Datenschutzrecht

Technische und organisatorische Maßnahmen

Die umfassende Auseinandersetzung mit elektronischen Lernmanagementsystemen macht die Beschäftigung mit Fragen der technischen und organisatorischen Maßnahmen zur Gewährung von Datensicherheit erforderlich. Nur wenn die gespeicherten personenbezogenen Daten vor unbefugtem Zugriff und unbefugter Kenntnisnahme geschützt sind, kann nämlich dem Grundrecht auf informationelle Selbstbestimmung ausreichend Rechnung getragen werden. Dies hat auch der Gesetzgeber erkannt, und entsprechende Anforderungen an die verantwortlichen Stellen in die verschiedenen Datenschutzgesetze aufgenommen.

Allgemeine Anforderungen an Maßnahmen zur Datensicherheit

Die rechtlichen Anforderungen, die an die Datensicherheit von IT-Managementsystemen an bayerischen Universitäten zu stellen sind, sind in Art. 7 des BayDSG niedergelegt. Hiernach haben öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BayDSG zu gewährleisten (die Universität Passau ist eine öffentliche Stelle i.S.d. BayDSG, da es sich bei ihr um eine der Aufsicht des Freistaates Bayern unterstehende juristische Person des öffentlichen Rechts gem. Art. 2 Abs. 1 BayDSG handelt). Über die Installation von Firewalls und ähnlichen technischen Systemen hinaus, wird dabei auch die Ausrichtung der Arbeitsabläufe am Persönlichkeitsschutz erwartet. Es ist nötig einerseits die Arbeitsabläufe der öffentlichen Stelle und die Abschirmung des Systems nach außen derart zu organisieren, dass nicht autorisierte Zugriffe sowie der Verlust von Daten vermieden werden und die Veränderung von Daten unterbleibt. Andererseits sollen Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Daten und Programmen gewährleistet werden.