KIF490:Folge-Ak Datenschutz Fachschaften: Unterschied zwischen den Versionen

Aus KIF
(Die Seite wurde neu angelegt: „# Folge-Ak Datenschutz Fachschaften Folge-AK zu [Datenschutz für Fachschaften](https://ak.kif.rocks/kif485/submission/ak/195/) von der 48,5. KIF ## Anwesenh…“)
 
Keine Bearbeitungszusammenfassung
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
# Folge-Ak Datenschutz Fachschaften
= Folge-Ak Datenschutz Fachschaften =


Folge-AK zu [Datenschutz für Fachschaften](https://ak.kif.rocks/kif485/submission/ak/195/) von der 48,5. KIF
Folge-AK zu [https://ak.kif.rocks/kif485/submission/ak/195/ Datenschutz für Fachschaften] von der 48,5. KIF
 
== Anwesenheit ==


## Anwesenheit
(+) - Letztes Mal dabei?
(+) - Letztes Mal dabei?
- Uni Stuttgart
    - Janette (+)
    - Marcial
    - David
- LMU
    - Aldo
    - Silas
- Uni Chemnitz
    - Markus (nur bei Teil 1 anwesend gewesen)
- Uni Hannover
    - Matti
- Hochschule Zittau Görlitz
    - Peter
- Ruhruni Bochum
    - S0ra
- Uni Passau
    - Sven (+)
- TU Dortmund
    - Timuçin
- Hu Berlin
    - Aaron
- Uni Marburg
    - Mattis


## Fragen / Erzählanstöße
* Uni Stuttgart
- Wie gut wurde die Reso daheim angenommen?
** Janette (+)
- Habt ihr bereits Dinge umgesetzt/etwas bewegt?
** Marcial
- Probleme?
** David
- Weiteres Vorgehen?
* LMU
- Weitere Erfahrungen
** Aldo
** Silas
* Uni Chemnitz
** Markus (nur bei Teil 1 anwesend gewesen)
* Uni Hannover
** Matti
* Hochschule Zittau Görlitz
** Peter
* Ruhruni Bochum
** S0ra
* Uni Passau
** Sven (+)
* TU Dortmund
** Timuçin
* Hu Berlin
** Aaron
* Uni Marburg
** Mattis
 
== Fragen / Erzählanstöße ==
 
* Wie gut wurde die Reso daheim angenommen?
* Habt ihr bereits Dinge umgesetzt/etwas bewegt?
* Probleme?
* Weiteres Vorgehen?
* Weitere Erfahrungen


## Austausch
== Austausch ==
- Uni Stuttgart
    - Reso ist unterschiedlich gut angekommen
        - zu viel Veränderung/ist doch eh egal/zu viel Arbeitsaufwand
        - Open Source Software sei doof und nicht usable (Alternativen mit denen sich Leute abfinden wollen sind schwer zu finden)
        - die Uni macht Datenschutz nicht richtig, warum sollten wir das dann?
        - Rechtliche Maßnahmen würden die FS eh nicht treffen, sondern nur unser [ASTA-äquivalent]
    - Arbeitstag:
        - Checkliste angeguckt und spekuliert: was geht schnell? → ToDoListe
        - begonnen Status Quo zu erfassen und ToDoListe zu bearbeiten
            - Probleme:
                - Fehlende:r Datenschutzbeauftragte:r für Fragen die bei der Bearbeitung aufgekommen sind
                - unüberschaubare Menge Arbeit, wo fängt man das an?
                - nicht viele hatten das Interesse/Zeit/was auch immer da mit anzupacken
    - [ASTA-äquivalent] hat [offenen Brief](https://wiki.stuvus.uni-stuttgart.de/pages/viewpage.action?pageId=118063183) ans Rektorat über die Nutzung von WebEx an der Uni geschrieben
        - wurde von vielen unterschrieben
        - wurde vom Rektorat abgewimmelt
            - Die Uni möchte weiterhin an Cisco Webex festhalten, der Vertrag mit Cisco wurde verlängert. Sie ist überzeugt, dass die Datenschutzprobleme, die sich aus rechtlicher Sicht ergeben, bald behoben sein werden. Ein fertiger AV-Vertrag liege endlich vor und werde aktuell überprüft
            - Die CIO verspricht, dass demnächst auf der Uni-Website transparent gemacht werden soll, welche persönlichen Daten bei der Verwendung von Webex gespeichert werden und was man ggf. dagegen tun kann
            - Selbsthosting sei zu teuer, es gäbe kein Personal und keine Kapazitäten. Die Uni denkt darüber nach eine zweite, zusätzliche Cloud-Lösung anzuschaffen. eine Hochschulübergreifende Lösung sei kurzfristig nicht realistisch. Langfristig (vielleicht ab WiSe 2022/23) denkbar, falls ein System von anderen bereitgestellt werde


- LMU
* Uni Stuttgart
    - Verteilung der Aufgaben auf die Leute ist schwierig → Thema wird geschoben
** Reso ist unterschiedlich gut angekommen
    - Liste offener Probleme existiert (basierend auf https://gdprchecklist.io/)
*** zu viel Veränderung/ist doch eh egal/zu viel Arbeitsaufwand
    - Template pro Dienst erwünscht
*** Open Source Software sei doof und nicht usable (Alternativen mit denen sich Leute abfinden wollen sind schwer zu finden)
*** die Uni macht Datenschutz nicht richtig, warum sollten wir das dann?
*** Rechtliche Maßnahmen würden die FS eh nicht treffen, sondern nur unser [ASTA-äquivalent]
** Arbeitstag:
*** Checkliste angeguckt und spekuliert: was geht schnell? → ToDoListe
*** begonnen Status Quo zu erfassen und ToDoListe zu bearbeiten
**** Probleme:
***** Fehlende:r Datenschutzbeauftragte:r für Fragen die bei der Bearbeitung aufgekommen sind
***** unüberschaubare Menge Arbeit, wo fängt man das an?
***** nicht viele hatten das Interesse/Zeit/was auch immer da mit anzupacken
** [ASTA-äquivalent] hat [https://wiki.stuvus.uni-stuttgart.de/pages/viewpage.action?pageId=118063183 offenen Brief] ans Rektorat über die Nutzung von WebEx an der Uni geschrieben
*** wurde von vielen unterschrieben
*** wurde vom Rektorat abgewimmelt
**** Die Uni möchte weiterhin an Cisco Webex festhalten, der Vertrag mit Cisco wurde verlängert. Sie ist überzeugt, dass die Datenschutzprobleme, die sich aus rechtlicher Sicht ergeben, bald behoben sein werden. Ein fertiger AV-Vertrag liege endlich vor und werde aktuell überprüft
**** Die CIO verspricht, dass demnächst auf der Uni-Website transparent gemacht werden soll, welche persönlichen Daten bei der Verwendung von Webex gespeichert werden und was man ggf. dagegen tun kann
**** Selbsthosting sei zu teuer, es gäbe kein Personal und keine Kapazitäten. Die Uni denkt darüber nach eine zweite, zusätzliche Cloud-Lösung anzuschaffen. eine Hochschulübergreifende Lösung sei kurzfristig nicht realistisch. Langfristig (vielleicht ab WiSe 2022/23) denkbar, falls ein System von anderen bereitgestellt werde
* LMU
** Verteilung der Aufgaben auf die Leute ist schwierig → Thema wird geschoben
** Liste offener Probleme existiert (basierend auf https://gdprchecklist.io/)
** Template pro Dienst erwünscht
* Uni Hannover
** verantwortlichkeit von Datenschutz beim ASTA
** Haben im Zuge der Einführung des DSGVO eine Datenschutzerklärung für die Website gemacht
** werden sich bemühen über dem ASTA hinaus eine Schulung in Sachen Datenschutz bekommen
** Anbindung an Zentralen-Login gewünscht
* Uni Chemnitz
** Viel Arbeit, wenig aktive
** Allgemeine Anfrage vom Datenschutz-Beauftragten zu Mailing-Liste
** weiterhin Arbeit gegen Zoom
** In dieser Amtszeit Vorhaben mehr in der Richtung zu machen
** Arbeit ist aktuell (nach Kenntnisstand) bereits weitestgehend DS-konform
** Discord-Server zum Kontakt mit Studis, soll überprüft werden
** Telegram-Gruppe als sekundärer interner Kommunikationskanal
* Uni Zittau Görlitz
** Sehr kleine Fakultät (~100 Personen)
** vom FS-Rat her nicht viele Daten
** Stattdessen viel in zentralem Uni-System
** Reso an Hochschule geschickt → es hat sich nicht wirklich etwas getan
** Proffessoren sind nicht scharf drauf Datenschutz umzusetzen
* Uni Bochum
** Ablösung von Wordpress-Seite durch eigene(Weniger Cookies)
** Whatsapp-Account der Ini
** Sitzungen in Discord vs Mumble
** Wechsel weg von Dropbox in Arbeit
** Reso hatte bei uns niemand mitgekriegt (sind das erste Mal auf der KIF) aber hatten das Thema schon auf der KoMa ausdiskutiert
* Passau
** Kein Gegenwind zur Reso, aber nicht viel Interresse sich damit auch zu beschäftigen
** Mangelndes Wissen:
*** Vorheriger AK half dabei
** nicht genug Menschen mit Zeit/Motivation um technische Dinge (Übersichtsdokumente etc) umzusetzen
* TU Dortmund
** viele selbsgehostete Open Source Dienste
** Datenschutzerklärung vorhanden
** Nach Reso Plannung von automatischem Löschen von Daten aus Ticket-System
** Noch viel Telegram zur internen Kommunikation
*** Es soll zu Matrix umgezogen werden, aber es gibt Vorbehalte (Gewohnheit etc)
** AStA und Uni sind eher schlechter aufgestellt
*** Versuchen mit gutem Beispiel voranzugehen um auch dort etwas zu verbessern
* HU Berlin
** Reso kam in der Initiative an
*** Monatelang nichts passiert
*** Vor der KIF wieder aufgewärmt
** Haben noch Finanzdaten von anno dazumal, die weg müssen
*** viel Nachholbedarf
** Problem:
*** Müssen noch mit ASTA reden
**** haben die Datenschutzbeauftragten?
**** je nach Antworten mehr oder weniger Arbeit übrig
*** Personalmangel
*** mangelnder Überblick über die vorhandenen Dienste
* Uni Marburg
** Der Datenschutzbeauftragte sitzt wahrscheinlich in der IT Administration
** Discord wird noch verwendet
*** die Uni fordert, dass gesagt wird, dass dieser von Privatleuten geführt wird und nicht von der Uni wg Datenschutzrecht


- Uni Hannover
== Weitere Fragen ==
    - verantwortlichkeit von Datenschutz beim ASTA
    - Haben im Zuge der Einführung des DSGVO eine Datenschutzerklärung für die Website gemacht
    - werden sich bemühen über dem ASTA hinaus eine Schulung in Sachen Datenschutz bekommen
    - Anbindung an Zentralen-Login  gewünscht


- Uni Chemnitz
* Verwendete Cloud Lösungen?
    - Viel Arbeit, wenig aktive
** sciebo
    - Allgemeine Anfrage vom Datenschutz-Beauftragten zu Mailing-Liste
** Hannover hat Cloud-Lösung(Seafile) vom Rechenzentrum
    - weiterhin Arbeit gegen Zoom
** Hu Berlin stellt Studierenden HuBox(Seafile) zur Verfügung
    - In dieser Amtszeit Vorhaben mehr in der Richtung zu machen
** Nextcloud (zB von fachschaften.org)
    - Arbeit ist aktuell (nach Kenntnisstand) bereits weitestgehend DS-konform
** selbstgehostet
    - Discord-Server zum Kontakt mit Studis, soll überprüft werden
** RWTH Aachen hat was
    - Telegram-Gruppe als sekundärer interner Kommunikationskanal
** AFS von Uni
   
* wie Open-Source-Dienste DSGVO-konform kriegen, wenn das upstream noch nicht vorgesehen ist? (z.B. Löschung nach bestimmter Zeit)
- Uni Zittau Görlitz
* was kann man machen?
    - Sehr kleine Fakultät (~100 Personen)
** Twitter → Feed mit Nitter ziehen
    - vom FS-Rat her nicht viele Daten
*** Leute können TwitterFeed auf Fachschaftswebseite einsehen ohne auf Twitter zu müssen
    - Stattdessen viel in zentralem Uni-System
** Newsfeed via RSS
    - Reso an Hochschule geschickt es hat sich nicht wirklich etwas getan
*** Mail, Twitter und Matrixchannel anbinden (RSS zu den anderen Sachen pipen)
    - Proffessoren sind nicht scharf drauf Datenschutz umzusetzen
* Einige Unis hosten eigene Matrix-Instanzen
** muss teilweise noch mehr Bekanntheit/Nutzen finden
** bei HRZ nicht föderiert damit Daten nicht zu anderen Identity Servern gehen
*** vermutlich durch Encryption doch ok
* Methoden um dafür zu sorgen, dass Leute die Relevanz des Problems einsehen
** mehr Bildung
*** vllt hat eure Uni ein entsprechendes Angebot? (Schlüsselqualifikation etc)
*** Datenschutzbeauftragten fragen (Schulung?)
** Vorschlag-Hammer Methode: DSGVO Anfrage stellen
*** Könnte Ex-FSler:in tun
** Einstiegshürden senken
*** zB via Checklisten
* Problem: Leute haben dauernd neue lustige Ideen, die nicht datenschutzkonform sind
** Neue Projekte direkt mit Datenschutzkonformität planen
** Leute führen einfach neue Dinge ein
* Problem: Leute wollen Services, für die es "keine datenschutzkonforme Alternative" gibt
* Unüberschaubare Mengen Arbeit
** welche Dienste gibt es überhaupt?
*** Priorisieren nach kritischen Diensten
*** Angenommen DSGVO Anfrage kommt rein, was muss dann alles geguckt werden? durchspielen, sich einer DSGVO konformen Antwort annähern
** für alle Dienste die jeweiligen Betroffenenrechte klären und kurz dokumentieren
*** mindestens manuelle Behandlung, wo möglich auch automatisiert, und dann schrittweise verbessern


- Uni Bochum
== Nächste Schritte? ==
    - Ablösung von Wordpress-Seite durch eigene(Weniger Cookies)
    - Whatsapp-Account der Ini
    - Sitzungen in Discord vs Mumble
    - Wechsel weg von Dropbox in Arbeit
    - Reso hatte bei uns niemand mitgekriegt (sind das erste Mal auf der KIF) aber hatten das Thema schon auf der KoMa ausdiskutiert


- Passau
* Erste paar Dienste notdürftig zusammendokumentiert, daran weiterarbeiten
    - Kein Gegenwind zur Reso, aber nicht viel Interresse sich damit auch zu beschäftigen
* Mit Datenschutzbeauftragten in Kontakt treten, sobald etwas sauberer, da Vorbehalt besteht
    - Mangelndes Wissen:
** Datenschutzbeauftragter hat beratende Funktion → keine Angst
        - Vorheriger AK half dabei
* Stück für Stück auf sinnvollen Stand bringen
    - nicht genug Menschen mit Zeit/Motivation um technische Dinge (Übersichtsdokumente etc) umzusetzen
** Augenmerk auf Mailinglisten, Finanzen, Aufbewahrungsfristen


- TU Dortmund
== Rants ==
    - viele selbsgehostete Open Source Dienste
    - Datenschutzerklärung vorhanden
    - Nach  Reso Plannung von automatischem Löschen von Daten aus Ticket-System
    - Noch viel Telegram zur internen Kommunikation
        - Es soll zu Matrix umgezogen werden, aber es gibt Vorbehalte (Gewohnheit etc)
    - AStA und Uni sind eher schlechter aufgestellt
        - Versuchen mit gutem Beispiel voranzugehen um auch dort etwas zu verbessern


- HU Berlin
* Im Studierendenparlament gibt es geteilte Mailkonten, da Leute Mailinglisten nicht verstehen
    - Reso kam in der Initiative an
** es gibt jetzt Mailticketsystem mit dem Leute weiterhin nicht klarkommen
        - Monatelang nichts passiert
** man will nichts sagen, in der Befürchtung dass es schlimmer wird
        - Vor der KIF wieder aufgewärmt
* Linux auf Laptop, dann wollten Leute Windows. Dann wurde gedualbootet was kapputt gegangen ist → jetzt ist alles Windows
    - Haben noch Finanzdaten von anno dazumal, die weg müssen
** ähnlich auch woanders → Passwort im Bios
        - viel Nachholbedarf
** wenn Zeit und Energie vorhanden, Rechner-Setup automatisieren
    - Problem:
* "Datenschutz interessiert eh nur die 'IT-Ökos', allen anderen ist das egal also braucht man sich nicht drum kümmern"
        - Müssen noch mit ASTA reden
* Leute sind gegen Zoom, aber bei internen Sachen haben Leute kein Verständnis für Datenschutz
            - haben die Datenschutzbeauftragten?
** Bei der Uni beschweren aber es selbst nicht besser machen
            - je nach Antworten mehr oder weniger Arbeit übrig
** "Können wir euer Limesurvey verwenden? Wir können ja mal auf Zoom darüber reden"
        - Personalmangel
* StuRa trifft sich über Zoom, da Jitsi nicht funkitoniert hat
        - mangelnder Überblick über die vorhandenen Dienste
** Für die OE BBB-Cluster aufgesetzt und dann dem StuRa vorgeschlagen → Lösung war wohl nicht nutzerfreundlich genug und wurde nicht angenommen
* limesurvey-Umfrage geteilt über mini-Mailingliste und Instagram "so kriegt das ja jeder"
* Umfrage über Kommunikationstool mit den Optionen Matrix oder Discord → Discord hat gewonnen
** das alles nachdem gegen die Uni wegen Datenschutz gewetter wurde
* Mensch wollte in die FS einsteigen und tat eine Umfrage → hat google docs statt limesurvey benutzt, interne haben den Link dann an alle Studis geteilt


- Uni Marburg
== Positives ==
    - Der Datenschutzbeauftragte sitzt wahrscheinlich in der IT Administration
    - Discord wird noch verwendet
        - die Uni fordert, dass gesagt wird, dass dieser von Privatleuten geführt wird und nicht von der Uni wg Datenschutzrecht


## Weitere Fragen
* eigenes CodiMD/hedgedoc wurde aufgesetzt und wird gut genutzt
- Verwendete Cloud Lösungen?
** weitere Tools haben gefolgt
    - sciebo
** btw nextcloud kann gemeinsames bearbeiten von rich text dateien via plugin: Collabora Online
    - Hannover hat Cloud-Lösung(Seafile) vom Rechenzentrum
* FSR Admins sind auf Matrix umgestiegen von Telegram
    - Hu Berlin  stellt Studierenden HuBox(Seafile) zur Verfügung
* Passwörter werden nicht mehr unverschlüsselt per E-Mail versendet und gespeichert
    - Nextcloud (zB von fachschaften.org)
** nächstes Projekt: social media passwortspeicher
    - selbstgehostet
** tool: "pass" für gnupg verschlüsselte Dateien in einem git: https://www.passwordstore.org/
    - RWTH Aachen hat was
** Open-Source Bitwarden-Server-Nachimplementierung: https://github.com/dani-garcia/vaultwarden
    - AFS von Uni
* Wunsch diesen AK auf folgenden KIFs wieder anzubieten
- wie Open-Source-Dienste DSGVO-konform kriegen, wenn das upstream noch nicht vorgesehen ist? (z.B. Löschung nach bestimmter Zeit)
** Progress und Rant Stammtisch (kann ich machen, stupst mich, falls ich's vergess - welkerje)
- was kann man machen?
    - Twitter → Feed mit Nitter ziehen
        - Leute können TwitterFeed auf Fachschaftswebseite einsehen ohne auf Twitter zu müssen
    - Newsfeed via RSS
        - Mail, Twitter und Matrixchannel anbinden (RSS zu den anderen Sachen pipen)
- Einige Unis hosten eigene Matrix-Instanzen
    - muss teilweise noch mehr Bekanntheit/Nutzen finden
    - bei HRZ nicht föderiert damit Daten nicht zu anderen Identity Servern gehen
        - vermutlich durch Encryption doch ok
- Methoden um dafür zu sorgen, dass Leute die Relevanz des Problems einsehen
    - mehr Bildung
        - vllt hat eure Uni ein entsprechendes Angebot? (Schlüsselqualifikation etc)
        - Datenschutzbeauftragten fragen (Schulung?)
    - Vorschlag-Hammer Methode: DSGVO Anfrage stellen
        - Könnte Ex-FSler:in tun
    - Einstiegshürden senken
        - zB via Checklisten
- Problem: Leute haben dauernd neue lustige Ideen, die nicht datenschutzkonform sind
    - Neue Projekte direkt mit Datenschutzkonformität planen
    - Leute führen einfach neue Dinge ein
- Problem: Leute wollen Services, für die es "keine datenschutzkonforme Alternative" gibt
- Unüberschaubare Mengen Arbeit
    - welche Dienste gibt es überhaupt?
        - Priorisieren nach kritischen Diensten
        - Angenommen DSGVO Anfrage kommt rein, was muss dann alles geguckt werden? durchspielen, sich einer DSGVO konformen Antwort annähern
    - für alle Dienste die jeweiligen Betroffenenrechte klären und kurz dokumentieren
        - mindestens manuelle Behandlung, wo möglich auch automatisiert, und dann schrittweise verbessern


## Nächste Schritte?
== Ressourcen ==
- Erste paar Dienste notdürftig zusammendokumentiert, daran weiterarbeiten
- Mit Datenschutzbeauftragten in Kontakt treten, sobald etwas sauberer, da Vorbehalt besteht
    -  Datenschutzbeauftragter hat beratende Funktion → keine Angst
- Stück für Stück auf sinnvollen Stand bringen
    - Augenmerk auf Mailinglisten, Finanzen, Aufbewahrungsfristen
       
## Rants
- Im Studierendenparlament gibt es geteilte Mailkonten, da Leute Mailinglisten nicht verstehen
    - es gibt jetzt Mailticketsystem mit dem Leute weiterhin nicht klarkommen
    - man will nichts sagen, in der Befürchtung dass es schlimmer wird
- Linux auf Laptop, dann wollten Leute Windows. Dann wurde gedualbootet was kapputt gegangen ist → jetzt ist alles Windows
    - ähnlich auch woanders → Passwort im Bios
    - wenn Zeit und Energie vorhanden, Rechner-Setup automatisieren
- "Datenschutz interessiert eh nur die 'IT-Ökos', allen anderen ist das egal also braucht man sich nicht drum kümmern"
- Leute sind gegen Zoom, aber bei internen Sachen haben Leute kein Verständnis für Datenschutz
    - Bei der Uni beschweren aber es selbst nicht besser machen
    - "Können wir euer Limesurvey verwenden? Wir können ja mal auf Zoom darüber reden"
- StuRa trifft sich über Zoom, da Jitsi nicht funkitoniert hat
    - Für die OE BBB-Cluster aufgesetzt und dann dem StuRa vorgeschlagen → Lösung war wohl nicht nutzerfreundlich genug und wurde nicht angenommen
- limesurvey-Umfrage geteilt über mini-Mailingliste und Instagram "so kriegt das ja jeder"
- Umfrage über Kommunikationstool mit den Optionen Matrix oder Discord → Discord hat gewonnen
    - das alles nachdem gegen die Uni wegen Datenschutz gewetter wurde
- Mensch wollte in die FS einsteigen und tat eine Umfrage → hat google docs statt limesurvey benutzt, interne haben den Link dann an alle Studis geteilt


## Positives
* Reso: https://wiki.kif.rocks/wiki/KIF485:Resolutionen/Datenschutz_Fachschaften
- eigenes CodiMD/hedgedoc wurde aufgesetzt und wird gut genutzt
* Checkliste: https://wiki.kif.rocks/wiki/KIF485:Resolutionsentw%C3%BCrfe/Datenschutz_Fachschaften/Anhang
    - weitere Tools haben gefolgt
* Protokoll vom letztem Mal: https://md.kif.rocks/Nka81kROQ0ixzJPmNzKHBA#
    - btw nextcloud kann gemeinsames bearbeiten von rich text dateien via plugin: Collabora Online
* DSGVO: https://dsgvo-gesetz.de
-  FSR Admins sind auf Matrix umgestiegen von Telegram
* Matrix DSE (kif.rocks + fachschaften.org): https://md.fachschaften.org/_hmxfyc-SZi-fLjyyT2kvw#
-  Passwörter werden nicht mehr unverschlüsselt per E-Mail versendet und gespeichert
* Checklist: https://gdprchecklist.io
    -  nächstes Projekt: social media passwortspeicher
* Alternativen Übersicht: https://opensource.com/alternatives
    -  tool: "pass" für gnupg verschlüsselte Dateien in einem git: https://www.passwordstore.org/
* viele Tools: https://fachschaften.org
    -  Open-Source Bitwarden-Server-Nachimplementierung: https://github.com/dani-garcia/vaultwarden
* How-to BBB mit minimalem Aufwand (Erfahrung von der LMU): https://md.kif.rocks/_9LGrO9ySIKzMI1LHk0MpA#
   
- Wunsch diesen AK auf folgenden KIFs wieder anzubieten
    - → Progress und Rant Stammtisch (kann ich machen, stupst mich, falls ich's vergess - welkerje)
   
## Ressourcen
- Reso: https://wiki.kif.rocks/wiki/KIF485:Resolutionen/Datenschutz_Fachschaften
- Checkliste: https://wiki.kif.rocks/wiki/KIF485:Resolutionsentw%C3%BCrfe/Datenschutz_Fachschaften/Anhang
- Protokoll vom letztem Mal: https://md.kif.rocks/Nka81kROQ0ixzJPmNzKHBA#
- DSGVO: https://dsgvo-gesetz.de
- Matrix DSE (kif.rocks + fachschaften.org): https://md.fachschaften.org/_hmxfyc-SZi-fLjyyT2kvw#
- Checklist: https://gdprchecklist.io
- Alternativen Übersicht: https://opensource.com/alternatives
- viele Tools: https://fachschaften.org
- How-to BBB mit minimalem Aufwand (Erfahrung von der LMU): https://md.kif.rocks/_9LGrO9ySIKzMI1LHk0MpA#

Aktuelle Version vom 15. Mai 2021, 20:38 Uhr

Folge-Ak Datenschutz Fachschaften[Bearbeiten]

Folge-AK zu Datenschutz für Fachschaften von der 48,5. KIF

Anwesenheit[Bearbeiten]

(+) - Letztes Mal dabei?

  • Uni Stuttgart
    • Janette (+)
    • Marcial
    • David
  • LMU
    • Aldo
    • Silas
  • Uni Chemnitz
    • Markus (nur bei Teil 1 anwesend gewesen)
  • Uni Hannover
    • Matti
  • Hochschule Zittau Görlitz
    • Peter
  • Ruhruni Bochum
    • S0ra
  • Uni Passau
    • Sven (+)
  • TU Dortmund
    • Timuçin
  • Hu Berlin
    • Aaron
  • Uni Marburg
    • Mattis

Fragen / Erzählanstöße[Bearbeiten]

  • Wie gut wurde die Reso daheim angenommen?
  • Habt ihr bereits Dinge umgesetzt/etwas bewegt?
  • Probleme?
  • Weiteres Vorgehen?
  • Weitere Erfahrungen

Austausch[Bearbeiten]

  • Uni Stuttgart
    • Reso ist unterschiedlich gut angekommen
      • zu viel Veränderung/ist doch eh egal/zu viel Arbeitsaufwand
      • Open Source Software sei doof und nicht usable (Alternativen mit denen sich Leute abfinden wollen sind schwer zu finden)
      • die Uni macht Datenschutz nicht richtig, warum sollten wir das dann?
      • Rechtliche Maßnahmen würden die FS eh nicht treffen, sondern nur unser [ASTA-äquivalent]
    • Arbeitstag:
      • Checkliste angeguckt und spekuliert: was geht schnell? → ToDoListe
      • begonnen Status Quo zu erfassen und ToDoListe zu bearbeiten
        • Probleme:
          • Fehlende:r Datenschutzbeauftragte:r für Fragen die bei der Bearbeitung aufgekommen sind
          • unüberschaubare Menge Arbeit, wo fängt man das an?
          • nicht viele hatten das Interesse/Zeit/was auch immer da mit anzupacken
    • [ASTA-äquivalent] hat offenen Brief ans Rektorat über die Nutzung von WebEx an der Uni geschrieben
      • wurde von vielen unterschrieben
      • wurde vom Rektorat abgewimmelt
        • Die Uni möchte weiterhin an Cisco Webex festhalten, der Vertrag mit Cisco wurde verlängert. Sie ist überzeugt, dass die Datenschutzprobleme, die sich aus rechtlicher Sicht ergeben, bald behoben sein werden. Ein fertiger AV-Vertrag liege endlich vor und werde aktuell überprüft
        • Die CIO verspricht, dass demnächst auf der Uni-Website transparent gemacht werden soll, welche persönlichen Daten bei der Verwendung von Webex gespeichert werden und was man ggf. dagegen tun kann
        • Selbsthosting sei zu teuer, es gäbe kein Personal und keine Kapazitäten. Die Uni denkt darüber nach eine zweite, zusätzliche Cloud-Lösung anzuschaffen. eine Hochschulübergreifende Lösung sei kurzfristig nicht realistisch. Langfristig (vielleicht ab WiSe 2022/23) denkbar, falls ein System von anderen bereitgestellt werde
  • LMU
    • Verteilung der Aufgaben auf die Leute ist schwierig → Thema wird geschoben
    • Liste offener Probleme existiert (basierend auf https://gdprchecklist.io/)
    • Template pro Dienst erwünscht
  • Uni Hannover
    • verantwortlichkeit von Datenschutz beim ASTA
    • Haben im Zuge der Einführung des DSGVO eine Datenschutzerklärung für die Website gemacht
    • werden sich bemühen über dem ASTA hinaus eine Schulung in Sachen Datenschutz bekommen
    • Anbindung an Zentralen-Login gewünscht
  • Uni Chemnitz
    • Viel Arbeit, wenig aktive
    • Allgemeine Anfrage vom Datenschutz-Beauftragten zu Mailing-Liste
    • weiterhin Arbeit gegen Zoom
    • In dieser Amtszeit Vorhaben mehr in der Richtung zu machen
    • Arbeit ist aktuell (nach Kenntnisstand) bereits weitestgehend DS-konform
    • Discord-Server zum Kontakt mit Studis, soll überprüft werden
    • Telegram-Gruppe als sekundärer interner Kommunikationskanal
  • Uni Zittau Görlitz
    • Sehr kleine Fakultät (~100 Personen)
    • vom FS-Rat her nicht viele Daten
    • Stattdessen viel in zentralem Uni-System
    • Reso an Hochschule geschickt → es hat sich nicht wirklich etwas getan
    • Proffessoren sind nicht scharf drauf Datenschutz umzusetzen
  • Uni Bochum
    • Ablösung von Wordpress-Seite durch eigene(Weniger Cookies)
    • Whatsapp-Account der Ini
    • Sitzungen in Discord vs Mumble
    • Wechsel weg von Dropbox in Arbeit
    • Reso hatte bei uns niemand mitgekriegt (sind das erste Mal auf der KIF) aber hatten das Thema schon auf der KoMa ausdiskutiert
  • Passau
    • Kein Gegenwind zur Reso, aber nicht viel Interresse sich damit auch zu beschäftigen
    • Mangelndes Wissen:
      • Vorheriger AK half dabei
    • nicht genug Menschen mit Zeit/Motivation um technische Dinge (Übersichtsdokumente etc) umzusetzen
  • TU Dortmund
    • viele selbsgehostete Open Source Dienste
    • Datenschutzerklärung vorhanden
    • Nach Reso Plannung von automatischem Löschen von Daten aus Ticket-System
    • Noch viel Telegram zur internen Kommunikation
      • Es soll zu Matrix umgezogen werden, aber es gibt Vorbehalte (Gewohnheit etc)
    • AStA und Uni sind eher schlechter aufgestellt
      • Versuchen mit gutem Beispiel voranzugehen um auch dort etwas zu verbessern
  • HU Berlin
    • Reso kam in der Initiative an
      • Monatelang nichts passiert
      • Vor der KIF wieder aufgewärmt
    • Haben noch Finanzdaten von anno dazumal, die weg müssen
      • viel Nachholbedarf
    • Problem:
      • Müssen noch mit ASTA reden
        • haben die Datenschutzbeauftragten?
        • je nach Antworten mehr oder weniger Arbeit übrig
      • Personalmangel
      • mangelnder Überblick über die vorhandenen Dienste
  • Uni Marburg
    • Der Datenschutzbeauftragte sitzt wahrscheinlich in der IT Administration
    • Discord wird noch verwendet
      • die Uni fordert, dass gesagt wird, dass dieser von Privatleuten geführt wird und nicht von der Uni wg Datenschutzrecht

Weitere Fragen[Bearbeiten]

  • Verwendete Cloud Lösungen?
    • sciebo
    • Hannover hat Cloud-Lösung(Seafile) vom Rechenzentrum
    • Hu Berlin stellt Studierenden HuBox(Seafile) zur Verfügung
    • Nextcloud (zB von fachschaften.org)
    • selbstgehostet
    • RWTH Aachen hat was
    • AFS von Uni
  • wie Open-Source-Dienste DSGVO-konform kriegen, wenn das upstream noch nicht vorgesehen ist? (z.B. Löschung nach bestimmter Zeit)
  • was kann man machen?
    • Twitter → Feed mit Nitter ziehen
      • Leute können TwitterFeed auf Fachschaftswebseite einsehen ohne auf Twitter zu müssen
    • Newsfeed via RSS
      • Mail, Twitter und Matrixchannel anbinden (RSS zu den anderen Sachen pipen)
  • Einige Unis hosten eigene Matrix-Instanzen
    • muss teilweise noch mehr Bekanntheit/Nutzen finden
    • bei HRZ nicht föderiert damit Daten nicht zu anderen Identity Servern gehen
      • vermutlich durch Encryption doch ok
  • Methoden um dafür zu sorgen, dass Leute die Relevanz des Problems einsehen
    • mehr Bildung
      • vllt hat eure Uni ein entsprechendes Angebot? (Schlüsselqualifikation etc)
      • Datenschutzbeauftragten fragen (Schulung?)
    • Vorschlag-Hammer Methode: DSGVO Anfrage stellen
      • Könnte Ex-FSler:in tun
    • Einstiegshürden senken
      • zB via Checklisten
  • Problem: Leute haben dauernd neue lustige Ideen, die nicht datenschutzkonform sind
    • Neue Projekte direkt mit Datenschutzkonformität planen
    • Leute führen einfach neue Dinge ein
  • Problem: Leute wollen Services, für die es "keine datenschutzkonforme Alternative" gibt
  • Unüberschaubare Mengen Arbeit
    • welche Dienste gibt es überhaupt?
      • Priorisieren nach kritischen Diensten
      • Angenommen DSGVO Anfrage kommt rein, was muss dann alles geguckt werden? → durchspielen, sich einer DSGVO konformen Antwort annähern
    • für alle Dienste die jeweiligen Betroffenenrechte klären und kurz dokumentieren
      • mindestens manuelle Behandlung, wo möglich auch automatisiert, und dann schrittweise verbessern

Nächste Schritte?[Bearbeiten]

  • Erste paar Dienste notdürftig zusammendokumentiert, daran weiterarbeiten
  • Mit Datenschutzbeauftragten in Kontakt treten, sobald etwas sauberer, da Vorbehalt besteht
    • Datenschutzbeauftragter hat beratende Funktion → keine Angst
  • Stück für Stück auf sinnvollen Stand bringen
    • Augenmerk auf Mailinglisten, Finanzen, Aufbewahrungsfristen

Rants[Bearbeiten]

  • Im Studierendenparlament gibt es geteilte Mailkonten, da Leute Mailinglisten nicht verstehen
    • es gibt jetzt Mailticketsystem mit dem Leute weiterhin nicht klarkommen
    • man will nichts sagen, in der Befürchtung dass es schlimmer wird
  • Linux auf Laptop, dann wollten Leute Windows. Dann wurde gedualbootet was kapputt gegangen ist → jetzt ist alles Windows
    • ähnlich auch woanders → Passwort im Bios
    • wenn Zeit und Energie vorhanden, Rechner-Setup automatisieren
  • "Datenschutz interessiert eh nur die 'IT-Ökos', allen anderen ist das egal also braucht man sich nicht drum kümmern"
  • Leute sind gegen Zoom, aber bei internen Sachen haben Leute kein Verständnis für Datenschutz
    • Bei der Uni beschweren aber es selbst nicht besser machen
    • "Können wir euer Limesurvey verwenden? Wir können ja mal auf Zoom darüber reden"
  • StuRa trifft sich über Zoom, da Jitsi nicht funkitoniert hat
    • Für die OE BBB-Cluster aufgesetzt und dann dem StuRa vorgeschlagen → Lösung war wohl nicht nutzerfreundlich genug und wurde nicht angenommen
  • limesurvey-Umfrage geteilt über mini-Mailingliste und Instagram "so kriegt das ja jeder"
  • Umfrage über Kommunikationstool mit den Optionen Matrix oder Discord → Discord hat gewonnen
    • das alles nachdem gegen die Uni wegen Datenschutz gewetter wurde
  • Mensch wollte in die FS einsteigen und tat eine Umfrage → hat google docs statt limesurvey benutzt, interne haben den Link dann an alle Studis geteilt

Positives[Bearbeiten]

  • eigenes CodiMD/hedgedoc wurde aufgesetzt und wird gut genutzt
    • weitere Tools haben gefolgt
    • btw nextcloud kann gemeinsames bearbeiten von rich text dateien via plugin: Collabora Online
  • FSR Admins sind auf Matrix umgestiegen von Telegram
  • Passwörter werden nicht mehr unverschlüsselt per E-Mail versendet und gespeichert
  • Wunsch diesen AK auf folgenden KIFs wieder anzubieten
    • → Progress und Rant Stammtisch (kann ich machen, stupst mich, falls ich's vergess - welkerje)

Ressourcen[Bearbeiten]