Universität Heidelberg: Datenschutzvorfälle (2019)

Eine Auflistung aller durch die Datenschutzbeauftragten der Universität Heidelberg festgestellten Datenschutzverstöße im Jahre 2019.

Ich bitte Sie, diese mit folgenden Informationen aufzuführen: Datum, Aktenzeichen, Schwere des Verstoßes, kurze Beschreibung des Verstoßes (ggf. anonymisiert), getroffene Maßnahmen zur künftigen Vermeidung ähnlicher Verstöße.

Falls erforderlich, bitte ich darum, die Informationen bei den Fachbereichen, Fächern und weiteren Einrichtungen beziehungsweise ihren Datenschutzbeauftragten einzuholen.

Ergebnis der Anfrage

a) Vorgangszeichen SDS–100-0001. Diese Verletzung des Schutzes personenbezogener Daten wurde von der vormaligen Datenschutzbeauftragten am 23. Mai 2019 zur Kenntnis genommen. Die Malware Emotet durchsuchte das E-Mailkonto eines Beschäftigten nach Beteiligten an Korrespondenz und Betreff, verfasste eine Schad-E-Mail und versendete diese an Beteiligte der Korrespondenz.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählen der Austausch des befallenen Rechners und eine Anzeige bei der Polizei. Darüber hinaus informiert das Universitätsrechenzentrum intern über Gefahrenquellen für die IT- bzw. Informationssicherheit. Die Spam- und Virenfilter der E-Maillandschaft werden seitens des Universitätsrechenzentrums engmaschig aktualisiert.

b) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 19. September 2019 zur Kenntnis genommen. Es bestand die Möglichkeit der Offenlegung personenbezogener Daten - ohne nachweisbaren Verletzungserfolg - wegen verschlossener, jedoch nicht abgeschlossener, in einem Untergeschoss befindlicher Container zur datenschutzkonformen Entsorgung von Dokumenten.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählen: die Erteilung von Hinweisen an die zuständige Fachabteilung; der an das Entsorgungsunternehmen gerichtete Hinweis, Datenschutzcontainer bei deren Stellung gesondert auf Verschlossenheit zu kontrollieren; die Sensibilisierung von Beschäftigten, welche die gegenständlicher Container im relevanten Zeitraum vornehmlich genutzt haben, in Bezug auf den Umgang mit der datenschutzkonformen Entsorgung von Dokumenten nebst Hinweis, die Datenschutzcontainer auf deren Verschlossenheit zu überprüfen; die Neuvergabe der datenschutzkonformen Entsorgung von Dokumenten und Datenträgern an einen neuen Auftragnehmer/Auftragsverarbeiter.

c) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 28. Oktober 2019 zur Kenntnis genommen. Auf der Lernplattform Moodle einer Fakultät der Universität Heidelberg war eine Liste mit Klarnahmen, zugeordneten Matrikelnummern sowie vorgegebenen Seminar- bzw. Praktikumsgruppen der Studierenden des ersten Fachsemesters eines Studiengangs abrufbar.
Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen.
Zu den getroffenen Maßnahmen zählt der gesonderte Hinweis der Fakultät an ihre Dozentinnen und Dozenten, bei der Verarbeitung personenbezogener Daten die Bestimmungen des Datenschutzes mit größter Sorgfalt zu beachten und insbesondere derartige Listen auf keinen Fall zu veröffentlichen.

Anfrage erfolgreich

  • Datum
    15. Dezember 2020
  • Frist
    19. Januar 2021
  • Ein:e Follower:in
Julian Pascal Beier
Antrag nach dem LIFG/UVwG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: Eine Auflistun…
An Universität Heidelberg Details
Von
Julian Pascal Beier
Betreff
Universität Heidelberg: Datenschutzvorfälle (2019) [#206378]
Datum
15. Dezember 2020 11:57
An
Universität Heidelberg
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem LIFG/UVwG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Eine Auflistung aller durch die Datenschutzbeauftragten der Universität Heidelberg festgestellten Datenschutzverstöße im Jahre 2019. Ich bitte Sie, diese mit folgenden Informationen aufzuführen: Datum, Aktenzeichen, Schwere des Verstoßes, kurze Beschreibung des Verstoßes (ggf. anonymisiert), getroffene Maßnahmen zur künftigen Vermeidung ähnlicher Verstöße. Falls erforderlich, bitte ich darum, die Informationen bei den Fachbereichen, Fächern und weiteren Einrichtungen beziehungsweise ihren Datenschutzbeauftragten einzuholen.
Dies ist ein Antrag auf Aktenauskunft nach § 1 Abs. 2 des Landesinformationsfreiheitsgesetzes (LIFG), nach § 25 des Umweltverwaltungsgesetzes (UVwG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an. Ich verweise auf § 7 Abs. 7 LIFG/§243 Abs. 3 UVwG/§ 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Julian Pascal Beier Anfragenr: 206378 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/206378/ Postanschrift Julian Pascal Beier << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Julian Pascal Beier
Universität Heidelberg
Sehr geehrter Herr Beier, Ihre Anfrage ist eingegangen. Diese wurde an die zuständige Fachabteilung weitergeleite…
Von
Universität Heidelberg
Betreff
AW: Universität Heidelberg: Datenschutzvorfälle (2019) [#206378]
Datum
15. Dezember 2020 16:41
Status
Warte auf Antwort
Sehr geehrter Herr Beier, Ihre Anfrage ist eingegangen. Diese wurde an die zuständige Fachabteilung weitergeleitet. Viele Grüße
Universität Heidelberg
Sehr geehrter Herr Beier, die Universität Heidelberg beantwortet den Antrag auf Informationszugang nach dem Landes…
Von
Universität Heidelberg
Betreff
Universität Heidelberg: Datenschutzvorfälle (2019) [#206378]
Datum
26. Januar 2021 15:39
Status
Anfrage abgeschlossen
Sehr geehrter Herr Beier, die Universität Heidelberg beantwortet den Antrag auf Informationszugang nach dem Landesinformationsfreiheitsgesetz wie folgt: Vorbemerkung: Unter Datenschutzverstoß wird nachfolgend eine Verletzung des Schutzes personenbezogener Daten gem. Art. 4 Nr. 12 Datenschutz-Grundverordnung (DS-GVO) verstanden, die i. S. d. Art. 33 Abs. 1. S. 1 DS-GVO zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt und der zuständigen Aufsichtsbehörde gemeldet werden muss. Im Jahr 2019 wurden vom Datenschutzbeauftragten der Universität Heidelberg bzw. seiner Vorgängerin diese Verletzungen des Schutzes personenbezogener Daten im o.g. Sinne festgestellt: a) Vorgangszeichen SDS–100-0001. Diese Verletzung des Schutzes personenbezogener Daten wurde von der vormaligen Datenschutzbeauftragten am 23. Mai 2019 zur Kenntnis genommen. Die Malware Emotet durchsuchte das E-Mailkonto eines Beschäftigten nach Beteiligten an Korrespondenz und Betreff, verfasste eine Schad-E-Mail und versendete diese an Beteiligte der Korrespondenz. Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen. Zu den getroffenen Maßnahmen zählen der Austausch des befallenen Rechners und eine Anzeige bei der Polizei. Darüber hinaus informiert das Universitätsrechenzentrum intern über Gefahrenquellen für die IT- bzw. Informationssicherheit. Die Spam- und Virenfilter der E-Maillandschaft werden seitens des Universitätsrechenzentrums engmaschig aktualisiert. b) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 19. September 2019 zur Kenntnis genommen. Es bestand die Möglichkeit der Offenlegung personenbezogener Daten - ohne nachweisbaren Verletzungserfolg - wegen verschlossener, jedoch nicht abgeschlossener, in einem Untergeschoss befindlicher Container zur datenschutzkonformen Entsorgung von Dokumenten. Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen. Zu den getroffenen Maßnahmen zählen: die Erteilung von Hinweisen an die zuständige Fachabteilung; der an das Entsorgungsunternehmen gerichtete Hinweis, Datenschutzcontainer bei deren Stellung gesondert auf Verschlossenheit zu kontrollieren; die Sensibilisierung von Beschäftigten, welche die gegenständlicher Container im relevanten Zeitraum vornehmlich genutzt haben, in Bezug auf den Umgang mit der datenschutzkonformen Entsorgung von Dokumenten nebst Hinweis, die Datenschutzcontainer auf deren Verschlossenheit zu überprüfen; die Neuvergabe der datenschutzkonformen Entsorgung von Dokumenten und Datenträgern an einen neuen Auftragnehmer/Auftragsverarbeiter. c) Vorgangszeichen SDS–100-0003. Diese Verletzung des Schutzes personenbezogener Daten wurde vom Datenschutzbeauftragten am 28. Oktober 2019 zur Kenntnis genommen. Auf der Lernplattform Moodle einer Fakultät der Universität Heidelberg war eine Liste mit Klarnahmen, zugeordneten Matrikelnummern sowie vorgegebenen Seminar- bzw. Praktikumsgruppen der Studierenden des ersten Fachsemesters eines Studiengangs abrufbar. Hinsichtlich der Schwere der Verletzung des Schutzes personenbezogener Daten wird von einem mittleren Risiko für die Rechte und Freiheiten der betroffenen Personen ausgegangen. Zu den getroffenen Maßnahmen zählt der gesonderte Hinweis der Fakultät an ihre Dozentinnen und Dozenten, bei der Verarbeitung personenbezogener Daten die Bestimmungen des Datenschutzes mit größter Sorgfalt zu beachten und insbesondere derartige Listen auf keinen Fall zu veröffentlichen. Mit freundlichen Grüßen

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Julian Pascal Beier
Sehr geehrte<< Anrede >> vielen Dank für die (ausführliche) Antwort. Mit freundlichen Grüßen Julia…
An Universität Heidelberg Details
Von
Julian Pascal Beier
Betreff
AW: Universität Heidelberg: Datenschutzvorfälle (2019) [#206378]
Datum
27. Januar 2021 10:39
An
Universität Heidelberg
Status
E-Mail wurde erfolgreich versendet.
Sehr geehrte<< Anrede >> vielen Dank für die (ausführliche) Antwort. Mit freundlichen Grüßen Julian Beier Anfragenr: 206378 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/206378/ Postanschrift Julian Pascal Beier << Adresse entfernt >> << Adresse entfernt >>