Bearbeiten von „KIF460:DSGVO“

Als Vorbereitung empfehlenswert: [https://www.youtube.com/watch?v=qHyx5u_tmec GDPR for Nerds]

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo

==== Allgemeine Leitfäden ====
* kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
* https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
* https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
* https://www.datenschutzzentrum.de/dsgvo/
* https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
* https://github.com/lukasleitsch/dsgvo-checkliste
* https://github.com/qbi/DSGVO-Liste
* https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
* https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)

==== Datenschutzerklärung ====
* https://datenschutz-generator.de/
* Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ 
* Deine Uni?
    
beinhaltet mindestens:
* welche Daten erhoben und verarbeitet werden
* ob und in welcher Form Daten an Dritte weitergegeben werden
* ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
* ein Ansprechpartner für Fragen

==== Datenverarbeitungsprozesse ====
* Anmeldung der Erstis zu O-Phase
* Frage: Gibt es einen Systematischen Ansatz?
* Es muss alles transparent gehandhabt werden. 
* Eigene persönliche Daten auf Anfrage einsehbar
* immer Opt-in
* Privacy by Design
* Folgende wichtige Punkte umfasst die DSGVO (Struktur)
** Informationspflichten
** Organisatorisch: Sicherheit muss garantiert sein
** Auskunftspflichten
** Recht auf Vergessenwerden
** Datensparsamkeit
** Meldepflichten
* Was passiert mit den bereits existierenden Daten?
** Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)

==== Offene Fragen ====
* Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
* Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
* Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
* Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
** Daten sperren statt löschen geht nicht mehr so gut
** man darf (vermutlich; Quelle fehlt) Daten behalten
** wichtig: NUR als Backup
** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
* Wer ist verantwortlich dafür für Datensicherheit zu sorgen
** Antwort: Admins müssen Datenschutzbeauftragte
* DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
** Inhaber der Domain könnte da ein Indikator sein
** besser mal bei der Uni anfragen?
* Einschätzung Arbeitsaufwand
** als Privatperson: finde ich Gut
** als Verantwortlicher: Transparenz ist die Arbeit wert
** im Asta: ich brauche Unterstützung
* Brauchen wir einen Datenschutzbeauftragten
** Unis lehnen ab dafür verantwortlich zu sein
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
* Was sollen die Strafen bei öffentlichen Institutionen
* Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
** https://dsgvo-gesetz.de/art-89-dsgvo/
* <Frage???>
** allen Nutzern eine Mail schreiben
** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
* Was mit Wahldaten?
** geht wenn die Uni das in ihren Ordnungen stehen hat
** wichtig: danach vernichten (schreddern)
* Wie finde ich Raus ob meine Uni konform ist?
* Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
** ja, aber die uni darf das, wenn der prof das braucht
@@ Zeile 3: / Zeile 3: @@
 Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
-Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo
+Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo
 ==== Allgemeine Leitfäden ====
@@ Zeile 20: / Zeile 20: @@
 * Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
 * Deine Uni?
-** Studierendenschaft ist nur eine juristische Person
-** Datenschutzbeauftragten direkt fragen
-** sieht es nicht im eigenen Gebiet
-** Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
 beinhaltet mindestens:
@@ Zeile 82: / Zeile 78: @@
 * Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
 ** ja, aber die uni darf das, wenn der prof das braucht
-* Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
-* Logging
-** IP-Adressen sind persönlich
-** Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
-* Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
-* Wie sieht das mit dem KIF Wiki aus?
-** Auftragsverarbeiter ist Bremen
-** Datenschutzerklärung fehlt
-** Was ist, wenn jemand Daten reinschreibt?
-*** Foren-Haftungsfrage?
-* Wie weist man Leute darauf hin (macht Panik)?
-** erst: mit dem Datenschutzbeauftragtem reden
-** Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
-* Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
-* Wie ist das mit internen Abläufen?
-** Vertrauen: Wo kein Kläger, da kein Richter
-* Fotos?
-** es ist noch unklar, ob Bilder personenbezogene Daten sind
-** einfache Lösung: alle Fotos löschen
-** komplizierter: normal damit vorgehen