Datenschutzrichtlinie der ABPU

ALLGEMEINE DATENSCHUTZRICHTLINIE DER ANTON BRUCKNER PRIVATUNIVERSITÄT

Einleitung

Die Anton Bruckner Privatuniversität (ABPU) sammelt Daten, um ihren gesetzlichen Auftrag gemäß § 1 Abs. 1 des Landesgesetzes über die Rechtsstellung des Bruckner-Konservatoriums zum Betrieb einer Privatuniversität, LGBl. Nr. 14/2003, zu erfüllen:

  • Betrieb einer Privatuniversität
  • Förderung des künstlerischen Nachwuchses
  • aktive Mitgestaltung des Kulturlebens in Oberösterreich

Dazu ist es notwendig, Informationen insbesondere über Studienwerber/innen, Studierende, Mitarbeiter/innen und sonstige Kulturinteressierte zu sammeln. Gerade das Sammeln von Daten muss im Zuge der Datenschutzgrundverordnung (DSGVO) stark eingeschränkt werden, sodass nur die notwendigsten Daten (Datenminimierung) eingehoben werden.

Die fahrlässige oder gesetzeswidrige Verwendung kann allerdings zum Verlust von personenbezogenen und anderen vertraulichen Informationen führen. Dies wiederum kann die IT-Sicherheit bedrohen, die Reputation der ABPU gefährden und die Rechte anderer Personen verletzen.
Aus diesem Grund verlangen wir von all unseren Mitarbeiter/innen einen verantwortungsvollen und sorgfältigen Umgang mit all unseren Daten und IT-Systemen.

Ziel dieser Richtlinie ist es, Mindeststandards für die Nutzung und den Betrieb festzulegen, sowie die rechtskonforme Verarbeitung von personenbezogenen und vertraulichen Daten sicherzustellen.

Es soll insbesondere sichergestellt werden, dass

  • ausschließlich befugte Mitarbeiter/innen die für ihre Arbeit notwendigen Daten einsehen können,
  • Daten jederzeit ihrem Ursprung zuordenbar sind,
  • festgehalten wird, wer wann welche Daten verwendet und verarbeitet hat und
  • Daten vollständig und aktuell gehalten werden.

Hierbei ist darauf zu achten, dass der Aufwand immer in einem angemessenen Verhältnis zum Schutzzweck zu stehen hat.

Geltungsbereich der Richtlinie

Die hier beschriebene Richtlinie gilt für alle IT-Systeme und Anwendungen (sei es analog oder digital), die personenbezogene und sensible Daten verwenden und verarbeiten.

Unter personenbezogenen Daten werden all jene Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen verstanden. Eine natürliche Person wird identifizierbar, sobald sie direkt oder indirekt, besonders durch Zuordnung von speziellen Merkmalen (Name, Kennnummer, Bankdaten, Geburtsdatum, Adresse, etc), identifiziert werden kann.
Eine besondere Kategorie von personenbezogenen Daten sind die sensiblen Daten. Das sind all jene Informationen, aus denen die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Informationen zur sexuellen Orientierung hervorgehen.

Anweisungen zur Einhaltung des Datenschutzes an der Bruckneruniversität

Folgende Punkte haben ausnahmslos eingehalten zu werden:

  • Alle Arbeitsplätze sind so zu sichern, dass Unbefugte keinerlei Einblick in oder Zugriff auf diese Daten erlangen können. Dies gilt besonders für Arbeitsplätze an denen sensible Daten verarbeitet werden.
  • Monitore und Drucker sind so aufzustellen, das Dritte keinerlei Einsicht nehmen können.
  • Ausdrucke mit sensiblen Daten sind sofort dem Drucker zu entnehmen.
  • Sollten schriftliche Unterlagen nicht mehr benötigt werden, so sind diese so zu vernichten, dass ihr Inhalt nicht mehr lesbar ist (z.B. durch einen Aktenvernichter).
  • Mobile Datenträger sind vor dem Zugriff von Dritten zu verwahren.
  • Datenträger mit sensiblen Daten, die nicht mehr benötigt werden sind so zu löschen, dass keine Daten mehr zugänglich sind.
  • Sensible und schutzwürdige Daten dürfen unter keinen Umständen Unbefugten weitergegeben werden, außer zum jeweiligen rechtskonformen  Verwendungszweck.
  • Alle Mitarbeiter/innen mit Zugang zu sensiblen Daten sind zur Verschwiegenheit angehalten.
  • Auskunftsersuchen sind ausnahmslos über die/den Datenschutzkoordinator/in (datenschutzbruckneruniat) sowie in schriftlicher Form abzuwickeln.
  • Sensible Daten dürfen nur dann übermittelt werden, wenn die Vertraulichkeit sichergestellt werden kann.
  • Es ist dafür Sorge zu tragen, dass ausschließlich befugte Personen Zugang zu sensiblen Daten haben.

Anfragen oder Beschwerden zum Thema Datenschutz werden ausschließlich von der/dem Datenschutzbeauftragten bzw. der/dem Datenschutzkoordinator/in beantwortet. Alle anderen Mitarbeiter/innen antworten auf eine Datenschutzanfrage bzw. -beschwerde wie folgt: 

„Sehr geehrte/r …! 

Vielen Dank für Ihre Anfrage zum Thema Datenschutz an der Anton Bruckner Privatuniversität. Wir halten uns an die gesetzlichen Vorschriften betreffend dem Datenschutz und kommen Ihrem Anliegen gerne nach. Den Mitarbeiter/innen der Anton Bruckner Privatuniversität ist es auf Grund der Datenschutzgrundverordnung (EU-DSGVO) und dem Datenschutzgesetz 2000 in der aktuellen Fassung nicht gestattet, Ihre Anfragen direkt zu bearbeiten. Wir ersuchen Sie, Ihre Anfrage per E-Mail mit einer beigelegten Ausweiskopie an folgende Adresse zu senden: datenschutzbruckneruniat. Wir werden Ihre Anfrage dann entsprechend der gesetzlichen Vorschriften bearbeiten.

Weitere Informationen zum Datenschutz an der Anton Bruckner Privatuniversität erhalten Sie auf der Homepage unter www.bruckneruni.at/datenschutz

Freundliche Grüße,
Name
Signatur“

Nutzung von privaten mobilen Endgeräten

Die ABPU unterstützt die Nutzung privater mobiler Endgeräte der Mitarbeiter/innen in ihrem beruflichen Umfeld.

Bei der Verwendung von privaten mobilen Endgeräten zu beruflichen Zwecken haben alle Mitarbeiter/innen Folgendes zu beachten:

BYOD (Bring Your Own Device):

BYOD/Bring Your Own Device (oder BYOT/Bring Your Own Technology) ist ein Konzept, das Mitarbeiter/innen ermöglicht, ihre persönlichen mobilen Endgeräte (Laptops, Netbooks, Tablets, Smartphones, etc.) am Arbeitsplatz zu verwenden, um auf Informationen, Applikationen oder Services zuzugreifen.

Um ein Minimum an Sicherheit zu bieten, sollte jede/r Mitarbeiter/in sein/ihr elektronisches Gerät entsprechend schützen, insbesondere durch Aktivierung eines PIN-Codes / Passworts / Fingerabdruck-Scans o.ä., um nicht jedem „Finder“ sofort Zugriff auf alle Daten zu erlauben.

Darüber hinaus sollten die Daten regelmäßig gesichert werden. Nähere Informationen und Nutzungsbedingungen zu BYOD enthält die IT-Betriebsvereinbarung (derzeit in Ausarbeitung).

Cloud-Dienste:

Die ABPU bietet ihren Mitarbeiter/innen die Nutzung des Cloud-Dienstes owncloud. Mit ownCloud können Dateien auf den ABPU-eigenen Servern gespeichert werden (On-Premises) und verbleiben somit innerhalb der Europäischen Union. Diese Cloud-Lösung erfüllt alle Anforderungen an die Sicherheit und den Stand der Technik gemäß Art. 32 DSGVO.

Aus diesem Grund ist für berufliche Zwecke ausschließlich der Cloud-Dienst der ABPU zu verwenden.

WhatsApp:

Zur Nutzung der App WhatsApp muss die/der Nutzer/in zuvor einwilligen, dass die App auf alle gespeicherten Kontakte zugreifen kann. Damit werden die Daten im Adressbuch automatisiert an den Mutterkonzern Facebook übermittelt. „Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

Gemäß Art 2 Abs 2 lit c DSGVO sind vom Geltungsbereich die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ausgenommen.

Mitarbeiter/innen, die ihr Handy sowohl privat als auch dienstlich nutzen, wird die Nutzung von WhatsApp im dienstlichen Kontext bis auf Weiteres untersagt. Werden die beruflichen Kontaktdaten mit den Kontaktdaten des Mobiltelefons synchronisiert, dann wird dasselbe nicht mehr ausschließlich privat genutzt. Es werden vorhandene Kontaktdaten von anderen Mitarbeiter/innen und Studierenden potentiell an Drittländer übermittelt (vgl. https://www.whatsapp.com/legal/). Dadurch ist es für den Anbieter möglich, auch die unterschiedlichen Beziehungen der WhatsApp-Nutzer/innen festzustellen.

Als Alternative zu WhatsApp werden folgende (derzeit) rechtlich sicheren Produkte empfohlen:

 E-Mail-Weiterleitung:

Die Möglichkeit einer automatischen Weiterleitung von der geschäftlichen auf die private E-Mail-Adresse erscheint als Vereinfachung für die/den Mitarbeiter/in, da sie/er damit alle notwendigen Mails an einem Ort abrufen kann.

Eine automatische Weiterleitung auf eine private E-Mail-Adresse stellt jedoch eine Datenübermittlung an Dritte dar, da der Anbieter des privaten Accounts in der Regel nicht auch Teil des Unternehmens der Mitarbeiterin / des Mitarbeiters ist. Darüber hinaus kann durch eine solche Übertragung auch eine Übermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau stattfinden, weil z.B. die Server des Dritten dort angesiedelt sind.

Eine solche Übermittlung wäre nur mit der Einwilligung der betroffenen Person (also des Absenders) oder mit einer anderen geltenden Rechtsgrundlage zulässig. Beides liegt regelmäßig nicht vor.

Die Einrichtung einer automatischen Weiterleitung ist daher untersagt.