Bearbeiten von „KIF460:DSGVO

Aus KIF
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird bei Bearbeitungen öffentlich sichtbar. Melde dich an oder erstelle ein Benutzerkonto, damit Bearbeitungen deinem Benutzernamen zugeordnet werden. Ein eigenes Benutzerkonto hat eine ganze Reihe von Vorteilen.

Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und veröffentliche dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.

Aktuelle Version Dein Text
Zeile 3: Zeile 3:
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo


Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo
HIER KOMMT EINE DATENSCHUTZ-MAILINGLISTE HIN
 
 
===== DSGVO =====


==== Allgemeine Leitfäden ====
==== Allgemeine Leitfäden ====
* kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
* https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
* https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
* https://www.datenschutzzentrum.de/dsgvo/
https://www.datenschutzzentrum.de/dsgvo/
* https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
* https://github.com/lukasleitsch/dsgvo-checkliste
https://github.com/lukasleitsch/dsgvo-checkliste
* https://github.com/qbi/DSGVO-Liste
https://github.com/qbi/DSGVO-Liste
* https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
* https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)


==== Datenschutzerklärung ====
==== Datenschutzerklärung ====
* https://datenschutz-generator.de/
    https://datenschutz-generator.de/
* Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/  
Muster:
* Deine Uni?
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/  
** Studierendenschaft ist nur eine juristische Person
** Datenschutzbeauftragten direkt fragen
** sieht es nicht im eigenen Gebiet
** Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
      
      
beinhaltet mindestens:
    beinhaltet mindestens:
* welche Daten erhoben und verarbeitet werden
    welche Daten erhoben und verarbeitet werden
* ob und in welcher Form Daten an Dritte weitergegeben werden
    ob und in welcher Form Daten an Dritte weitergegeben werden
* ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
    ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
* ein Ansprechpartner für Fragen
    ein Ansprechpartner für Fragen


==== Datenverarbeitungsprozesse ====
==== Datenverarbeitungsprozesse ====
* Anmeldung der Erstis zu O-Phase
* Frage: Gibt es einen Systematischen Ansatz?
* Es muss alles transparent gehandhabt werden.
* Eigene persönliche Daten auf Anfrage einsehbar
* immer Opt-in
* Privacy by Design
* Folgende wichtige Punkte umfasst die DSGVO (Struktur)
** Informationspflichten
** Organisatorisch: Sicherheit muss garantiert sein
** Auskunftspflichten
** Recht auf Vergessenwerden
** Datensparsamkeit
** Meldepflichten
* Was passiert mit den bereits existierenden Daten?
** Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)


==== Offene Fragen ====
    Anmeldung der Erstis zu O-Phase
* Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
 
* Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
    Frage: Gibt es einen Systematischen Ansatz?
* Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
 
* Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
    Es muss alles transparent gehandhabt werden.
** Daten sperren statt löschen geht nicht mehr so gut
 
** man darf (vermutlich; Quelle fehlt) Daten behalten
    Eigene persönliche Daten auf Anfrage einsehbar
** wichtig: NUR als Backup
 
** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
    immer Opt-in
* Wer ist verantwortlich dafür für Datensicherheit zu sorgen
 
** Antwort: Admins müssen Datenschutzbeauftragte
    Privacy by Design
* DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
 
** Inhaber der Domain könnte da ein Indikator sein
    Folgende wichtige Punkte umfasst die DSGVO (Struktur)
** besser mal bei der Uni anfragen?
 
* Einschätzung Arbeitsaufwand
    Informationspflichten
** als Privatperson: finde ich Gut
 
** als Verantwortlicher: Transparenz ist die Arbeit wert
    Organisatorisch: Sicherheit muss garantiert sein
** im Asta: ich brauche Unterstützung
 
* Brauchen wir einen Datenschutzbeauftragten
    Auskunftspflichten
** Unis lehnen ab dafür verantwortlich zu sein
 
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
    Recht auf Vergessenwerden
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
 
* Was sollen die Strafen bei öffentlichen Institutionen
    Datensparsamkeit
* Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
 
** https://dsgvo-gesetz.de/art-89-dsgvo/
    Meldepflichten
* <Frage???>
 
** allen Nutzern eine Mail schreiben
    Was passiert mit den bereits existierenden Daten?
** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
 
* Was mit Wahldaten?
    Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
** geht wenn die Uni das in ihren Ordnungen stehen hat
 
** wichtig: danach vernichten (schreddern)
    Offene Fragen:
* Wie finde ich Raus ob meine Uni konform ist?
 
* Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
    Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
** ja, aber die uni darf das, wenn der prof das braucht
 
* Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
    Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
* Logging
 
** IP-Adressen sind persönlich
    Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
** Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
 
* Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
    Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
* Wie sieht das mit dem KIF Wiki aus?
 
** Auftragsverarbeiter ist Bremen
    Daten sperren statt löschen geht nicht mehr so gut
** Datenschutzerklärung fehlt
 
** Was ist, wenn jemand Daten reinschreibt?
    man darf (vermutlich; Quelle fehlt) Daten behalten
*** Foren-Haftungsfrage?
 
* Wie weist man Leute darauf hin (macht Panik)?
    wichtig: NUR als Backup
** erst: mit dem Datenschutzbeauftragtem reden
 
** Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
    wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
* Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
 
* Wie ist das mit internen Abläufen?
    Wer ist verantwortlich dafür für Datensicherheit zu sorgen
** Vertrauen: Wo kein Kläger, da kein Richter
 
* Fotos?
    Antwort: Admins müssen Datenschutzbeauftragte
** es ist noch unklar, ob Bilder personenbezogene Daten sind
 
** einfache Lösung: alle Fotos löschen
    DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
** komplizierter: normal damit vorgehen
 
    Inhaber der Domain könnte da ein Indikator sein
 
    besser mal bei der Uni anfragen?
 
    Einschätzung Arbeitsaufwand
 
    als Privatperson: finde ich Gut
 
    als Verantwortlicher: Transparenz ist die Arbeit wert
 
    im Asta: ich brauche Unterstützung
 
    Brauchen wir einen Datenschutzbeauftragten
 
    Unis lehnen ab dafür verantwortlich zu sein
 
    alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
 
    getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
 
    Was sollen die Strafen bei öffentlichen Institutionen
 
    Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
 
    https://dsgvo-gesetz.de/art-89-dsgvo/
 
    <Frage???>
 
    allen Nutzern eine Mail schreiben
 
    ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
 
    Was mit Wahldaten?
 
    geht wenn die Uni das in ihren Ordnungen stehen hat
 
    wichtig: danach vernichten (schreddern)
 
    Wie finde ich Raus ob meine Uni konform ist?
 
    Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
 
    ja, aber die uni darf das, wenn der prof das braucht
 
    Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
 
    Logging
 
    IP-Adressen sind persönlich
 
    Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
 
    Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
 
    Wie sieht das mit dem KIF Wiki aus?
 
    Auftragsverarbeiter ist Bremen
 
    Datenschutzerklärung fehlt
 
    Was ist, wenn jemand Daten reinschreibt?
 
    Foren-Haftungsfrage?
 
    Wie weist man Leute darauf hin (macht Panik)?
 
    erst: mit dem Datenschutzbeauftragtem reden
 
    Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
 
    Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
 
    Wie ist das mit internen Abläufen?
 
    Vertrauen: Wo kein Kläger, da kein Richter
 
    Fotos?
 
    es ist noch unklar, ob Bilder personenbezogene Daten sind
 
    einfache Lösung: alle Fotos löschen
 
    komplizierter: normal damit vorgehen
 
 
==== Datenschutzerklärungs ====
 
    Musterdatenschutzerklärung
 
    Datenschutzerklärungsgeneratoren sind gar nicht schlecht
 
    immer eine Gute Idee: Die Uni fragen
 
    Studierendenschaft ist nur eine juristische Person
 
    Datenschutzbeauftragten direkt fragen
 
    sieht es nicht im eigenen Gebiet
 
    Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
 
 
https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Bitte kopiere keine Webseiten, die nicht deine eigenen sind, benutze keine urheberrechtlich geschützten Werke ohne Erlaubnis des Urhebers!
Du gibst uns hiermit deine Zusage, dass du den Text selbst verfasst hast, dass der Text Allgemeingut (public domain) ist oder dass der Urheber seine Zustimmung gegeben hat. Falls dieser Text bereits woanders veröffentlicht wurde, weise bitte auf der Diskussionsseite darauf hin. Bitte beachte, dass alle KIF-Beiträge automatisch unter der „Namensnennung-Weitergabe unter gleichen Bedingungen 2.5 “ stehen (siehe KIF:Urheberrechte für Einzelheiten). Falls du nicht möchtest, dass deine Arbeit hier von anderen verändert und verbreitet wird, dann klicke nicht auf „Seite speichern“.
Abbrechen Bearbeitungshilfe (wird in einem neuen Fenster geöffnet)
Abgerufen von „https://wiki.kif.rocks/wiki/KIF460:DSGVO