In der DIS-Leitlinie werden die Ziele des Datenschutz- und Informationssicherheits-Managements an der HSD motiviert und formuliert. Die Hochschulleitung übernimmt die Gesamtverantwortung für die Erreichung dieser Ziele und verlangt von den Hochschul-Mitgliedern eine Handlungsweise, die ebenfalls auf diese Ziele ausgerichtet ist. Das DISM wird als das hierfür zu nutzende Management-Framework ("Werkzeug-Kasten") festgelegt. Die Leitlinie enthält bewusst keine operativen Details, diese werden in den weiterführenden Dokumenten des DISM beschrieben. Die Leitlinie enthält auch keine verbindlichen Detailvorschriften zum Umgang mit Daten und Informationen an der HSD. Diese bleiben weiterhin den Hochschul-Ordnungen vorbehalten, die in den relevanten Punkten vom DISM mitgestaltet werden.
Ausführliche Erläuterungen zum DISM an der Hochschule finden sich auf den (internen) DISM-Webseiten.
Die Leitlinie im Wortlaut:
Leitlinie für Datenschutz und Informationssicherheit an der HSD
Inhalt
1 Präambel
2 Geltungsbereich
3 Zielsetzungen
4 Datenschutz und Informationssicherheits-Management
5 Organisation
6 Inkrafttreten und Impressum
1 Präambel
Die Leitlinie für und Datenschutz und Informationssicherheit (DIS-Leitlinie) beschreibt die Ziele und Rahmenvorgaben für das DISM (Datenschutz- und Informationssicherheits-Management) der HSD.
Informationen sind das Kerngeschäft einer Hochschule. Forschung generiert Informationen, Lehre und Weiterbildung vermitteln Informationen. Auch in der Verwaltung und Organisation der Hochschule spielen Informationen eine zentrale Rolle. Sie werden von den zahlreichen Professorinnen bzw. Professoren, Lehrbeauftragten, weiteren Beschäftigten sowie den Studierenden erstellt und bearbeitet.
Informationen sind zum Beispiel Forschungsergebnisse, Prüfungsdaten, Finanz- oder Personaldaten. Sehr oft handelt es sich dabei auch um personenbezogene Informationen. Die Mitglieder und Angehörigen der Hochschule sind damit gleichzeitig von der Verarbeitung der Daten Betroffene und Akteure der Informationsverarbeitung.
Informationssicherheit und der Schutz personenbezogener Daten sind daher für die Hochschule unverzichtbar. Sie sind Voraussetzung für den Erfolg in Lehre, Forschung und Weiterbildung. Sie sind Bedingung für eine gesetzeskonforme Arbeit, insbesondere in Bezug auf den Datenschutz.
2 Geltungsbereich
Die DIS-Leitlinie gilt für alle Mitglieder und Angehörigen der HSD sowie in der Zusammenarbeit mit ihren externen Geschäfts- und Kooperationspartnern. Sie sind unabhängig von ihrer Rolle und Stellung in der Hochschule aufgefordert, sich jederzeit für die Wahrung des Datenschutzes und die Erreichung der Sicherheitsziele einzusetzen. Sie sind für die Einhaltung von Sicherheitsrichtlinien und Sicherheitsmaßnahmen im Rahmen ihrer Tätigkeit verantwortlich und aufgefordert, ihren Beitrag durch kreative und konstruktive Mitarbeit zu leisten.
Die HSD wendet die Regelungen dieser DIS-Leitlinie in der Zusammenarbeit mit anderen Hochschulen und mit Dritten an, die mittelbar oder unmittelbar an das Netz der Hochschule angeschlossen sind.
3 Zielsetzungen
Der Erfolg einer Hochschule hängt auch vom sorgfältigen und umsichtigen Umgang mit Informationen sowie von der ordnungsgemäßen Funktion und dem sicheren Betrieb der Informationstechnik (IT) ab.
Die HSD verpflichtet sich daher dem Ziel, Datenschutz und Informationssicherheit in jedem Hochschulprozess zu berücksichtigen und in das allgemeine Risikomanagement zu integrieren. Datenschutz und Informationssicherheit sind Management-Aufgaben, differenziert nach den jeweiligen Organisationsbereichen (Lehre und Forschung, Verwaltung, zentrale und sonstige Einrichtungen) der Hochschule. Operatives Ziel der HSD ist es, Informationen und (personenbezogene) Daten an der HSD so zu schützen und zu gebrauchen, dass
- nur Befugte sie zur Kenntnis nehmen können (Vertraulichkeit),
- ihre Korrektheit und Konsistenz während der Verarbeitung vollständig und aktuell bleiben (Integrität),
- sie bei Bedarf zeitgerecht und ordnungsgemäß genutzt und verarbeitet werden können (Verfügbarkeit),
- sie jederzeit ihrem Ursprung zugeordnet werden können (Authentizität),
- die Beteiligung an einer Transaktion nachgewiesen (Verbindlichkeit) und festgestellt werden kann, wer sie wann und in welcher Weise verarbeitet hat (Revisionsfähigkeit)
- die Verfahrensweisen bei der Verarbeitung vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz) und
- die Freiheiten und Rechte der von der Verarbeitung ihrer Daten betroffenen Personen in der gesetzlich vorgeschriebenen Art und Weise gewahrt werden
Dabei folgt die Informationssicherheit dem Grundsatz, dass der Aufwand für die Schutzmaßnahmen stets in Relation zum erzielten Sicherheitsgewinn und dem Wert der zu schützenden Güter zu setzen ist. Im Datenschutz sollen die zum Schutz der Rechte und Freiheiten der Betroffenen ergriffenen Maßnahmen dem Risiko entsprechen, das die Verarbeitung personenbezogener Daten für die Betroffenen mit sich bringt.
Der durch die HSD verfolgte Weg zur Umsetzung der in dieser DIS-Leitlinie definierten Ziele wird in weiteren Dokumenten beschrieben und durch Ordnungen, Regelungen und Richtlinien, etc. konkretisiert und umgesetzt.
4 Datenschutz und Informationssicherheits-Management
Zur Erreichung der in dieser Leitlinie formulierten Ziele betreibt die HSD ein integriertes Datenschutz- und Informationssicherheits-Management (DISM). Das DISM legt fest, mit welchen Instrumenten und Methoden die Hochschulleitung und die von ihr dazu beauftragten Mitarbeiter die auf Informationssicherheit und Datenschutz ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenken (planen, einsetzen, durchführen, überwachen und verbessern).
Das DISM wird im Dokument „Allgemeines DISM-Konzept: Durchführung des Datenschutz- und Informationssicherheits-Managements an der Hochschule Düsseldorf“ beschrieben; es wird durch weitere Detail-Dokumente ausgeführt.
Das DISM unterliegt samt der zugehörigen Dokumentation einer kontinuierlichen Überprüfung und Verbesserung.
5 Organisation
Die HSD verfolgt das Ziel, sorgfältig und umsichtig mit Informationen umzugehen und die Informationssicherheit und den Datenschutz in einem kontinuierlichen Verbesserungsprozess zu erhöhen. Dies impliziert auch geeignete organisatorische Strukturen in Form eines DISM an der Hochschule.
Das Präsidium der HSD trägt dabei die Gesamtverantwortung für die Informationssicherheit. Als Verantwortlicher im Sinne der DSGVO trägt sie ebenso die Verantwortung für den Datenschutz.
Verantwortlich für Betrieb und Weiterentwicklung des DISM sind in enger Kooperation der Chief Information Security Officer (CISO) und der Datenschutzbeauftragte (DSB). Sie berichten der Hochschulleitung entsprechend ihren Aufgaben innerhalb des DISM. Weitere Rollen und Funktionen, die thematisch der Datenschutz- und Informationssicherheits-Organisation der Hochschule zugerechnet werden können, werden in anderen Richtlinien der Hochschule definiert.
6 Inkrafttreten und Impressum
Diese Leitlinie tritt mit Unterzeichnung in Kraft.
Ausgefertigt aufgrund des Beschlusses des Präsidiums vom 20.11.2021.
Düsseldorf, den 27.01.2021
Die Präsidentin der Hochschule Düsseldorf
Prof. Dr. Edeltraud Vomberg