Datenschutz - Europäische Datenschutz-Grundverordnung (2025)
Verschlüsselung von E-Mail, Löschfristen
Verschlüsselung von E-Mails
Im Zusammenhang mit der seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) versendet der Personalrat E-Mails, die personenbezogene Daten von Beschäftigten, Bewerberinnen und Bewerbern oder anderen Personen enthalten, ab sofort nur noch an E-Mail-Adressen, die über ein gültiges Verschlüsselungszertifikat verfügen. Dies gewährleistet eine geschützte und datenschutzkonforme elektronische Übermittlung. Die Regelung gilt auch für Antworten auf eingehende E-Mails, wenn diese personenbezogene Informationen enthalten.
Der Personalrat empfiehlt allen Beschäftigten, für ihre dienstlichen E-Mail-Accounts – einschließlich etwaig genutzter Funktionspostfächer – ein Verschlüsselungszertifikat zu beantragen. Weitere Informationen hierzu finden sich auf den Webseiten des Computer- und Medienservice (CMS).
Darüber hinaus gibt es Rückmeldungen von Beschäftigten, dass Vorgesetzte sie auffordern, ihre persönlichen E-Mail-Zugangsdaten (z. B. Passwörter) weiterzugeben, um Vertretungen zu ermöglichen. Hierbei ist zu beachten, dass die Weitergabe persönlicher Zugangsdaten aus datenschutzrechtlichen Gründen unzulässig ist. Der Zugriff auf dienstliche E-Mails durch andere Personen muss über entsprechende Funktionsaccounts organisiert werden.
Auch in Bewerbungsverfahren ist auf den datenschutzkonformen Umgang mit Kontaktinformationen zu achten. Für die Kommunikation mit Bewerberinnen und Bewerbern dürfen ausschließlich die von diesen selbst angegebenen E-Mail-Adressen und Telefonnummern verwendet werden. Andere im Universitätskontext recherchierbare Kontaktdaten – etwa aus dem ZIS oder von öffentlichen Webseiten – dürfen nicht genutzt werden.
Etablierung von Löschfristen
Die DSGVO verpflichtet dazu, personenbezogene Daten zu löschen, sobald die rechtliche Grundlage für deren Speicherung entfällt – es sei denn, gesetzlich vorgeschriebene Aufbewahrungsfristen stehen dem entgegen. Daher ist es notwendig, ein System zur Erfassung, Dokumentation und Einhaltung von Löschfristen einzuführen und die regelmäßige Löschung der betreffenden Daten sicherzustellen.
Diese Pflicht zur Löschung betrifft auch personenbezogene Daten, die in den persönlichen digitalen Arbeitsbereichen von Beschäftigten gespeichert sind.