Sämtliche Angriffe auf die IT-Systeme sowie der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorfälle) oder diesbezügliche Verdachtsmomente müssen der Universität gemeldet werden. Hierzu zählen beispielsweise

• Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifern personenbezogene Daten bekannt geworden sein könnten,
• Systemveränderungen oder das Ausspähen von Zugangskennungen (Passwörter) durch die massenhafte Verbreitung von Viren, Malware und Spam-Mails,
• die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt veröffentlicht werden,
• der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zuständigen E-Mail-Verteiler,
• der Verlust eines mobilen Endgeräts (Notebook, Smartphone) oder Datenträgers (USB-Stick), auf dem sich personenbezogene Daten befinden,
• aber auch die unzulässige Veröffentlichung papierbasierter Unterlagen wie namentliche Aushänge von Klausurergebnissen.

Durchführung einer Meldung

• Sollte es zu einem vermeintlichen oder tatsächlichen Informationssicherheitsvorfall − ob beabsichtigt oder unbeabsichtigt − gekommen sein, so füllen Sie bitte das Meldeformular mit sämtlichen bereits bekannten Fakten aus. Das Meldeformular finden Sie unten im Abschnitt Relevante Dokumente.
• Bei Verlust oder Diebstahl eines mobilen Endgeräts oder Datenträgers, auf dem sich personenbezogene Daten befinden, füllen Sie bitte zusätzlich das Formular für Datenträgerverlust aus. Dieses finden Sie ebenfalls unten im Abschnitt Relevante Dokumente.

Ziehen Sie, soweit zeitnah verfügbar, die Leitung und die Datenschutzkoordinatorin oder den Datenschutzkoordinator Ihres Bereichs sowie beteiligte Kolleginnen, Kollegen, Administratorinnen oder Administratoren vor einer Meldung hinzu.

Senden Sie das ausgefüllte Meldeformular per E-Mail an die Adresse vorfall[at]upb[dot]de.

Eine Unterlassung der Meldung ist nur zulässig, wenn sicher bekannt ist, dass der Vorfall bereits von anderen Beschäftigten gemeldet worden ist. Im Zweifel muss immer eine Meldung erfolgen. Informationssicherheitsvorfälle haben Vorrang. Das bedeutet, dass deren Meldung stets dem Tagesgeschäft oder sonstigen aktuellen Arbeiten vorgeht.

Bearbeitung der Meldung durch ein Vorfallteam

Die über dieses Formular abgegebenen Meldungen werden von einem „Vorfallteam“ bearbeitet, dem der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte, der CIO und der Zentrale Datenschutzkoordinator angehören. Das Team prüft und bewertet den Vorfall. Dazu können Rückfragen an die meldende Person oder die Organisationseinheit gestellt werden. Die Leitung der Organisationseinheit wird kontaktiert oder eingeladen. Ebenso können bei Bedarf weitere Personen hinzugezogen werden, beispielsweise Administrator/-innen, die Systemdetails kennen, oder Sicherheitsexpert/-innen von außerhalb der Universität.

Bestehen mögliche Risiken für die Betroffenen, wird der Vorfall schnellstmöglich (binnen 72 Stunden nach Bekanntwerden) der Aufsichtsbehörde gemeldet. Gegebenenfalls werden auch die betroffenen Personen über die Datenschutzverletzung informiert. Aufgrund der Begründungspflicht gegenüber der Behörde bei einer verspäteten Meldung sollte der Zeitpunkt der Entdeckung immer protokolliert werden.

In jedem Fall wird der Vorfall hochschulintern dokumentiert und die betroffene Organisationseinheit sowie die Hochschulleitung erhalten einen entsprechenden Bericht.

Hintergrund

Die unbefugte Nutzung von sensiblen und/oder personenbezogenen Daten kann negative Folgen für die Universität und/oder die betroffene(n) Person(en) haben.

Im Falle einer „Verletzung des Schutzes personenbezogener Daten“ (Datenschutzverletzung) ist die Universität gemäß Artikel 33 der Europäischen Datenschutzgrundverordnung (DSGVO) verpflichtet, schnell zu reagieren, wirksame Gegenmaßnahmen zu ergreifen und den Vorfall binnen 72 Stunden der zuständigen Aufsichtsbehörde, d. h. der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, zu melden.

Datenschutzverletzungen sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten ermöglichen (vgl. Art. 4 Nr. 12 DSGVO).

Damit die Universität ihrer Meldepflicht gemäß DSGVO fristgerecht nachkommen kann, ist sie darauf angewiesen, von ihren Beschäftigten und Organisationseinheiten über sämtliche Informationssicherheitsvorfälle verlässlich und unmittelbar nach Bekanntwerden informiert zu werden. Unerheblich ist dabei, ob die Vorfälle innerhalb der Universität selbst erkannt, von einem Auftragsverarbeiter gemeldet oder von außen an die Universität herangetragen werden.

Die Universität ist zur Dokumentation von Datenschutzverletzungen einschließlich aller Fakten, deren Auswirkungen und der diesbezüglich ergriffenen Maßnahmen verpflichtet. Der Inhalt dieser internen Dokumentation geht über den Inhalt einer Meldung der Datenschutzverletzung an die Aufsichtsbehörde hinaus.