Universität Heidelberg: Datenschutzvorfälle (2019)
Eine Auflistung aller durch die Datenschutzbeauftragten der Universität Heidelberg festgestellten Datenschutzverstöße im Jahre 2019.
Ich bitte Sie, diese mit folgenden Informationen aufzuführen: Datum, Aktenzeichen, Schwere des Verstoßes, kurze Beschreibung des Verstoßes (ggf. anonymisiert), getroffene Maßnahmen zur künftigen Vermeidung ähnlicher Verstöße.
Falls erforderlich, bitte ich darum, die Informationen bei den Fachbereichen, Fächern und weiteren Einrichtungen beziehungsweise ihren Datenschutzbeauftragten einzuholen.
Ergebnis der Anfrage
a) Vorgangszeichen SDS–100-0001. Diese Verletzung des Schutzes personenbezogener Daten wurde von der vormaligen Datenschutzbeauftragten am 23. Mai 2019 zur Kenntnis genommen. Die Malware Emotet durchsuchte das E-Mailkonto eines Beschäftigten nach Beteiligten an Korrespondenz und Betreff, verfasste eine Schad-E-Mail und versendete diese an Beteiligte der Korrespondenz.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählen der Austausch des befallenen Rechners und eine Anzeige bei der Polizei. Darüber hinaus informiert das Universitätsrechenzentrum intern über Gefahrenquellen für die IT- bzw. Informationssicherheit. Die Spam- und Virenfilter der E-Maillandschaft werden seitens des Universitätsrechenzentrums engmaschig aktualisiert.
b) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 19. September 2019 zur Kenntnis genommen. Es bestand die Möglichkeit der Offenlegung personenbezogener Daten - ohne nachweisbaren Verletzungserfolg - wegen verschlossener, jedoch nicht abgeschlossener, in einem Untergeschoss befindlicher Container zur datenschutzkonformen Entsorgung von Dokumenten.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählen: die Erteilung von Hinweisen an die zuständige Fachabteilung; der an das Entsorgungsunternehmen gerichtete Hinweis, Datenschutzcontainer bei deren Stellung gesondert auf Verschlossenheit zu kontrollieren; die Sensibilisierung von Beschäftigten, welche die gegenständlicher Container im relevanten Zeitraum vornehmlich genutzt haben, in Bezug auf den Umgang mit der datenschutzkonformen Entsorgung von Dokumenten nebst Hinweis, die Datenschutzcontainer auf deren Verschlossenheit zu überprüfen; die Neuvergabe der datenschutzkonformen Entsorgung von Dokumenten und Datenträgern an einen neuen Auftragnehmer/Auftragsverarbeiter.
c) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 28. Oktober 2019 zur Kenntnis genommen. Auf der Lernplattform Moodle einer Fakultät der Universität Heidelberg war eine Liste mit Klarnahmen, zugeordneten Matrikelnummern sowie vorgegebenen Seminar- bzw. Praktikumsgruppen der Studierenden des ersten Fachsemesters eines Studiengangs abrufbar.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählt der gesonderte Hinweis der Fakultät an ihre Dozentinnen und Dozenten, bei der Verarbeitung personenbezogener Daten die Bestimmungen des Datenschutzes mit größter Sorgfalt zu beachten und insbesondere derartige Listen auf keinen Fall zu veröffentlichen.
Anfrage erfolgreich
-
Datum15. Dezember 2020
-
19. Januar 2021
-
Ein:e Follower:in
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!