Mitarbeiterschulung Datenschutz

Seit dem 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (kurz EU-DSGVO, sie ist bereits am 27. April 2016 in Kraft getreten) und sorgt seither für Verunsicherungen.

Ziel dieser Schulung zur DSGVO ist es etwaige Unsicherheiten zu beseitigen und darüber aufzuklären, wie in welchen Situationen mit persönlichen Daten umzugehen ist und auf welche Besonderheiten geachtet werden muss.

Diese Schulung setzt sich aus verschiedenen Abschnitten zusammen und wird insgesamt etwa 1 Stunde in Anspruch nehmen. Zum Abschluss steht Ihnen ein Test zur Verfügung, in dem Sie Ihr eigenes Verständnis der DSGVO überprüfen können.

Sie brauchen für diese Schulung keinerlei juristischen Vorkenntnisse.

Es werden nicht alle Artikel vollständig aufgeführt – im Zweifel zählt die DSGVO!
Bei Fragen oder sonstigen Anliegen bezüglich DSGVO oder Datenschutz im allgemeinen wenden sie sich bitte an den Datenschutzbeauftragten.

Begriffe die fett markiert sind, werden in der Begriffserklärung dieser Schulung erläutert.

Texte die direkt aus der DSGVO übernommen wurden sind kursiv markiert. Diese wurden aus Gründen der Übersicht teilweise gekürzt, entsprechende Stellen sind mit einem […] gekennzeichnet. Für weiterführende Informationen ist der vollständige Absatz jedes erwähnten Artikels bei dessen Erwähnung verlinkt.

Die DSGVO wurde zum Schutz der Grundrechte und Grundfreiheiten von Personen innerhalb der europäischen Union geschrieben. Sie gilt für die Verarbeitung von personenbezogenen Daten. Dabei ist es egal, ob die Verarbeitung automatisiert, teilweise automatisiert oder nichtautomatisiert stattfindet.

Begriffserklärung

Im weiteren Verlauf werden verschiedene Fachbegriffe verwendet. Nachfolgen sind diese aufgeführt. Eine vollständige Liste ist in Artikel 4 zu finden.

Ausschnitt Kapitel 1 Art. 4 Begriffserklärung DSGVO

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Es gilt der Grundsatz: Zur

• Erhebung
• Verarbeitung
• Weitergabe

personenbezogener Daten gilt das Verbot mit Erlaubnisvorbehalt. Demnach ist es untersagt, personenbezogene Daten zu erheben, zu speichern oder zu verarbeiten, wenn

• keine spezielle Rechtsgrundlage oder
• informierte Einwilligung des Betroffenen vorliegt.

(Art. 6 Nr. 1 DSGVO)

Alle Mitarbeiter und Beschäftigte, die mit personenbezogenen Daten sind zu folgendem verpflichtet:

• Personenbezogene Daten müssen auf rechtmäßige und faire Weise, für die Betroffenen nachvollziehbaren Weise erhoben und verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)
• Personenbezogene Daten dürfen nur zur Erfüllung des ursprünglichen Zwecks erhoben und verarbeitet werden (Zweckbindung)
• Nur solche Daten dürfen erhoben und verarbeitet werden, die zur  Zweckerfüllung absolut notwendig sind. (Datenminimierung)
(Keine Nice-to-have Daten!)
• Eine spätere Ausweitung des Zwecks ohne erneute Zustimmung ist nicht zulässig!
• Daten müssen sachlich richtig und auf dem neuesten Stand sein! (Richtigkeit)
• Weitergabe nur an Personen, die zur Zweckerfüllung Kenntnis der Daten benötigen!
• Personenbezogene Daten sind so zu speichern, dass die Identifizierung der betroffenen Person nur so lange möglich ist, wie dies zur Zweckerfüllung nötig ist. (Speicherbegrenzung)
• Personenbezogene Daten müssen so verarbeitet werden, dass angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unberechtigter Verarbeitung, unbeabsichtigter Zerstörung oder Schädigung. Dies ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen.
(Integrität und Vertraulichkeit)

Betroffene Personen haben verschiedene Rechte, wie mit Ihren Daten umgegangen werden muss. Zusätzlich gibt es Sanktionen für den Fall, dass sich Verantwortliche oder Auftragsverarbeiter nicht an die DSGVO halten. In den folgenden Abschnitten sind die Rechte der betroffenen Personen sowie mögliche Sanktionen aufgezeigt.

Rechte der betroffenen Person

Wie bereits erwähnt, dürfen Daten einer betroffenen Person nicht grundlos erhoben werden. Aus diesem, vor allem aber zum Schutz der betroffenen Person, sind die Rechte einer betroffenen Person, gesondert beschrieben. Somit ist der Verantwortliche in der Pflicht geeignete Maßnahmen zu treffen um der betroffenen Person Informationen laut Artikeln 13 und 14 bzw. Artikeln 15 bis 22 und Artikel 34 in einfacher, klarer Sprache sowie transparenter und präziser Form zugänglich zu machen. Zudem ist die betroffene Person bei Ihrer Ausübung Ihrer Rechte zu unterstützen. (Siehe Art. 12)

Besonders wichtig bei den oben genannten Artikeln, aber auch allgemein, ist die Identitätsprüfung der betroffenen Person. Die verantwortliche Person sollte alle vertretbaren Mittel nutzen, um die Identität zu überprüfen.

Beispiel Identitätsprüfung:

Der Student ruft in der Hochschule an und möchte seine personenbezogenen Daten von einem Mitarbeiter abfragen. Der Mitarbeiter hat dann festzustellen, ob es sich tatsächlich um diesen Studenten handelt. Da es per Telefon derzeit kein konkretes Verfahren gibt, bleibt in solchen Fällen nur die Möglichkeit, dass der Student persönlich im Büro vorbeikommt oder per E-Mail anfragt. Bei persönlichen Anfragen, muss die Identität ebenfalls festgestellt werden. Im Zweifel Personalausweis oder Studentenausweis vorzeigen lassen.

Auch bei Anfragen auf digitalem Weg, wie E-Mail, muss die Identität sichergestellt werden. Findet eine E-Mailkommunikation zwischen nicht TH-Accounts statt, muss sich der Anfragende identifizieren und seine Berechtigung nachweisen. Ist dies Erfolgt, muss zusätzlich sichergestellt werden, dass die Übertragung der Daten verschlüsselt erfolgt. Dies ginge zum Beispiel mittels PGP-Verschlüsselung. Alternativ können die Daten auch in einer verschlüsselten Datei verschickt werden, wobei das Passwort der Datei auf einem anderen Weg übertragen werden muss. Möglich ist hier per Telefon oder die betroffene Person holt das Passwort persönlich ab bzw. bekommt es per Post (siehe auch Vorsichtsmaßnahmen Passwortsicherheit).

Fragt der Anfragende über die eigene TH-Mailadresse an eine TH-Mailadresse an, kann davon ausgegangen werden, dass es sich um den Absender der E-Mail handelt. Dies gilt ausschließlich bei E-Mailverkehr zwischen TH-Mailadressen, da es sich um Hochschuleigene Infrastruktur handelt und somit Hoheitsgebiet der TH-Wildau darstellt. Dann entfällt auch die Notwendigkeit der Verschlüsselung der Daten. Sollte aber z.B. ein Dritter im CC stehen gilt diese Ausnahme nicht mehr.

Beispiel Auskunftsrecht:

Neben der Identitätsprüfung, muss auch geprüft werden, ob die anfragende Person berechtigt ist Daten anzufordern. Meldet sich ein Elternteil eines Studenten und fragt z.B. nach den Noten, gilt es zu prüfen, ob der Elternteil berechtigt ist. Dafür ist z.B. das Alter des Studenten wichtig. Hat der betroffene Student das sechzehnte Lebensjahr vollendet oder das Elternteil nicht das Sorgerecht, liegt keine Berechtigung vor, um die Daten abzufragen.

Ausnahme sind Vollmachten des Studenten. In beiden Fällen ist zusätzlich die Identitätsprüfung notwendig.

Sanktionen

Verstöße gegen die DSGVO werden mit empfindlichen Strafen geahndet. So können "[…] Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes […]” verhängt werden. Bei Fahrlässigkeit und vor allem bei grober Fahrlässigkeit eines Mitarbeiters kann dieser auch direkt in Regress genommen werden. Den folgenden Abschnitten ist zu entnehmen, wer wann für einen Schaden haftet.

Um die Empfindlichkeit der Strafen nochmals zu unterstreichen, sind folgend Ahndungsmöglichkeiten nach der DSGVO, dem Bundesdatenschutzgesetz (BDSG) sowie dem Strafgesetzbuch (StGB) aufgeführt. Diese zeigen mit welcher Härte gegen Verstöße vorgegangen wird.

Wann dürfen personenbezogene Daten verarbeitet werden?

Ab wann personenbezogene Daten verarbeitet werden dürfen ist in Artikel 6 festgelegt. Diese verweist im Fall der Hochschule auf das Brandenburgisches Hochschulgesetz (§ 38). Dieses erlaubt der Hochschule das Verarbeiten von personenbezogene Daten Studierender im Rahmen ihrer Ausbildung, ohne explizite Einwilligung. Eine Verarbeitung der personenbezogenen Daten der Studierenden ist außerhalb der Ausbildung bzw. nach Beendigung der Ausbildung nicht erlaubt.

Beispiel:

Die Hochschule verfügt über ein Register der Ehemaligen Studenten, auch Alumni genannt. Die Daten, die das Register zu einer Person braucht, um diese in das Register aufzunehmen, besitzt die Hochschule bereits von allen Studierenden. Auch von solchen, die ihr Studium noch nicht abgeschlossen haben. Die Hochschule ist berechtigt diese Daten im Rahmen des Studiums der betroffenen Person zu verarbeiten. Das Ehemaligen Register fällt aus diesem Rahmen, daher ist die Hochschule nicht berechtigt die Daten der Studierenden für dieses Register zu nutzen, ohne eine explizite Einwilligung für genau diesen Zweck und die erforderlichen Daten unterzeichnen zu lassen.

Dabei ist es wichtig zu wissen, dass eine Einwilligung sowohl an den in der Einwilligung festgehaltenen Zweck der Verarbeitung und an die dort festgehaltenen Daten gebunden ist. Es dürfen später keine zusätzlichen Daten erhoben werden und die erhobenen Daten dürfen nicht für andere Zwecke genutzt werden. (siehe Artikel 5 Absatz 1b)

Im Zusammenhang mit diesem Beispiel spielt auch der bereits oben aufgeführte Artikel 17 Absatz 1a eine wichtige Rolle, da am Ende des Studiums die personenbezogenen Daten “[…] für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig[…]” sind und daher gelöscht werden müssen.

Ebenfalls wichtig, laut Artikel 7 Absatz 1 “[…] muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.”. Daher müssen Einwilligungen für der Dauer der Verarbeitung aufgehoben werden. In Artikel 7 Absatz 3 ist festgelegt, dass die betroffene Person das Recht hat “[...] ihre Einwilligung jederzeit zu widerrufen. […]”.

Verarbeitung personenbezogener Daten

Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Artikel 5 beschrieben. Diese muss der Verantwortliche einhalten und auch nachweisen können, dass diese eingehalten werden.

Laut Artikel 28 Absatz 1 muss der Verantwortliche sicherstellen, dass andere Auftragsverarbeiter, die personenbezogene Daten für Ihn verarbeiten, sich ebenfalls an die DSGVO halten.

Beispiel:

Das klingt erstmal recht abstrakt und so als ob es einen selbst nicht betreffen würde. In Wirklichkeit betrifft es jeden, der personenbezogene Daten, zum Beispiel von Studenten, in einen cloudbasierten Dienst wie beispielsweise Google Docs o.ä. einträgt. Bei einem Unternehmen wie Google, mit einem Sitz in Europa, könnte man erwarten, dass sie sich an die DSGVO halten, allerdings kann man davon nicht pauschal ausgehen und sollte man es überprüfen.

Artikel 30 Absatz 1 der DSGVO legt fest dass Verantwortliche “[…] ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen […]” führen müssen. Das gilt laut Absatz 5 für Unternehmen mit 250 oder mehr Mitarbeitern. Welche Angaben ein solches Verzeichnis enthalten muss können sie Artikel 30 entnehmen. Welche Maßnahmen Sie für die Sicherheit der Verarbeitung treffen müssen, können Sie Artikel 32 entnehmen.

In diesem Zusammenhang ist auch Artikel 35 zu beachten.

Der Rat des Datenschutzbeauftragten ist laut Absatz 2 in einem solchen Fall einzuholen. Das ist generell eine gute Idee, sollte man sich in irgendeiner Hinsicht mit Etwas nicht sicher sein. Lieber zweimal zu viel fragen als einmal zu wenig. Alle weiteren Informationen zu einer Abschätzung der Folgen einer Verarbeitung finden sie in Artikel 35.

Wird einem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, hat er dies unverzüglich dem Verantwortlichen zu melden. Der Verantwortliche meldet diesen Vorfall dann der Aufsichtsbehörde bzw. dem Datenschutzbeauftragten. Dies hat unverzüglich zu geschehen und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde. (siehe Art. 33)

Beispiele für einen Datenschutzvorfall sind:

• Veröffentlichung personenbezogener Daten

• Datenverlust nach einer Hackerattacke
• Verlust von Laptop oder Mobiltelefon
• Verlust eines USB-Sticks oder anderen Speichermedien mit personenbezogenen Daten

Im täglichen Arbeitsleben gibt es Situationen, die schnell zu einem Datenschutzvorfall werden können. Die einfachsten Vorsichtsmaßnahmen können dies verhindern. Nachfolgend sind einige Hinweise aufgelistet, um die Datensicherheit zu erhöhen.

Passwortsicherheit

So ziemlich jeder arbeitet im Alltag mit Passwörtern. Leider werden dabei von vielen Leuten oft noch Fehler gemacht. Vorab sei gesagt, dass Passwortsicherheit nicht bedeutet, dass ein Passwort zu 100% sicher ist, sondern dass der Aufwand ein Passwort zu knacken möglichst hoch ist.  Das ein Passwort wie “123456” nicht sicher genug ist weiß eigentlich jeder, es gibt aber noch viele andere Fehler die leicht begangen werden und zu einer schlechten Passwortsicherheit führen.

Hier ein paar generelle Tipps:

• Geben sie unter keinen Umständen Passwörter weiter (auch nicht an Personen, denen sie vertrauen)
• Verwenden sie für jeden Dienst unterschiedliche Passwörter
• Bauen sie Fehler (z.B. Rechtschreibfehler) in ihre Passwörter ein
• Verwenden sie lange Passwörter, je länger desto besser
  • Bei Accounts oder Diensten im Internet mindestens 8 Zeichen
  • Bei offline genutzten Passwörtern (Verschlüsselte Dateien, Wifi-Passwörter, etc.) mindestens 20 Zeichen
• Wenn Sie Dokumente sicher verschlüsselt an jemanden übertragen wollen übermitteln Sie das zugehörige Passwort auf einem anderen Weg als das Dokument
• Senden Sie keine Passwörter in unverschlüsselten Emails oder über andere unsichere Übertragungswege
• Speichern sie ihre Passwörter weder online noch offline
  • Ausnahme: einige Passwortmanager (nicht jeder ist pauschal sicher, informieren Sie sich)
• Wenn Sie Passwörter auf einem Zettel schriftlich festhalten, bewahren sich diesen nur an sicher verschlossenen und nur für Sie zugänglichen Bereichen auf
• Nutzen Sie für “Wegwerf-Accounts” auch “Wegwerf-Passwörter”

Was Sie nicht in Passwörtern verwenden sollten:

• Namen oder Geburtstage von Haustieren, Familienmitgliedern oder Freunden
• Lieblings Interpret, Essen, Farben, Orte oder sonstige Lieblings Dinge
• Andere persönliche Informationen
• Markennamen
• Ländernamen
• Religiöse Begriffe
• Beispiele für Sichere Passwörter aus Artikeln, Videos, Rundfunk oder sonstigen Medien

Die oben aufgezählten Begriffe sollten nicht in Passwörtern enthalten sein, da sie für Angreifer zu leicht zu erraten sind. Wenn Sie jedoch ein Passwort mit einem der oben genannten Begriffe erstellen, sollten genügend andere Zeichen im Passwort enthalten sein, die nicht in dieser Liste auftauchen, um die Wahrscheinlichkeit des Erratens zu minimieren.

Weitere Tipps für gut Passwörter hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) und aktualisiert diese auch bei bedarf.

Wir empfehlen entweder die Nutzung eines Passwortmanagers, um die vielen unterschiedlichen Passwörter für jeden Dienst zu handhaben. Dabei muss das Masterpasswort unbedingt so sicher sein, wie nur möglich. Alternativ empfehlen wir die Verwendung eines Schemas, nachdem Passwörter erstellt werden.

Beispiel für ein Schema:

Das Passwort ist kein Passwort, sondern eine Passphrase oder eher ein “Passsatz” und setzt sich wie folgt zusammen:

“Herr <ersten zwei Zeichen des Dienstes> Skiwalker kauft uumm <Uhrzeit bei jedem Dienst Anders> zwei <Sonderzeichen>”
Für einen Google-Account könnte die Passphrase dann so aussehen:
“Herr G. O. Skiwalter kauft uumm 13:30 zwei @”

Der Vorname der Person in diesem Schema lässt sich ganz leicht aus jedem Dienst ableiten. Begriffe wie “Skiwalker” und “uumm” die absichtlich falsch geschrieben sind sorgen dafür das Angreifer mit Angriffen in denen Wörter aus Listen zum erraten genutzt werden nicht funktionieren (Wörterbuchattacken). Die Uhrzeit ist für jeden Dienst eine andere aber trotzdem leicht zu merken. Für besonders empfindliche Accounts können auch Uhrzeiten genutzt werden, die real nicht existieren, wie 95:70. Das Sonderzeichen am Ende erhöht zusätzlich die Passwortsicherheit und kann je nach Kategorie des genutzten Accounts geändert werden. Zum Beispiel bekommen Accounts in denen Zahlungsinformationen hinterlegt sind ein “€”, Accounts mit Nachrichten Funktion ein “@” und alle anderen ein “%”.

Wichtig: Nutzen sie genau dieses Schema nicht ohne es abzuändern. Optimaler Weise denken sie sich ein eigenes aus und verraten es niemandem und speichern es nirgends außer in ihrem Kopf.

E-Mail Nutzung und Internetzugang

Der Versand und Empfang von Emails sowie die Internetnutzung ist Teil des täglichen Arbeitslebens, daher ist es wichtig dort einige grundlegende Hinweise zu beachten. Nachfolgend sind stichwortartig wichtige Hinweise niedergeschrieben.

• Vorsicht bei E-Mails von unbekannten Absendern
• Keine unbekannten Dateien aus dem Anhang öffnen
• Sicherheitseinstellungen vom HRZ beibehalten
• Persönliche Daten (sowohl eigene als auch von Dritten) nicht ohne weiteres Versenden ggf. Daten oder E-Mail verschlüsseln
• Persönliche Daten (sowohl eigene als auch von Dritten) nicht frei im Internet eingeben
• Allgemein skeptisch mit unseriös wirkenden E-Mails umgehen
• Nicht auf unbekannte Links aus E-Mails klicken
• Keine Downloads von unbekannten / unseriösen Quellen
• Ausschließlich lizensierte Software installieren
• Mehrfachnutzung von Passwörtern vermeiden
• Vorsicht bei Browserplugins
• Passwörter der Hochschule nicht im Browser speichern

Mobile Datenträger

Datenträger mit personenbezogenen Daten dürfen sich niemals unbeaufsichtigt an einem Ort befinden zu dem Personen Zugang haben, die diese Daten nicht sehen dürfen. Eine verschlossene Schublade oder ein Tresor bieten hier ausreichend Sicherheit. Ein solcher Vorfall kann bereits einen meldepflichtigen Datenschutzvorfall darstellen.

Daher ist es empfehlenswert die Daten auf einem mobilen Datenträger zu verschlüsseln. Beachten sie dabei die Vorsichtsmaßnahmen zur Passwortsicherheit und die empfohlene Mindestlänge von 20 Zeichen.

Ein Beispiel:

Eine Dozentin an der Hochschule besitzt einen USB-Stick auf dem sie die Noten von zwei Seminargruppen und eine Krankschreibung eines Studenten unverschlüsselt gespeichert hat. Diesen lässt sie über das Wochenende in einer nicht abgeschlossenen Schublade in ihrem Büro. Da Sie das Büro alleine nutzt und es abgeschlossen hat als Sie gegangen ist, hat sie dabei keine weiteren Bedenken. Jedoch hat eine der Reinigungskraft ebenfalls Zugang zum Büro der Dozentin. Diese könnte jetzt ungehindert die Daten des USB-Sticks auslesen. Die Integrität der Daten ist ab diesem Zeitpunkt nicht mehr gewährleistet.

Datenträger von unbekannten, egal ob auf dem Parkplatz oder im Vorlesungsraum gefunden, dürfen niemals an einen Computer oder sonstiges Gerät angeschlossen werden. Dies ist unbedingt zu beachten, da es nicht schwer ist mobile Datenträger so zu manipulieren, dass sie im Hintergrund schadhafte Software auf Geräten installieren, sobald sie angesteckt werden.

Löschung und Vernichtung von Daten

Digitale Datenträger die beschreibbar sind (USB-Sticks, Festplatten, Speicherkarten usw.) müssen bevor sie entsorgt werden formatiert und mit zufallsgenerierten Daten vollständig beschrieben werden, um ein wiederherstellen von einfach gelöschten Daten zu verhindern.

Digitale Datenträger, die nicht beschreibbar sind (CD-ROM, DVD-ROM etc.) und Dokumente in Papier oder sonstiger Form müssen durch Aktenvernichter so bearbeitet werden, dass ein lesen der Daten nach dem entsorgen nicht mehr möglich ist.

Zum Ende des Kurses gibt es einen Abschlusstest. Aus einer Fragesammlung werden fünf Fragen gestellt.