Datenschutz an der HCU

Datenschutz umfasst den Schutz einer Person vor der missbräuchlichen Verarbeitung ihrer persönlichen Informationen. Jede Person entscheidet selbst, ob und welche Daten verarbeitet werden. Einschränkungen jeglicher Art in diese Entscheidung, bedürfen einer Rechtsgrundlage. Das heißt: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn, eine Rechtsgrundlage gestattet die Verarbeitung. Juristisch wird dieser Mechanismus: Verbot mit Erlaubnisvorbehalt genannt.

Die Datenschutzgrundverordnung (DSGVO) gilt seit Mai 2018 auch in Deutschland verbindlich und ist von allen Personen und Einrichtungen, die personenbezogene Daten verarbeiten, bindend. Daher hat auch die HCU diese Bestimmungen zu beachten. Das Hamburgische Datenschutzgesetz (HmbDSG) als auch das Hamburgische Hochschulgesetz (HmbHG) mit den hochschuleigenen Satzungen und Ordnungen ergänzen und konkretisieren die DSGVO.

Wichtig: Zu Beginn eines jeden Projektes oder bei dem Start eines neuen Vorhabens, zum Beispiel die Einführung einer neuen Software, ist die Datenschutzkoordination der Hochschule zu kontaktieren: hcu-datenschutz@vw.hcu-hamburg.de

 

Die DSGVO kommt ins Spiel, wenn in einem Arbeitsschritt oder Projekt personenbezogene Daten verarbeitet werden. Dann müssen auch datenschutzrechtliche Maßnahmen ergriffen werden. 

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder (mit Zusatzwissen) bestimmbaren natürlichen Person Das können schon folgende Angaben sein wie Name, Adresse, Geburtsdatum, Staatsangehörigkeit, Beruf, Titel, Konfession, Personalnummer, Matrikelnummer, Familienstand, Telefonnummer, Mailadresse, Beurteilungen, Zeugnisnoten und Bilder sowie biometrische Daten der Person.
Bestimmte personenbezogene Daten genießen besonderen Schutz. Das können folgende Angaben sein: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten wie die Krankmeldung und eine Behinderung. Diese Daten dürfen entweder gar nicht verarbeitet werden oder es werden besondere Auflagen für die Verarbeitung gemacht.

Verarbeitung

Die Verarbeitung personenbezogener Daten ist jeder Vorgang oder jede Vorgangsreihe mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO) und zwar über den gesamten „Lebenszyklus“ von Daten, z.B. die Erhebung, Speicherung, Nutzung, Weitergabe, Übermitteln, Anonymisierung, Löschung. Im Zweifel liegt eine Datenverarbeitung vor und der Datenschutz ist zu beachten.

 

Die DSGVO definiert denjenigen als Verantwortlichen, der über die Zwecke und Mittel einer Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Dies ist zunächst die HCU, als Körperschaft des öffentlich Rechts, die durch ihren Präsidenten nach außen rechtlich vertreten wird. Aufgabe des Verantwortlichen (hier: die HCU) ist dafür sorgen, dass die DSGVO umgesetzt und eingehalten wird.

Folgende Konstellationen sind zu beachten:

• Für alle administrativen Verarbeitungen (z.B. in Verwaltung) ist die HCU verantwortlich. Innerhalb der HCU liegt die Beachtung des Datenschutzes bei den Fachverantwortlichen. Wobei es auch möglich ist, dass die Verantwortung geteilt wird.
• Mitarbeitende können persönlich zur Verantwortung gezogen werden, wenn Sie personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeiten oder durch unrichtige Angaben erschleichen und hierbei gegen Entgelt oder in der Absicht handeln, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 26 HmbDSG, Straftat). Nach § 27 HmbDSG kann zudem ein Bußgeld gegen die Person verhängt werden, wenn diese personenbezogene Daten für andere Zwecke verarbeitet, als für die sie übermittelt wurden (Ordnungswidrigkeit).
• Für die Forschung gilt, dass auch hier die datenschutzrechtlichen Bestimmungen beachtet und umgesetzt werden müssen. Die datenschutzrechtliche Verantwortlichkeit muss für jedes Vorhaben gesondert geprüft werden.
• Bei studentischen Prüfungs- und Studienleistungen liegt die Verantwortung für den Datenschutz grundsätzlich beim Studierenden.
• Die Studierendenschaft ist eine rechtsfähige Gliedskörperschaft der Hochschule. Sie nimmt ihre Angelegenheiten selbst wahr und ist für die Einhaltung der Rechten und Pflichten der DSGVO selbst verantwortlich.

Ein Irrglaube der an den Hochschulen weit verbreitet ist: Öffentliche Stellen (und damit auch die Hochschulen) sind durch das Hamburgische Datenschutzgesetz von der Bußgeldandrohung der DSGVO zwar ausgenommen (§ 24 Abs. 3 HmbDSG), allerdings gibt es über das Bußgeld hinaus weitere Reaktionsmöglichkeiten, die der Aufsichtsbehörde gegenüber einer Hochschule zur Verfügung stehen und sogar kumulativ Anwendung finden können. Art. 58 Abs. 2 DSGVO nennt zehn Abhilfebefugnisse, unter anderem Warnungen, Verwarnungen, Anweisungen, Beschränkungen, Anordnungen bis hin zum Widerruf von Zertifizierungen. Die Abhilfebefugnisse variieren nach Schwere und Dauer des Verstoßes. Somit kann auch eine Hochschule vor enormen Problemen stehen.

Nimmt die HCU aber am Wettbewerb teil, kann eine Geldbuße vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhängt werden. Dieser Umstand ist im Einzelfall zu begutachten. 

Des Weiteren kann gegen die HCU ein Schadenersatzanspruch (Art. 82 DSGVO) geltend gemacht werden, sofern jemandem ein finanzieller Schaden durch die Datenschutzverletzung der Hochschule entsteht. Im Rahmen des Arbeits- und Dienstrechts kann die Hochschule intern die verfahrens-/ fachverantwortliche Person in Regress nehmen.

Abgesehen davon kann die HCU auch durch einen sorglosen Umgang mit personenbezogenen Daten zu massiven Reputationsschäden herangezogen werden.

 

Die Verantwortlichkeiten an der HCU:

1. Hochschulleitung/Präsidium: Die Hochschulleitung trägt die Gesamtverantwortung für die Einhaltung des Datenschutzes. Sie trägt durch ihre Entscheidungen dem Organisationsziel Rechnung und stellt im Rahmen der bereitgestellten Haushaltsmittel die erforderlichen finanziellen, personellen und zeitlichen Ressourcen für die Umsetzung des Datenschutzes zur Verfügung. Die Hochschulleitung trägt dafür Sorge, dass Mitglieder und Angehörige der HCU durch Informationsangebote oder Schulungen für den Datenschutz und die Sicherheit personenbezogener Daten sensibilisiert werden.
2. Datenschutzkoordination: Um den Datenschutz an der HCU flächendeckend umzusetzen, gibt es eine Datenschutzkoordination. Im Auftrag der Hochschulleitung stimmt die Datenschutzkoordination die Maßnahmen, die zur Einhaltung des Datenschutzes und der darüberhinausgehenden gesetzlichen Regelungen, ab. Die Datenschutzkoordination ist daher mit der Entscheidungs- und Vollzugskompetenz in datenschutzrechtlichen Belangen ausgestattet. Anfragen an die Datenschutzkoordination richten Sie bitte unter: hcu-datenschutz@vw.hcu-hamburg.de. Die Datenschutzkoordination wird derzeit komissarisch vom Präsidialbüro (Referentin der Kanzlerin) übernommen. Künftig wird die Datenschutzkoordination an das Referat Personal und Recht angegliedert.
3. MMKH: Das Multimedia Kontor Hamburg unterstützt die HCU bei der Einhaltung der gesetzlichen Vorgaben zum Datenschutz. Das bedeutet, die Beschäftigten der HCU werden durch das MMKH durch datenschutzrechtliche Schulungen sensibilisiert und erhalten bei datenschutzrechtlichen Einzelanfragen Unterstützung.
4. Behördliche Datenschutzbeauftragte: Der externe Datenschutzbeauftragte der HCU ist die Firma Datenschutz Nord office(at)datenschutz-nord.de. Der externe Datenschutbeauftragte wird bei übergreifenden Datenschutzthemen, wie Datenpannen (Datenschutzverletzung), Betroffenenanfragen sowie insbesondere dem Beschäftigtendatenschutz herangezogen.
5. Fachverantwortliche/Führungskräfte: Jede Führungskraft trägt, ausgehend von der fachlichen Verantwortung, die Verantwortung für den Datenschutz in ihrem Aufgabenbereich. Führungskräfte übernehmen eine Vorbildfunktion und sind im Hinblick auf den Datenschutz dafür verantwortlich, Maßnahmen in ihrem Bereich umzusetzen, aufrecht zu erhalten und bei Bedarf an neue rechtliche, technische und organisatorische Gegebenheiten anzupassen. Durch Informationen und Schulungen des MMKH können Führungskräfte zur datenschutzrechtlichen Sensibilisierung der Beschäftigten beitragen.
6. Beschäftigte an der HCU: Die Beschäftigten nehmen die angebotenen Informations- und Schulungsangebote wahr und verarbeiten personenbezogenen Daten nur im Rahmen der ihnen übertragenen Aufgaben. Sie achten darauf, dass nur Berechtigte auf die von ihnen verwalteten personenbezogenen Daten Zugriff haben. Sie haben Regelverletzungen oder Sicherheitslücken unverzüglich dem Vorgesetzten, der Datenschutzkoordination mitzuteilen.

Alle Beschäftigten haben im Rahmen ihres Beschäftigtenverhältnisses den Datenschutz im Arbeitsalltag zu berücksichtigen. Hier ein paar einfache Regeln, die helfen, ein Mindestmaß an Datenschutz im Arbeitsalltag zu gewährleisten:

• Beim Verlassen des Büros den PC sperren und die Tür verschließen (Sperren geht auf Windows Rechnern  am schnellsten mit der Tastenkombination „Windows-Taste“ + „L“)
• Schlüssel zum Büro, Schreibtisch usw. sicher verwahren
• Schlüssel nicht mit Aufschriften oder Anhängern kennzeichnen, aus denen hervorgeht, zu welchem Schloss diese passen
• Unterlagen mit personenbezogenem Inhalt bei Abwesenheit unter Verschluss halten (Schrank statt auf dem Schreibtisch)
• Besucher sollten keine „fremden“ personenbezogenen Daten zur Kenntnis nehmen können, darauf ist zu achten.
• keine Papier-Fehlkopien mit personenbezogenem Inhalt in den Papierkorb entsorgen
• Follow Me Printing wird empfohlen
• Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt sammeln und alsbald vernichten (Schredder bzw. Aktenvernichtung – dabei sind die Aufbewahrungsfristen zu beachten)
• keinem Unbefugten Zugriff auf Ihren Arbeitsplatz-PC und Fachanwendungen gewähren
• darauf achten, dass der Bildschirm so ausgerichtet ist, dass ein Unbefugter/Besucher die Daten auf dem Bildschirm nicht lesen kann
• Anmeldenamen und Passwort nicht weiter geben
• passwortgeschützte Bildschirmschoner einsetzen
• Passwörter sorgfältig auswählen, geheim halten und nicht aufschreiben
• nur die personenbezogenen Daten verarbeiten, die für die jeweilige Aufgaben benötigen werden
• regelmäßig prüfen, welche Daten nicht mehr benötigen werden und diese dann löschen
• möglichst keine personenbezogenen Daten auf der lokalen Festplatte des PCs speichern
• personenbezogene Daten nur dann auf Datenträger (CD-ROMs, USB-Sticks etc.) kopieren, wenn dies unumgänglich ist
• Datenträger (CD-ROMs, USB-Sticks usw.) verschlossen aufbewahren
• „alte“ oder defekte Datenträger (Disketten, CD-ROMs, USB-Sticks usw.) nicht einfach wegwerfen, sondern diese ordnungsgemäß entsorgen
• die Standardsoftware nicht dazu benutzen, Eigenentwicklungen ohne Genehmigung zu programmieren
• keine private Software oder private Datenträger mitbringen
• keine unbekannten zusätzlichen Rechner (mobile oder stationäre) an das Netzwerk anschließen
• personenbezogene Daten niemals unverschlüsselt per E-Mail versenden
• nicht mehr benötigte Emails löschen (auch aus dem „Papierkorb“ des E-Mail-Programmes)

 

Folgende Aspekte muss bei jeder Verarbeitung von personenbezogenen Daten berücksichtigt werden:

• Die Verarbeitung benötigt eine Rechtsgrundlage.
• Es müssen die weiteren Grundsätze für die Verarbeitung von personenbezogenen Daten erfüllt werden.

Neben der Rechtmäßigkeit gehören zu den Grundsätzen für die Verarbeitung von personenbezogenen Daten noch die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht.

Wie dieses Paket aus Grundsätzen im Rahmen einer Verwaltungstätigkeit, eines Forschungsprojektes oder eines anderen Anlasses an der HCU berücksichtigt werden kann, zeigen die folgenden Punkte.

(1) Informationspflichten

Zum Zeitpunkt der Verarbeitung von Daten sind betroffene Personen entsprechend des Art. 12 ff. der DSGVO zu informieren. Die Datenschutzerklärung einer Webseite hat zum Beispiel in erster Linie das Ziel, dieser Informationspflicht nachzukommen.

Tipp: Worüber informiert werden muss und wie dieser Verpflichtung bestmöglich nachgekommen werden kann, finden sie hier: https://hh-datenschutz.de/infothek

(2) Rechtsgrundlage

Eine zulässige Verarbeitung kann durch eine Einwilligung oder eine gesetzliche Rechtsgrundlage vorliegen.

Einwilligung

Die Verarbeitung kann auch durch eine freiwillige Einwilligung von Betroffenen möglich werden (bspw. zur Aufzeichnung von Videokonferenzen, Newsletter oder bei Forschungsvorhaben). Die Einwilligung ist an konkrete Vorgaben aus der DSGVO gestützt.

Tipp: Eine Mustereinwilligungserklärung existiert nicht. Da ein Muster kaum für alle Fälle eindeutig verfasst werden kann. Unter dem folgenden Link ist eine kurze Anleitung zu finden, damit eine Einwilligungserklärung datenschutzfreundlich gelingen kann: https://hh-datenschutz.de/infothek

Gesetzliche Rechtsgrundlage

Ein großer Teil der Verarbeitung personenbezogener Daten an der HCU erfolgt allerdings nicht aufgrund einer erteilten Einwilligung, vielmehr ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 Buchstabe e DSGVO). Die öffentliche Aufgabe wird hier durch §§ 3, 4 HmbHG definiert. Weitere Regelwerke wie dem Hamburgischen Datenschutzgesetz (HmbDSG), den Satzungen der HCU, oder Regelungen aus dem Landesbeamtengesetz, Tarifverträgen oder Dienstvereinbarungen und/oder Dienstanweisungen können hier gesetzliche Rechtsgrundlagen darstellen.

Tipp: Fragen zur Rechtsgrundlage können Sie an hcu-datenschutz(at)vw.hcu-hamburg.de richten.

(3) Verzeichnis von Verarbeitungstätigkeiten - VVT

Die DSGVO verpflichtet den Verantwortlichen dazu, eine Dokumentation und Verfahrensübersicht über die Verarbeitung von personenbezogenen Daten, die an der HCU erfolgen, zu führen. In diesem „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) müssen alle wesentlichen Angaben über die Datenverarbeitung aufgeführt werden. Beispiele für dokumentationswürdige Verarbeitungstätigkeiten sind

• Verwaltung von Studierendendaten
• Immatrikulationsprozess
• Prüfungsverwaltung
• Forschungsdatenerhebung
• Verwaltung von Daten der Ausleihenden für Geräte im Fachbereich
• Verwaltung der Nutzerkonten der Hochschulbibliothek
• Verabschiedung von Absolvent*innen
• Teilnehmende an einem Kurs (insbesondere Teilnehmerverwaltung, Zusendung von Teilnamebescheinigungen, Auswertung der Teilnahme etc.)
• Teilnehmende an einer Exkursion
• Personalaktenführung

(4) Frühes Einbinden des/der Datenschutzkoordinator*in oder eines Multiplikators

Die Datenschutzkoordination der HCU ist frühzeitig, d.h. bereits bei der Planung eines Einsatzes einer neuer Verarbeitungstätigkeit miteinzubeziehen. Dadurch können datenschutzrechtliche Aspekte von Anfang an berücksichtigt werden, wie z.B.

• bei der Verarbeitung "besonderer Kategorien" personenbezogener Daten lt. Art. 9 DSGVO (dies sind z.B. Gesundheitsdaten, Daten über politische Meinungen, ethnische Herkunft, biometrische Daten, ...)
• bei dem Umgang mit großen Mengen an personenbezogenen Daten oder
• wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen könnte.

Daher Mail an: hcu-datenschutz(at)vw.hcu-hamburg.de

Sollte es zu einer Datenschutzpanne (Datenschutzverletzung) kommen, ist die HCU dazu verpflichtet, diese Panne der Datenschutzbehörde binnen 72 Stunden zu melden. Es kommt auch in Betracht, dass der Vorfall der betroffenen Person mitgeteilt werden muss, Art. 33, 34 DSGVO.

Beispiele für eine Datenschutzverletzung:

• ein verlorengegangener USB-Stick, unverschlüsselt, sofern personenbezogene Daten enthalten sind
• versendete E-Mail mit falschem Anhang
• liegengelassener Dienstrechner (am Bahnhof/Flughafen/im Bus o.ä.)
• der Versand von E-Mails an einen größeren Empfängerkreis ohne Verwendung der BCC-Funktion
• Entsorgung von vertraulichen Unterlagen/Dokumenten im Papiermüll

Eine Datenpanne ist über diese E-Mail: hcu-datenschutz(at)vw.hcu-hamburg.de mitzuteilen.

Um umgehend die Melde- und Benachrichtigungspflichten einzuhalten werden folgende Angaben benötigt:

• eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen  Personen und Datensätze,
• Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
• eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Die Situation wird bewertet und Sie erhalten eine Rückmeldung.

Die HCU arbeitet eng mit dem MMKH zusammen. Das MMKH bietet Informationen rund um das Thema „Datenschutz in der Hochschule“ und unterstützt die HCU und weitere Hamburger Hochschulen bei allen Fragen rund um das Thema Datenschutz.

Schulungen!

Der Besuch einer Grundlagenschulung im Datenschutz wird allen (neuen) Mitarbeitenden empfohlen. Neben den Grundlagen-Schulungen im Datenschutz bietet das MMKH weitere Schulungen im Hochschulkontext an. Informationen hier: https://www.mmkh.de/schulungen/datenschutz.html

Das Schulungs-Angebot ist kostenfrei.

Tipp: Vertiefende Hinweise und Informationen zum Thema Datenschutz an den Hamburger Hochschulen sind unter: www.hh-datenschutz.de zu finden.

 

Werden Einwilligungserklärungen oder Datenschutzerklärungen für Ihr Projekt oder Ihre Webseite benötigt, finden Sie hier weitere Informationen: www.hh-datenschutz.de

Bitte vor dem finalen Einsatz von Muster und Vorlagen zum Datenschutz diese durch hcu-datenschutz(at)vw.hcu-hamburg.de freigeben lassen.

 

• Die „BCC“ Funktion nutzen! Soweit datenschutzrechtlich geboten, ist die Anonymität der Empfänger*innen durch den Gebrauch der „BCC“-Funktion untereinander zu wahren. Warum? Bei der Angabe vieler Empfangsadressen in einer E-Mail im “An”- oder “CC”-Feld werden zum einen jede einzelnen E-Mail Adresse (name.vorname) allen Empfänger*innen angezeigt. Zum anderen werten einige E-Mailprovider E-Mails mit einer langen Empfängerliste zudem als SPAM und markieren die E-Mail dementsprechend. Daher ist stets darauf zu achten, dass, bei E-Mails, bei denen für die Empfänger nicht von Belang ist, wer diese E-Mail noch erhalten hat, das “BCC”- oder “Blindkopie”-Feld zu verwenden. Die E-Mail lässt sich dann auf Empfangsseite auch häufig kompakter darstellen. Bei einer Vielzahl externer Empfängerinnen und Empfängern ist stets die “BCC”-Funktion zu verwenden
• Keine Mails an private Mails weiterleiten! Keine automatisierte Weiterleitung von dienstlichen Mails an private Mailaccounts. Warum? Im dienstlichen Kontext gefährdet die Verarbeitung dienstlicher E-Mails in privaten Mailboxen eindeutig die Vertraulichkeit des E-Mailinhaltes. Außerdem besteht die Gefahr, dass Dienstgeheimnisse über einen solchen Kanal abfließen
• Vorsicht bei: "Antwort an alle"
• Betreff möglichst neutral halten und keine Angaben zu Personen

Hin und wieder werden auf Webseiten externe Links eingebunden. Folgen Sie einem externen Link, werden Sie auf sog. Drittinhalte weitergeleitet. Dabei werden Daten von Ihrem Computer an Server des Anbieters der verlinkten Inhalte übertragen. Die HCU hat keinen Einfluss darauf, dass der Betreiber der externen Webseite die Datenschutzbestimmungen einhalten. Das passiert auch, wenn Sie in einer E-Mail aufgefordert werden, an einer Umfrage teilzunehmen oder zu einer Veranstaltung eingeladen werden, für die vorab eine Onlineregistrierung notwendig ist. Klicken Sie hier den in der E-Mail eingebunden Link an, werden Sie auf eine externe Seite weitergeleitet. An dieser Stelle werden aber nicht nur Daten von Ihrem Computer an den Server des Anbieters der externen Seite weitergeleitet, zusätzlich geben Sie meist noch weitere personenbezogene Daten bei dem Befüllen der Formularfelder preis. Werden hierfür auch noch Tools wie Google Forms verwendet,  besteht das Risiko einer Datenübermittlung in die USA, einem unsicheren Drittstaat. Nutzen Sie bitte weder Google Forms noch Google Docs oder Google Drive für personenbezogene Daten!

Um Risiken der HCU gering zu halten und um Klarheit über die Verantwortung darzustellen, gilt daher: Kennzeichnen Sie bitte alle externen Links deutlich und nutzen für die Abwicklung von Umfragen oder für die Veranstaltungsorganisation Tools die über das Rechenzentrum der HCU laufen.

Sind Beschäftigte krankheitsbedingt abwesend, ist es häufig notwendig, Kolleginnen und Kollegen über die Abwesenheit zu informieren, da Umorganisationen im Team oder die Übernahme von Aufgaben erforderlich sein können.

Krankheitsdaten sind besonders schützenswerte Daten und müssen deshalb auch besonders sensibel behandelt werden. Bei der Kommunikation im Team über den krankheitsbedingten Ausfall ist daher besondere Achtsamkeit gefragt.

Hierbei sollten insbesondere Vorgesetzte folgendes beachten:

• Abwesenheit sollte intern (im Referat, in der Arbeitsgruppe) nur kommuniziert werden, wenn es dienstlich notwendig ist - was wahrscheinlich in den meisten Fällen der Fall ist. Ob ein Beschäftigter krank, auf Kur oder im Urlaub ist, sollte zumindest nicht von der Leitung kommuniziert werden.
• Die voraussichtliche Länge der Abwesenheit darf - falls dienstlich notwendig - kommuniziert werden.
• Wird die Abwesenheit z.B. in gemeinsame Kalender eingetragen, so sollten wegen der Speicherung der Daten die Hinweise für Personalverwaltungssysteme berücksichtigt werden,
• Werden Abwesenheiten durch Aushang am Büro kommuniziert (um z.B. auch Publikumsverkehr zu informieren), so ist auch hier der Grund der Abwesenheit nicht zu nennen.
• Was die betroffenen Beschäftigten selbst an die Kolleg*innen kommunizieren, unterliegt der eigenen Verantwortung.

Je nach dem sozialen Gefüge im Team können diese Regelungen übertrieben wirken, gerade wenn das Team untereinander sehr offen auch über Krankheiten spricht. Dennoch kann nie davon ausgegangen werden, dass alle Teammitglieder eine offene Einstellung zum lockeren Umgang mit Krankheitsdaten teilen (z. B. beim Vorliegen einer schweren Erkrankung).

Tipp: Die Kommunikation bei Abwesenheit zwischen Vorgesetzten und Teammitgliedern sollte im Vorfeld geklärt werden. Vorgesetzte sind auf die Einhaltung der Regelungen und auf einen vertraulichen Umgang mit Krankheitsdaten verpflichtet.

Im Zusammenhang mit der DSGVO wird oft gefragt, wie ein korrektes Impressum auszusehen hat. Sofern die Webseite an der HCU gehostet wird, bitte das Impressum unter der Berücksichtigung folgender Punkte einbinden:

Erreichbarkeit des Impressums: Die Platzierung des Impressums ist genauso wichtig wie die inhaltliche Gestaltung. Es ist darauf zu achten, dass der Webseitennutzer das Impressum schnell findet und immer aufrufen kann.

Inhaltliche Gestaltung: Im Sinne des § 5 des TMG (Telemediengesetz) sind für die HCU folgende Angaben aufzuführen:

---

Adresse und Postanschrift
HafenCity Universität Hamburg
Henning-Voscherau-Platz 1
20457 Hamburg

Telefon +49 (0)40 42827-5354/-5355
Telefax +49 (0)40 4273-11564

E-Mail: infothek(at)hcu-hamburg.de

Rechtsform
Körperschaft des öffentlichen Rechts

Gesetzlicher Vertreter
Präsident Prof. Dr. Jörg Müller-Lietzkow

Zuständige Aufsichtsbehörde
Behörde für Wissenschaft, Forschung, Gleichstellung und Bezirke (BWFGB)
Hamburger Straße 37
22083 Hamburg

Umsatzsteuernummer
DE256502509

Inhaltlich Verantwortliche
Für die Richtigkeit und Aktualität der Inhalte sind die jeweiligen Erstellerinnen und Ersteller der einzelnen Seiten verantwortlich.
E-Mail: hcu-kommunikation(at)vw.hcu-hamburg.de

Herausgeber (Verantwortlich für den Inhalt gem. § 18 MStV):
[Vorname, Nachname]
[Dienstanschrift]
[E-Mailadresse]

---

Tipp: Achtung, die Angabe des Herausgebers/Herausgeberin ist für jede Einrichtung individuell anzupassen! Es handelt sich um eine erforderliche Zusatzangabe, die vor allem bei journalistisch geprägten Angeboten notwendig ist. Hier ist die inhaltlich verantwortliche Person zu nennen.

Wichtig: Denken Sie bitte daran, dass wenn Sie eine Website für ein Projekt (z.B. im Rahmen eines Drittmittelvorhabens) einrichten müssen, dies nur in Abstimmung mit dem Team Kommunikation erfolgen darf. Bitte stimmen Sie sich daher mit dem Team Kommunikation entsprechend ab: hcu-kommunikation(at)vw.hcu-hamburg.de

Soziale Medien sind auch aus dem Hochschulbereich nicht mehr wegzudenken. Sie dienen den Hochschulen als Informationskanäle und zum gegenseitigen Austausch von Meinungen unter Studierenden, Lehrenden und Mitarbeitern. Bei der Einrichtung sind folgende Aspekte zu beachten:

Social Plugins/Social Sharing Buttons:

Das direkte Einbinden eines solchen Social Plugins/Social Sharing Buttons ist datenschutzrechtlich problematisch, da schon bei dem Besuch einer Webseite, die diesen Button enthält, personenbezogene Daten des Besuchers (z. B. die IP-Adresse, Browserversion etc.) an die Betreiber von sozialen Netzwerken (in der Regel immer bei Facebook, Google) übermittelt werden.

Die Datenübermittlung erfolgt sogar unabhängig davon, ob der Nutzer auf den „Gefällt-Mir-Button“ geklickt hat oder nicht. Das bedeutet am Ende, dass auch diejenigen Nutzer ihre Daten übermitteln, die selbst gar keinen Account bei Facebook und Co. besitzen. Die HCU ist datenschutzrechtlich verantwortlich für das Einbinden von Social Plugins auf ihren Internetseiten. Das bedeutet, dass sie die Nutzer vollumfänglich über Art, Zweck und Umfang der Verarbeitung ihrer personenbezogenen Daten zu informieren hat. Diese Pflicht wird die HCU jedoch kaum erfüllen können, da die Betreiber der sozialen Netzwerke genau darüber weder ausreichende noch vollständig verlässliche Informationen preisgeben.

Bei dieser Sachlage wäre das Einbinden eines Social Plugins nicht datenschutzkonform und somit unzulässig. Aus diesem Grund verzichtet die HCU generell auf das Einbinden von Social Plugins. Als datenschutzfreundliche Alternative kann – beispielsweise über ein Facebook-Icon – ein externer Link gesetzt werden, der dann auf die entsprechende „Fanseite“ verweist.

Datenschutzerklärung und Impressum:

Die allgemeine Impressumspflicht nach dem TMG gilt auch für öffentliche „Fanseiten“ auf Facebook (o. ä. sozialen Netzwerken). Ein fehlendes oder unvollständiges Impressum kann Konsequenzen nach sich ziehen. Auch eine Datenschutzerklärung muss vorhanden sein.

Ob papiergebundene oder webbasierte Umfragen, auch hier muss der Datenschutz beachtet werden.

• Wenn möglich, konzipieren Sie Ihre Befragung so, dass diese von vornherein (wirklich) anonym ist bzw. die erhobenen Daten unmittelbar wirksam anonymisiert werden.
• Wenn Sie eine anonyme Befragung beabsichtigen: Achten Sie darauf, dass Sie die Antwortmöglichkeiten für Ihre Fragen nicht so detailliert ausführen, dass eine anonyme Beantwortung dadurch gefährdet wird. Fragen Sie also z.B. nicht nach dem genauen Geburtsdatum, wenn das Geburtsjahr (oder eine Spanne von Geburtsjahren) für Ihren Forschungszweck ausreichen würde. Prüfen Sie kritisch, ob sich bei Betrachtung der Gesamtheit Ihrer Fragen evtl. eine zu kleine Gruppe mit gleichen Antworten ergeben könnte (das sollte nicht passieren).
• Bei der Nutzung von Web-basierten Umfrage-Tools werden in der Regel bereits beim Aufruf der Fragebogenseite die IP-Adresse der Teilnehmer*innen an den Befragungsdienstleister übermittelt. Nutzen Sie daher die Möglichkeiten, die die HCU anbietet. Sollten dennoch externe Dienstleister verwendet werden, kontaktiert die Datenschutzkoordination unter hcu-datenschutz(at)vw.hcu-hamburg.de.
• Wenn eine anonyme Befragung nicht möglich ist (z.B., weil eine Längsschnittstudie durchgeführt werden soll oder es einen anderen Grund gibt, aus dem Sie Ihr Forschungsziel nicht mit einer anonymen Befragung erreichen können), greifen die Formalien des Datenschutzes (Informationspflichten, Verarbeitungsverzeichnis, etc.). Wenden Sie sich bitte frühzeitig an die Datenschutzkoordination und informieren Sie sich hier: hh-datenschutz.de/themen/forschung  
• Spezialfall: Befragungen von Kindern oder Jugendlichen müssen gesondert beachtet werden, da hier eventuell das Hamburgische Schulgesetz sowie die Einwilligung der Sorgeberechtigten beachtet werden muss!