© Universität Bielefeld
Glossar
Wichtige Begriffe aus dem Bereich Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit nutzen Begriffe und Abkürzungen, die vielen nicht auf Anhieb geläufig sind. Hier finden sich die wichtigsten, damit die Kommunikation ohne Missverständnisse läuft. Die Liste wird im laufe der Zeit weiter aktualisiert, sollten sich neue wichtige Begriffe etablieren.
- Auftragsverarbeitung, Auftragsverarbeitungsvertrag/AV-Vertrag
Sobald Daten im Auftrag (d.h. nicht mit Software auf Geräten der Uni Bielefeld) verarbeitet werden, spricht man von einer Auftragsverarbeitung. Für so eine Verarbeitung muss ein Vertrag geschlossen werden, der sog. Auftragsverarbeitungs- oder kurz AV-Vertrag. Auf Nachfrage gibt es diesen bei den DISK. Oft senden Anbieter ihr eigenes Vertragswerk mit, dass dann vor Ort geprüft werden muss. Diese Prüfung kann einige Zeit in Anspruch nehmen. Die Pflicht zu einem AV-Vertrag ergbit sich aus Artikel 28 DSGVO. Anwendungensfälle für einen AV-Vertrag wären: Software as a Service oder auch Datenverarbeitung durch externe Dritte
- BSI, BSI Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, ist eine Bundesbehörde, deren Aufgabe die Förderung der Informations- und Cybersicherheit ist. Sie erstellt unter anderem Maßnahmenkataloge, die für das Erreichen des Ziels BSI Grundschutz heranzuziehen sind. Ein Unternehmen oder eine Universität kann sich so nach BSI Grundschutz ausrichten und dies zertifiziert bekommen.
- Software as a Service, SaaS
Anwendungen, die nicht mehr direkt auf den PCs oder Laptops installiert werden, sondern auf einem (oft dezentralen) Server laufen. Die Daten werden im Fall eines dezentralen Dienstes nicht auf Geräten der Universität Bielefeld verarbeitet, sondern außerhalb. Daher müssen diese Anwendungen vorab geprüft und dokumentiert werden. Oft senden die Anbieter die entsprechenden Unterlagen, damit hier vor Ort eine Dokumentation erfolgen kann. (s.a. Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen)
- technisch-organisatorische Maßnahmen, TOM
Dokumentation aller technischen und organisatorischen Maßnahmen für den Bereich Informationssicherheit. Dieses Dokument wird immer dann angefertigt, wenn es z.B. um Datenbestände geht, die auf extra Servern (nicht fs-home) gespeichert werden. Zusätzlich sollte so ein Dokument angefordert werden, wenn in einem Kooperationsprojekt gemeinsame Daten auch außerhalb der Uni Bielefeld gespeichert und verarbeitet werden. Die Kooperationspartner können ihrerseits von uns eine solche Dokumentation einfordern. Die Notwendigkeit ergibt sich aus Artikel 32 DSGVO Sicherheit der Verarbeitung.
- Verzeichnis von Verarbeitungstätigkeiten, VVT
Die Erstellung ergibt sich aus Artikel 30 Absatz 1 DSGVO. In einer VVT werden alle Prozesse, in denen personenbezogene Daten verarbeitet werden, nach einer bestimmten Vorgehensweise dokumentiert. Dokumentiert werden sowohl Softwareanwendungen (SaaS), Prozesse wie z.B. VP-Stunden Verbuchung und Forschungsprojekte. In einer VVT wird vor allem Informationen zum Datenschutz des Prozesses abgedeckt aber auch ein Teil zur Informationssicherheit ist vorhanden.