Als Datenpanne oder Datenschutzverletzung bezeichnet man Unregelmäßigkeiten in der Verarbeitung personenbezogener Daten, die zu einem Risiko für Betroffene führen, z.B.

• Verlust/Diebstahl von USB-Sticks oder anderen Datenträgern/Festplatten
• Verlust/Diebstahl von Smartphones oder anderen (mobilen) IT-Systemen
• Fehlversendung personenbezogener Daten per Briefpost oder E-Mail
• Verlust von Akten
• Malware-Befall von IT-Systemen
• Ausspähen von Zugangsdaten/Passwörtern
• Zugriff oder Diebstahl personenbezogener Daten durch nicht autorisierte Personen (z.B. nach Hacker- oder physischem Einbruch)

Die DS-GVO schreibt die Dokumentation aller Datenschutzverletzungen vor. Wenn Sie vermuten oder wissen, dass personenbezogene Daten unrechtmäßig offengelegt oder verarbeitet wurden, oder ein Risiko dazu besteht, sind Sie verpflichtet, uns einen solchen Vorfall zu melden.

Mit einer zügigen Meldung begrenzen Sie den möglichen Schaden und ermöglichen uns eine angemessene Bewertung und Reaktion innerhalb der vorgeschriebenen Fristen.

Meldung per Mail an: datenpanne@ruhr-uni-bochum.de
Wenn Sie unser S/Mime-Zertifikat in Ihren Mail-Klienten importieren, können Sie uns auch eine verschlüsselte E-Mail zuschicken.

Über unser Kontaktformular können Sie uns auch anonym eine Nachricht zusenden.

Vollständig anonym erreichen uns Ihre Mitteilungen via Hauspost der Ruhr-Universität an:

Stabsstelle für Informationssicherheit der RUB
Geschäftszimmer
Raum GAFO 04/622 | Postfach 137

Zur Bearbeitung des Vorfalls benötigen wir (was, wann, wo):

1. eine kurze Beschreibung dessen, was zu welcher Zeit bemerkt wurde,
2. soweit bekannt, die Angabe, welche Arten personenbezogener Daten in welchem Umfang betroffen sind,
3. optional: Kontaktadresse (E-Mail, Telefon) für Rückfragen. Meldungen können auch anonym erfolgen.

Ihre Meldung wird an die Beauftragte für Informationssicherheit und den Datenschutzbeauftragten der RUB übermittelt. Diese sind zuständig für Meldungen der Ruhr-Universität an die Landesbeauftragte für Datenschutz und Informationssicherheit.

Abhängig von der Art und Schwere der Datenschutzverletzung werden die Betroffenen, die zuständigen dezentralen Beauftragten für Informationssicherheit und Datenschutz und die Leitungen betroffener Einrichtungen benachrichtigt. Zur Abwehr akuter schwerwiegender Störungen und Gefahren werden berechtigte Stellen der Ruhr-Universität unabhängig davon temporär

1. Anwender von der Nutzung der IT-Systeme, dem Netzwerk oder den IT-Dienstleistungen ausschließen,
2. die Internet-Verbindung zu den betroffenen Endgeräten oder Subnetzen unterbrechen.

Die Notmaßnahmen sind auf den Zeitraum beschränkt, in dem die Störung oder Gefahr vorliegt.

Zur Aufklärung von Datenpannen, Beurteilung des Risikos und insbesondere um eine rasche Aufhebung von Sperren zu ermöglichen, ist die Mitwirkung betroffener Beschäftigter und Studierender häufig erforderlich. Für die verschiedenen Datenpannen stellen wir passende Fragebögen zur Bearbeitung einer Datenschutz-Meldung nach Art. 33 DSGVO zur Verfügung:

• Auskunft zu kompromittiertem Account
• Auskunft zu Befall mit Schadsoftware
• Auskunft zu Verlust von IT-Systemen, Datenträgern, Unterlagen und E-Mails

Die üblichen Sicherheitstipps helfen insbesondere auch vor Datenpannen:

• Vorsicht im Umgang mit betrügerischen (Spam-)Mails.
• Malware-Schutz/Antiviren-Software installieren und automatisch aktualisieren.
• Systeme stets aktuell halten (z.B. durch automatische Updates von Betriebssystem und Anwendungen).
• Mobile IT-Systeme wie Laptops, Tablets oder Smartphones stets verschlüsselt betreiben.
• Personenbezogene Daten, die auf mobile Medien (z.B. USB-Sticks) kopiert oder anderweitig transportiert werden, stets verschlüsseln.
• Sorgsam mit den eigenen Zugangsdaten umgehen und sichere Passwörter verwenden.

Besonders sorgsam ist mit den personenbezogenen Daten Anderer umzugehen:

• Bei der Übermittlung ist besonders auf Empfänger und Adressaten achten.
• Personenbezogene Daten löschen, wenn sie nicht mehr gebraucht werden (Wahrung der Datensparsamkeit).

Eine Übersicht technischer und organisatorischer Sicherungsmaßnahmen finden Sie auch in unseren Hinweisen zur PC-Grundsicherung.

• Der Datenschutzbeauftragte an der RUB (Ansprechpartner, Arbeitsmaterialien, weiterführende Informationen)
• Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI)
• Datenschutz-Grundverordnung (DS-GVO) (Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verabeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95>/46/EG)
• Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)
• Häufige Fragen zur DS-GVO
• Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK)
• Informationsplattform der unabhängigen Stiftung Datenschutz