Erläuterungen zur Dienstanweisung DA I&K-Systeme


1.1 Hintergrund, Zielsetzung

Dienstliche IT-Endgeräte

[...] z. B. PCs, Notebooks, internetfähige Mobiltelefone, Tablet-PCs [...]

Die Aufzählung der Gerätekategorien ist nicht abschließend. Maßgeblich ist, dass es sich um ein von der Universität zur Erfüllung von Dienst- bzw- Arbeitsaufgaben gestelltes Gerät handelt, nicht aber um ein privates Gerät.

1.3 Geltungsbereich

Beschäftigte

[...] alle Beschäftigten [...]

Der personelle Geltungsbereich umfasst alle Beschäftigten, ohne Rücksicht darauf, ob es sich um Arbeitnehmer oder Beamte handelt. Nicht erfasst sind Studierende.

2.1 Allgemeine Grundsätze, Ausnahmen

Software

[...] Software [...]

Gemeint ist kostenpflichtige Software. Die Einschränkung gilt daher nicht für freie Software, bspw. Open-Source-Software.

Speicherung

[...] gespeichert [...]

Eine systembedingte temporäre Speicherung (bspw. im Browser-Cache) gilt nicht als Speicherung. Wird jedoch das dienstliche E-Mail-Konto auf einem privaten Endgerät mittels einer E-Mail-Anwendung abgerufen (z. B. Outlook, Thunderbird, Apple Mail), werden dienstliche Informationen auf dem Gerät gespeichert. Hierzu ist eine Genehmigung nach lit. c) erforderlich.

private IT-Endgeräte

[...] Nutzung privater IT-Endgeräte zur Erfüllung von dienstlichen Aufgaben [...]

Nach einhelliger Empfehlung aller Landesaufsichtsbehörden für den Datenschutz sollte die Nutzung privater Geräte zur Erfüllung von Dienstaufgaben im staatlichen Bereich grundsätzlich untersagt werden (sog. Bring-your-own-device-Problematik - BYOD). Die Universität versucht hier einen Kompromiss, indem BYOD auf Antrag möglich wird, sofern ein dienstliches Interesse nachvollziehbar dargelegt werden kann und die Belange von Datenschutz und Datensicherheit im konkreten Fall nicht entgegenstehen. Vorstellbar ist dies insbesondere in den Bereichen, in denen regelmäßig keine personenbezogenen oder sonstigen vertraulichen oder sensiblen Daten verarbeitet werden.

Auflagen

[...] Auflagen [...]

Auflage könnte bspw. sein, dienstliche Informationen auf einer verschlüsselten Partition oder auf andere geeignete Weise geschützt gegen unbefugten Zugriff Dritter abzulegen. Vorstellbar ist auch eine Befristung, sofern nur ein vorübergehendes dienstliches Interesse besteht.

2.3 Internet / E-Mail / Datenträger

Externe Speicherung

[...] im Einzelfall [...] ausdrücklich gestattet [...]

Von den nachstehenden Regeln müssen in begründeten Fällen Ausnahme zugelassen werden. Hierzu ist ein Antrag über die Account-Verwaltung des URZ zu stellen, vgl. auch Punkt 2.1 c).

personenbezogene Daten

[...] personenbezogene Daten [...]

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten.

sonstige dienstliche Informationen

[...] sonstige dienstliche Informationen [...]

Gemeint sind hier Daten, die rechtlich der Universität zustehen, auf die der Zugriff auch für andere Beschäftigte potentiell möglich sein muss und hinsichtlich derer ein dienstliches Interesse daran besteht, dass Dritte keine Möglichkeit der Kenntnisnahme haben. Das bedeutet umgekehrt, dass ausschließliches geistiges Eigentum einzelner Beschäftigter nicht darunter fällt. Letzteres betrifft vor allem die Hochschullehrer und Qualifizierungsarbeiten von akad. Beschäftigten (Promotion, Habilitation), die nicht Gegenstand der arbeitsvertraglichen Verpflichtung sind. Auch fallen Daten, die ausschließlich Dritten zuzuordnen sind, nicht unter diese Bestimmung.

externe IT-Dienstleister

[...] externen IT-Dienstleistern [...]

Die Speicherinfrastruktur von Dropbox, Amazon u. Ä. liegt oftmals außerhalb des Geltungsbereiches des Datenschutzrechts der EU. Die Auslagerung von personenbezogenen Daten in diesen Bereich ist in der Regel nicht zulässig, wenigstens jedoch hochproblematisch. Da eine Einzelfallprüfung nicht praktikabel ist, kann die Nutzung dieser Cloud-Dienste für personenbezogene Daten nicht gestattet werden.

externe Datenträger

[...] externen Datenträgern [...]

Externe Datenträger können und gehen (häufig) verloren oder werden in einer Weise beschädigt, die zum dauerhaften Verlust der gespeicherten Informationen führt. Eine Speicherung auf IT-Systemen des URZ oder geprüften und freigegebenen Systemen externer Dienstleister birgt dieses Risiko nicht.

externe E-Mail-Konten

[...] universitätsexterne E-Mail-Konten [...]

Gemeint ist jede E-Mail-Adresse, die nicht auf "@ ... uni-greifswald.de" endet.

datenschutzrechtliche Gründe

[...] aus datenschutzrechtlichen Gründen [...]

Die Weiterleitung einer E-Mail ist, sofern diese personenbezogene Daten enthält, als sog. Übermittlung nur dann datenschutzrechtlich zulässig, wenn es hierfür eine Rechtsgrundlage gibt. Eine automatische Weiterleitung birgt als ungeprüfte Übermittlung nach einem Speicherort außerhalb der Universität als verantwortliche datenverarbeitende Stelle also stets die Gefahr, gegen Datenschutzrecht zu verstoßen.

vertrauliche und/oder personenbezogene Daten per E-Mail

[...] vertrauliche und/oder personenbezogene Daten … per E-Mail versenden [...]

Gemeint sind – vereinfacht ausgedrückt – (nur) solche Daten, die in erhöhtem Maße schutzbedürftig sind.

Dies gilt im Regelfall für personenbezogene Daten von Dritten (nicht also eigene), es sei denn, diese Daten sind bereits öffentlich zugänglich (wie z. B. Kontaktinformationen im Internet).

Nicht-personenbezogene Daten sind besonders schutzbedürftig, wenn sie aufgrund von Rechtsvorschriften, vertraglicher Vereinbarung oder besonderer Beschlussfassung als vertraulich anzusehen sind. Vertraulichkeit kann sich auch aus der Natur der Sache ergeben (z. B. herausgehobene Stellung der beteiligten Kommunikationspartner).

Eine eindeutige Bestimmung der von dieser Regelung erfassten Daten kann unter Umständen schwierig sein. Gleichwohl steht den Beschäftigten im Rahmen ihrer gewöhnlichen Arbeitsaufgaben ein eigenes Entscheidungsermessen zu. In Zweifelsfällen von einigem Gewicht sind die Beschäftigten jedoch gehalten sind, den Rat des behördlichen Datenschutzbeauftragten einzuholen.

Im gewöhnlichen Arbeitsalltag – so die Erwartung – sollte sich der Anwendungsbereich der Regelung als recht überschaubar erweisen, einerseits, weil ein großer Teil der dienstlichen E-Mail-Kommunikation intern (und damit stets auf verschlüsseltem Wege) stattfindet, andererseits, weil keine vertraulichen oder personenbezogenen Daten betroffen sind. Vor allem in der alltäglichen wissenschaftlichen Kommunikation wird letzteres oftmals zutreffen.
 
Fällt eine E-Mail-Kommunikation in den Anwendungsbereich der Regelung, ist sie mittels Verschlüsselung gegen unbefugte Kenntnisnahme zu schützen (vgl. dazu die weiteren Hinweise des URZ).

2.4 Besonderheiten für Hochschullehrer/innen

Hochschullehrer

[...] auf Hochschullehrer/innen mit der Maßgabe anzuwenden [...]

Hochschullehrer haben keine Fachvorgesetzten. Auch ist das Personalvertretungsrecht nicht auf sie anwendbar. Aus diesen rechtlichen Besonderheiten resultieren die hier geregelten abweichenden Regelungen.