KIF460:DSGVO: Unterschied zwischen den Versionen

Aus KIF
Keine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 3: Zeile 3:
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo


Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo
Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo


==== Allgemeine Leitfäden ====
==== Allgemeine Leitfäden ====
Zeile 20: Zeile 20:
* Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/  
* Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/  
* Deine Uni?
* Deine Uni?
** Studierendenschaft ist nur eine juristische Person
** Datenschutzbeauftragten direkt fragen
** sieht es nicht im eigenen Gebiet
** Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
      
      
beinhaltet mindestens:
beinhaltet mindestens:
Zeile 41: Zeile 45:
** Datensparsamkeit
** Datensparsamkeit
** Meldepflichten
** Meldepflichten
* Was passiert mit den bereits existierenden Daten?
** Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
==== Offene Fragen ====
* Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
* Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
* Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
* Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
** Daten sperren statt löschen geht nicht mehr so gut
** man darf (vermutlich; Quelle fehlt) Daten behalten
** wichtig: NUR als Backup
** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
* Wer ist verantwortlich dafür für Datensicherheit zu sorgen
** Antwort: Admins müssen Datenschutzbeauftragte
* DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
** Inhaber der Domain könnte da ein Indikator sein
** besser mal bei der Uni anfragen?
* Einschätzung Arbeitsaufwand
** als Privatperson: finde ich Gut
** als Verantwortlicher: Transparenz ist die Arbeit wert
** im Asta: ich brauche Unterstützung
* Brauchen wir einen Datenschutzbeauftragten
** Unis lehnen ab dafür verantwortlich zu sein
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
* Was sollen die Strafen bei öffentlichen Institutionen
* Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
** https://dsgvo-gesetz.de/art-89-dsgvo/
* <Frage???>
** allen Nutzern eine Mail schreiben
** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
* Was mit Wahldaten?
** geht wenn die Uni das in ihren Ordnungen stehen hat
** wichtig: danach vernichten (schreddern)
* Wie finde ich Raus ob meine Uni konform ist?
* Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
** ja, aber die uni darf das, wenn der prof das braucht
* Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
* Logging
** IP-Adressen sind persönlich
** Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
* Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
* Wie sieht das mit dem KIF Wiki aus?
** Auftragsverarbeiter ist Bremen
** Datenschutzerklärung fehlt
** Was ist, wenn jemand Daten reinschreibt?
*** Foren-Haftungsfrage?
* Wie weist man Leute darauf hin (macht Panik)?
** erst: mit dem Datenschutzbeauftragtem reden
** Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
* Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
* Wie ist das mit internen Abläufen?
** Vertrauen: Wo kein Kläger, da kein Richter
* Fotos?
** es ist noch unklar, ob Bilder personenbezogene Daten sind
** einfache Lösung: alle Fotos löschen
** komplizierter: normal damit vorgehen

Aktuelle Version vom 7. Juni 2018, 22:33 Uhr

Als Vorbereitung empfehlenswert: GDPR for Nerds

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo

Allgemeine Leitfäden[Bearbeiten]

Datenschutzerklärung[Bearbeiten]

beinhaltet mindestens:

  • welche Daten erhoben und verarbeitet werden
  • ob und in welcher Form Daten an Dritte weitergegeben werden
  • ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
  • ein Ansprechpartner für Fragen

Datenverarbeitungsprozesse[Bearbeiten]

  • Anmeldung der Erstis zu O-Phase
  • Frage: Gibt es einen Systematischen Ansatz?
  • Es muss alles transparent gehandhabt werden.
  • Eigene persönliche Daten auf Anfrage einsehbar
  • immer Opt-in
  • Privacy by Design
  • Folgende wichtige Punkte umfasst die DSGVO (Struktur)
    • Informationspflichten
    • Organisatorisch: Sicherheit muss garantiert sein
    • Auskunftspflichten
    • Recht auf Vergessenwerden
    • Datensparsamkeit
    • Meldepflichten
  • Was passiert mit den bereits existierenden Daten?
    • Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)

Offene Fragen[Bearbeiten]

  • Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
  • Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
  • Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
  • Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
    • Daten sperren statt löschen geht nicht mehr so gut
    • man darf (vermutlich; Quelle fehlt) Daten behalten
    • wichtig: NUR als Backup
    • wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
  • Wer ist verantwortlich dafür für Datensicherheit zu sorgen
    • Antwort: Admins müssen Datenschutzbeauftragte
  • DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
    • Inhaber der Domain könnte da ein Indikator sein
    • besser mal bei der Uni anfragen?
  • Einschätzung Arbeitsaufwand
    • als Privatperson: finde ich Gut
    • als Verantwortlicher: Transparenz ist die Arbeit wert
    • im Asta: ich brauche Unterstützung
  • Brauchen wir einen Datenschutzbeauftragten
    • Unis lehnen ab dafür verantwortlich zu sein
    • alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
    • getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
  • Was sollen die Strafen bei öffentlichen Institutionen
  • Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
  • <Frage???>
    • allen Nutzern eine Mail schreiben
    • ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
  • Was mit Wahldaten?
    • geht wenn die Uni das in ihren Ordnungen stehen hat
    • wichtig: danach vernichten (schreddern)
  • Wie finde ich Raus ob meine Uni konform ist?
  • Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
    • ja, aber die uni darf das, wenn der prof das braucht
  • Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
  • Logging
    • IP-Adressen sind persönlich
    • Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
  • Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
  • Wie sieht das mit dem KIF Wiki aus?
    • Auftragsverarbeiter ist Bremen
    • Datenschutzerklärung fehlt
    • Was ist, wenn jemand Daten reinschreibt?
      • Foren-Haftungsfrage?
  • Wie weist man Leute darauf hin (macht Panik)?
    • erst: mit dem Datenschutzbeauftragtem reden
    • Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
  • Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
  • Wie ist das mit internen Abläufen?
    • Vertrauen: Wo kein Kläger, da kein Richter
  • Fotos?
    • es ist noch unklar, ob Bilder personenbezogene Daten sind
    • einfache Lösung: alle Fotos löschen
    • komplizierter: normal damit vorgehen