftmals wissen die betroffenen Personen jedoch gar nicht, dass ein Foto von Ihnen angefertigt und veröffentlich wurde (insb. auf Feiern, wo oftmals aus der Situation heraus fotografiert wird, um einen hohen Grad an Authentizität zu erreichen).

Lösung:

Bevor Sie überhaupt Fotos von Kolleginnen oder Kollegen anfertigen, fragen Sie diese vorher, ob sie damit einverstanden sind. Sollten Sie beabsichtigen, dass die Fotos schlussendlich auf der dienstlichen Website (gilt auch für organisationsinterne Laufwerke) veröffentlicht werden - sei es öffentlich oder nur für bestimmte Personen einsehbar - fragen Sie ebenfalls, ob alle abgebildeten Kolleginnen und Kollegen damit einverstanden sind.

Vermeiden Sie die Anfertigung und insbesondere die Veröffentlichung von Fotos aus der Situation heraus, wenn Sie keine Einwilligung hierzu eingeholt haben.

Eine Einwilligung muss nicht zwingend schriftlich erteilt werden, dies kann aber im Streitfall sinnvoll sein (eine einfache E-Mail ist hierfür aber auch ausreichend).

Problem:

Sie planen eine universitäre Veranstaltung auf der zu Zwecken der Öffentlichkeitsarbeit (Veröffentlichung von Fotos auf der Uni-Webseite etc.) auch Fotoaufnahmen gemacht werden sollen und fragen sich, wie Sie  datenschutzgerecht damit umgehen?

Lösung:

Sofern Sie Einladungen verschicken, weisen Sie auf diesen darauf hin, dass im Rahmen der Veranstaltung zu Zwecken der Öffentlichkeitsarbeit Fotoaufnahmen angefertigt werden und, dass diese (und vorallem wo) veröffentlicht werden. Der Hinweis sollte außerdem enthalten, dass man sich an den Fotografen wenden möge, wenn man nicht fotografiert werden möchte. Darüber hinaus sollten Kontaktdaten für weitere Fragen angegeben werden. Ein solcher Hinweis sollte auch (ggf. zusätzlich) auf einem webbasierten Anmeldeformular angebracht werden. Außerdem sollten vor den Räumlichkeiten, in denen die Veranstaltung stattfindet, gut sichtbare Hinweise o.g. Art (idealerweise mit einem "Kamera"-Piktogramm versehen) angebracht werden.

Sollten im Rahmen der Veranstaltung Portrait-Aufnahmen (z.B. für Interviews) angefertigt werden, dann holen Sie bitte von den betroffenen Personen eine Einwilligung hierzu (sowie zur Veröffentlichung) ein. Diese muss nicht zwingend schriftlich erfolgen. Etwas "Schriftliches" kann aber zu Dokumentationszwecken im Streitfall sinnvoll sein. Für eine schriftliche Einwilligung können Sie das anliegende Muster nutzen.

Problem:

Der öffentlichen Aushang oder die öffentliche Auslegung von Listen oder Prüfungen mit Matrikelnummern und Namen der Studierenden stellt eine rechtswidrige Übermittlung personenbezogener Daten dar. Denn hierbei lässt sich erkennen, welche Person unter welcher Matrikelnummer welche Veranstaltung besucht, welche Prüfung abgelegt und ggf. mit welcher Note bestanden hat.

Lösung:

Sofern eine elektronische, nur für die betroffene Person zugängliche Variante des Aushangs, insbesondere bei Auslage von Prüfungsergebnissen mit Benotung (zum Beispiel in Stud.IP), nicht möglich ist, sollte der analoge Aushang nur unter Verwendung der Matrikelnummer durchgeführt werden. Dies allerdings auch nur insoweit, als eine Zuordnung der Matrikelnummer zu der dahinterstehenden Person nur von den berechtigten Personen vollzogen werden kann. Die Zuordnung von Matrikelnummer zu der dahinterstehenden Person darf also nicht öffentlich bekannt gemacht worden sein.

Umgekehrt sollten Teilnehmerlisten lediglich Namen und gerade nicht (auch) die Matrikelnummer beinhalten.

Problem:

Im Büroalltag fallen viele Papierdokumente mit vertraulichem Inhalt an (z.B. Entwürfe von Schreiben, die nicht zur Akte genommen werden, Fehlausdrucke von E-Mails etc.). Bei einer Entsorgung über den Büropapierkorb ist nicht sichergestellt, dass Dritte keine unberechtigte Kenntnis vom Inhalt nehmen können.

Lösung:

Papierdokumente mit vertraulichem Inhalt sind über die vom Dezernat 4 zur Verfügung gestellten Papiersammelcontainer zu entsorgen (Näheres hier). Eine Entsorgung in Eigenregie ist nur dann zulässig, wenn ein zum Schutzbedarf der Dokumente passender Aktenvernichter gem. DIN 66399 verwendet wird (Sicherheitsstufe 3 oder höher).