| Aktuelle Version |
Dein Text |
| Zeile 1: |
Zeile 1: |
| Als Vorbereitung empfehlenswert: [https://www.youtube.com/watch?v=qHyx5u_tmec GDPR for Nerds] | | Als Vorbereitung empfehlenswert: [https://www.youtube.com/watch?v=qHyx5u_tmec GDPR for Nerds] |
|
| |
| Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
| |
|
| |
| Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo
| |
|
| |
| ==== Allgemeine Leitfäden ====
| |
| * kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
| |
| * https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
| |
| * https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
| |
| * https://www.datenschutzzentrum.de/dsgvo/
| |
| * https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
| |
| * https://github.com/lukasleitsch/dsgvo-checkliste
| |
| * https://github.com/qbi/DSGVO-Liste
| |
| * https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
| |
| * https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
| |
|
| |
| ==== Datenschutzerklärung ====
| |
| * https://datenschutz-generator.de/
| |
| * Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
| |
| * Deine Uni?
| |
| ** Studierendenschaft ist nur eine juristische Person
| |
| ** Datenschutzbeauftragten direkt fragen
| |
| ** sieht es nicht im eigenen Gebiet
| |
| ** Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
| |
|
| |
| beinhaltet mindestens:
| |
| * welche Daten erhoben und verarbeitet werden
| |
| * ob und in welcher Form Daten an Dritte weitergegeben werden
| |
| * ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
| |
| * ein Ansprechpartner für Fragen
| |
|
| |
| ==== Datenverarbeitungsprozesse ====
| |
| * Anmeldung der Erstis zu O-Phase
| |
| * Frage: Gibt es einen Systematischen Ansatz?
| |
| * Es muss alles transparent gehandhabt werden.
| |
| * Eigene persönliche Daten auf Anfrage einsehbar
| |
| * immer Opt-in
| |
| * Privacy by Design
| |
| * Folgende wichtige Punkte umfasst die DSGVO (Struktur)
| |
| ** Informationspflichten
| |
| ** Organisatorisch: Sicherheit muss garantiert sein
| |
| ** Auskunftspflichten
| |
| ** Recht auf Vergessenwerden
| |
| ** Datensparsamkeit
| |
| ** Meldepflichten
| |
| * Was passiert mit den bereits existierenden Daten?
| |
| ** Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
| |
|
| |
| ==== Offene Fragen ====
| |
| * Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
| |
| * Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
| |
| * Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
| |
| * Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
| |
| ** Daten sperren statt löschen geht nicht mehr so gut
| |
| ** man darf (vermutlich; Quelle fehlt) Daten behalten
| |
| ** wichtig: NUR als Backup
| |
| ** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
| |
| * Wer ist verantwortlich dafür für Datensicherheit zu sorgen
| |
| ** Antwort: Admins müssen Datenschutzbeauftragte
| |
| * DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
| |
| ** Inhaber der Domain könnte da ein Indikator sein
| |
| ** besser mal bei der Uni anfragen?
| |
| * Einschätzung Arbeitsaufwand
| |
| ** als Privatperson: finde ich Gut
| |
| ** als Verantwortlicher: Transparenz ist die Arbeit wert
| |
| ** im Asta: ich brauche Unterstützung
| |
| * Brauchen wir einen Datenschutzbeauftragten
| |
| ** Unis lehnen ab dafür verantwortlich zu sein
| |
| ** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
| |
| ** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
| |
| * Was sollen die Strafen bei öffentlichen Institutionen
| |
| * Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
| |
| ** https://dsgvo-gesetz.de/art-89-dsgvo/
| |
| * <Frage???>
| |
| ** allen Nutzern eine Mail schreiben
| |
| ** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
| |
| * Was mit Wahldaten?
| |
| ** geht wenn die Uni das in ihren Ordnungen stehen hat
| |
| ** wichtig: danach vernichten (schreddern)
| |
| * Wie finde ich Raus ob meine Uni konform ist?
| |
| * Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
| |
| ** ja, aber die uni darf das, wenn der prof das braucht
| |
| * Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
| |
| * Logging
| |
| ** IP-Adressen sind persönlich
| |
| ** Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
| |
| * Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
| |
| * Wie sieht das mit dem KIF Wiki aus?
| |
| ** Auftragsverarbeiter ist Bremen
| |
| ** Datenschutzerklärung fehlt
| |
| ** Was ist, wenn jemand Daten reinschreibt?
| |
| *** Foren-Haftungsfrage?
| |
| * Wie weist man Leute darauf hin (macht Panik)?
| |
| ** erst: mit dem Datenschutzbeauftragtem reden
| |
| ** Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
| |
| * Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
| |
| * Wie ist das mit internen Abläufen?
| |
| ** Vertrauen: Wo kein Kläger, da kein Richter
| |
| * Fotos?
| |
| ** es ist noch unklar, ob Bilder personenbezogene Daten sind
| |
| ** einfache Lösung: alle Fotos löschen
| |
| ** komplizierter: normal damit vorgehen
| |
