Institutionelles digitales Datenmanagement und -schutz
Storage, Backup, Sicherheit und Datenschutz: Was Sie wissen müssen
Auf dieser Seite finden Sie eine Zusammenfassung der Grundlagen für einen verantwortungsvollen und gesetzeskonformen Umgang mit digitalen Tools. Es richtet sich an alle Mitarbeitenden der HES-SO Fribourg, sei es Lehrperson, Forscherin, Verwaltungsmitarbeitende oder Studierende.
Die IT definiert nicht allgemein, welche Arten von Informationen in welchen Tools oder Diensten gespeichert werden sollen. Diese Datenmanagementstrategien sind für jede Institution spezifisch und werden von der Qualitätsabteilung, den Direktionen, den Managern des Sektors/der Abteilung sowie anderen internen Akteuren entwickelt.
Wenn Sie Zweifel an den geltenden Regeln oder Praktiken in Bezug auf die Speicherung und Verwaltung von Daten in Ihrem Arbeitsbereich haben, laden wir Sie ein, sich an Ihren Vorgesetzten, Ihre Geschäftsleitung oder die betroffenen Manager zu wenden, um die genauen Informationen zu erhalten, die an Ihren Kontext angepasst sind.
Hier sind die wichtigsten Plattformen und Materialien, die zur Verfügung gestellt werden. Die Wahl hängt von der Art der Daten (vertraulich, sensibel, kollaborativ usw.), Ihrer Rolle, ob sie geteilt werden müssen oder nicht, und dem Grad der Sicherung ab.
Der Versionsverlauf, der Papierkorb und die Sicherung sollten nicht verwechselt werden.
| Service / Anwendung | Speicherort der Daten | Art der Verwendung | Backup | Geschichte/Müll |
|---|---|---|---|---|
| SharePoint (EDM) | Schweiz (intern) | Amtliche Dokumente, Projekte, Schulungen, nicht-dokumentarische Informationen | Stündliches (8 Tage), wöchentliches (4 Wochen), monatliches (1 Jahr) Backup | Versionshistorie, Papierkorb (30 Tage), Wiederherstellung möglich |
| Freigegebene Ordner (Netzwerk) | Schweiz (intern) | Interne Akten, berufliche persönliche Dokumente, interne Projekte, Schulungen | Tägliches (30 Tage), monatliches (1 Jahr) Backup | Versionsverlauf (30 Tage) |
| OneDrive (HES-SO) | Schweiz | Berufliche persönliche Dokumente, temporäres Teilen (Kollaboration) | Tägliches Backup (1 Jahr) nur für Mitarbeiter, kein Studenten-Backup | Historie (25 Versionen), Papierkorb (90 Tage) |
| SWITCHdrive | Schweiz | Berufliche persönliche Dokumente, temporäres externes Teilen, kollaborative Projekte | ❌ Kein Backup | Versionshistorie (30 Tage), Papierkorb (90 Tage) |
| Outlook/Exchange | Schweiz | Kommunikation, Kalender, Kontakte, Aufgaben | Tägliches Backup (1 Jahr) nur für Mitarbeiter, kein Studenten-Backup | Papierkorb (30 Tage) |
| Teams – Gruppe / Kanal | Schweiz (via SharePoint / OneDrive) | Schulungen, Projekte, interne oder externe Zusammenarbeit | ❌ Keine Standardsicherung; auf Anfrage nach Kriterien möglich | Papierkorb (30 Tage), bis zu 90 Tage wiederherstellbar |
| Teams – direkt / privat | Schweiz (OneDrive) | Temporäres oder direktes Teilen zwischen zwei Personen | Identisch mit OneDrive | Identisch mit OneDrive |
| IS-Academia / Oracle / Sage-X | Schweiz | Verwaltungs-, Personal- und Finanzdaten | Stündliches (8 Tage), wöchentliches (4 Wochen), monatliches (1 Jahr) Backup | N/A |
| Moodle / Cyberlearn (AGL) | Schweiz | Kurse, Lehrmaterialien, Lernaktivitäten | Basis-Backup: 7 Tage; Dateien: 10 Tage | N/A |
Das neue Bundesgesetz (LPrD) verlangt, dass jede Tätigkeit, die mit personenbezogenen Daten umgeht:
- respektiert die Transparenz,
- die Erhebung auf das unbedingt Notwendige beschränkt,
- sichert den Zugang,
- Verwaltet Daten angemessen.
Persönliche Daten = Name, E-Mail, Geburtsdatum, Adresse, etc.
Sensible Daten = medizinische Daten, Überzeugungen, Disziplinarstrafen usw.
Unsere Institutionen führen ein Inventar (oder Register), in dem die Arten der gesammelten personenbezogenen Daten nach Themen beschrieben werden, unabhängig von der verwendeten Software.
Zum Beispiel:
Das Studentenregister enthält: Vorname, Nachname, Adresse, Geburtsdatum usw.
- Dabei spielt es keine Rolle, ob diese Informationen in IS-Academia oder in einer Excel-Datei eingetragen sind: Sie müssen in das Register aufgenommen werden.
Was muss ich tun?
- Wenn Sie Standardtools (IS-A, Moodle, SharePoint, etc.) verwenden, ist keine Aktion erforderlich.
- Wenn Sie ein neues Projekt einrichten, das eine neue Art von personenbezogenen Daten erfasst (z. B. Umfrage, Ad-hoc-Datenbank), müssen Sie dies melden.
Kündigen Sie es an folgende Adresse an: compliance@hefr.ch
Das Compliance-Team wird Ihnen mitteilen, ob eine Folgenabschätzung (DSFA) erforderlich ist.
Referenz: Art. 4 Abs. 1 lit. h LPrD
Zu meiner Information: Was ist ein Verzeichnis der Verarbeitungstätigkeiten?
Es handelt sich um ein obligatorisches Dokument (insbesondere für Behörden), in dem alle Verarbeitungen personenbezogener Daten aufgeführt sind, die von einem Dienst oder einer Organisation durchgeführt werden.
Was enthält es?
Bei jeder Behandlung vermerken wir:
- Wer ist verantwortlich,
- Warum die Daten verarbeitet werden (der Zweck),
- Um welche Daten handelt es sich,
- Wer diese Daten erhält,
- Und ob es Subunternehmer gibt.
Ausnahmen
Für einige einfache interne Verarbeitungen (z. B. Korrespondenzverwaltung, Kundenlisten, Buchhaltung) ist keine Deklaration erforderlich.
Wenn Sie eine Sicherheitslücke oder eine technische Schwachstelle in einem IT-Tool oder -Dienst entdecken, sollten Sie:
- Verteile es nicht öffentlich
- Melden Sie es umgehend über das formelle koordinierte Offenlegungsverfahren (CVD)
- Computerunterstützung (Zugriff, Werkzeug, Fehler...): servicedesk@hefr.ch
- Datenschutz, Register, Compliance: compliance@hefr.ch
- Computersicherheit, Schwachstellen, Cyberangriffe: cybersecurite@hefr.ch
Aktionen
Dokumentation
Feedback
Ihre Meinung zählt! Helfen Sie uns, die Seite zu verbessern, indem Sie Ihr Feedback zu Inhalt, Design oder Übersetzungen mitteilen.
Willkommen
Melden Sie sich mit Ihrem HES-SO-Konto (8.8@hes-so.ch) an, um auf die internen Ressourcen der HES-SO Freiburg zuzugreifen