KIF460:DSGVO: Unterschied zwischen den Versionen
Silas (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Silas (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 2: | Zeile 2: | ||
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo | Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo | ||
HIER KOMMT EINE DATENSCHUTZ-MAILINGLISTE HIN | |||
===== DSGVO ===== | |||
==== Allgemeine Leitfäden ==== | |||
kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html | |||
https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf | |||
https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf | |||
https://www.datenschutzzentrum.de/dsgvo/ | |||
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html | |||
https://github.com/lukasleitsch/dsgvo-checkliste | |||
https://github.com/qbi/DSGVO-Liste | |||
https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) | |||
https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO) | |||
==== Datenschutzerklärung ==== | |||
https://datenschutz-generator.de/ | |||
Muster: | |||
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ | |||
beinhaltet mindestens: | |||
welche Daten erhoben und verarbeitet werden | |||
ob und in welcher Form Daten an Dritte weitergegeben werden | |||
ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer | |||
ein Ansprechpartner für Fragen | |||
==== Datenverarbeitungsprozesse ==== | |||
Anmeldung der Erstis zu O-Phase | |||
Frage: Gibt es einen Systematischen Ansatz? | |||
Es muss alles transparent gehandhabt werden. | |||
Eigene persönliche Daten auf Anfrage einsehbar | |||
immer Opt-in | |||
Privacy by Design | |||
Folgende wichtige Punkte umfasst die DSGVO (Struktur) | |||
Informationspflichten | |||
Organisatorisch: Sicherheit muss garantiert sein | |||
Auskunftspflichten | |||
Recht auf Vergessenwerden | |||
Datensparsamkeit | |||
Meldepflichten | |||
Was passiert mit den bereits existierenden Daten? | |||
Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht) | |||
Offene Fragen: | |||
Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden | |||
Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will | |||
Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will | |||
Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden | |||
Daten sperren statt löschen geht nicht mehr so gut | |||
man darf (vermutlich; Quelle fehlt) Daten behalten | |||
wichtig: NUR als Backup | |||
wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden | |||
Wer ist verantwortlich dafür für Datensicherheit zu sorgen | |||
Antwort: Admins müssen Datenschutzbeauftragte | |||
DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich? | |||
Inhaber der Domain könnte da ein Indikator sein | |||
besser mal bei der Uni anfragen? | |||
Einschätzung Arbeitsaufwand | |||
als Privatperson: finde ich Gut | |||
als Verantwortlicher: Transparenz ist die Arbeit wert | |||
im Asta: ich brauche Unterstützung | |||
Brauchen wir einen Datenschutzbeauftragten | |||
Unis lehnen ab dafür verantwortlich zu sein | |||
alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA) | |||
getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss | |||
Was sollen die Strafen bei öffentlichen Institutionen | |||
Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen) | |||
https://dsgvo-gesetz.de/art-89-dsgvo/ | |||
<Frage???> | |||
allen Nutzern eine Mail schreiben | |||
ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert) | |||
Was mit Wahldaten? | |||
geht wenn die Uni das in ihren Ordnungen stehen hat | |||
wichtig: danach vernichten (schreddern) | |||
Wie finde ich Raus ob meine Uni konform ist? | |||
Muss ich auch z.B. in Abgabesystremen für Klausuren informieren? | |||
ja, aber die uni darf das, wenn der prof das braucht | |||
Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben? | |||
Logging | |||
IP-Adressen sind persönlich | |||
Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann | |||
Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden? | |||
Wie sieht das mit dem KIF Wiki aus? | |||
Auftragsverarbeiter ist Bremen | |||
Datenschutzerklärung fehlt | |||
Was ist, wenn jemand Daten reinschreibt? | |||
Foren-Haftungsfrage? | |||
Wie weist man Leute darauf hin (macht Panik)? | |||
erst: mit dem Datenschutzbeauftragtem reden | |||
Stu[rp]a-Antrag: Datenschutzbeauftragten benennen | |||
Was wenn man Emails per Telnet (nehmt besser openssl) verschickt? | |||
Wie ist das mit internen Abläufen? | |||
Vertrauen: Wo kein Kläger, da kein Richter | |||
Fotos? | |||
es ist noch unklar, ob Bilder personenbezogene Daten sind | |||
einfache Lösung: alle Fotos löschen | |||
komplizierter: normal damit vorgehen | |||
==== Datenschutzerklärungs ==== | |||
Musterdatenschutzerklärung | |||
Datenschutzerklärungsgeneratoren sind gar nicht schlecht | |||
immer eine Gute Idee: Die Uni fragen | |||
Studierendenschaft ist nur eine juristische Person | |||
Datenschutzbeauftragten direkt fragen | |||
sieht es nicht im eigenen Gebiet | |||
Asta hat dann ein Gespräch angezettelt um das selber umzusetzen | |||
https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo |
Version vom 12. Mai 2018, 19:51 Uhr
Als Vorbereitung empfehlenswert: GDPR for Nerds
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
HIER KOMMT EINE DATENSCHUTZ-MAILINGLISTE HIN
DSGVO
Allgemeine Leitfäden
kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf https://www.datenschutzzentrum.de/dsgvo/ https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html https://github.com/lukasleitsch/dsgvo-checkliste https://github.com/qbi/DSGVO-Liste https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
Datenschutzerklärung
https://datenschutz-generator.de/
Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
beinhaltet mindestens: welche Daten erhoben und verarbeitet werden ob und in welcher Form Daten an Dritte weitergegeben werden ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer ein Ansprechpartner für Fragen
Datenverarbeitungsprozesse
Anmeldung der Erstis zu O-Phase
Frage: Gibt es einen Systematischen Ansatz?
Es muss alles transparent gehandhabt werden.
Eigene persönliche Daten auf Anfrage einsehbar
immer Opt-in
Privacy by Design
Folgende wichtige Punkte umfasst die DSGVO (Struktur)
Informationspflichten
Organisatorisch: Sicherheit muss garantiert sein
Auskunftspflichten
Recht auf Vergessenwerden
Datensparsamkeit
Meldepflichten
Was passiert mit den bereits existierenden Daten?
Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
Offene Fragen:
Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
Daten sperren statt löschen geht nicht mehr so gut
man darf (vermutlich; Quelle fehlt) Daten behalten
wichtig: NUR als Backup
wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
Wer ist verantwortlich dafür für Datensicherheit zu sorgen
Antwort: Admins müssen Datenschutzbeauftragte
DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
Inhaber der Domain könnte da ein Indikator sein
besser mal bei der Uni anfragen?
Einschätzung Arbeitsaufwand
als Privatperson: finde ich Gut
als Verantwortlicher: Transparenz ist die Arbeit wert
im Asta: ich brauche Unterstützung
Brauchen wir einen Datenschutzbeauftragten
Unis lehnen ab dafür verantwortlich zu sein
alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
Was sollen die Strafen bei öffentlichen Institutionen
Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
https://dsgvo-gesetz.de/art-89-dsgvo/
<Frage???>
allen Nutzern eine Mail schreiben
ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
Was mit Wahldaten?
geht wenn die Uni das in ihren Ordnungen stehen hat
wichtig: danach vernichten (schreddern)
Wie finde ich Raus ob meine Uni konform ist?
Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
ja, aber die uni darf das, wenn der prof das braucht
Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
Logging
IP-Adressen sind persönlich
Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
Wie sieht das mit dem KIF Wiki aus?
Auftragsverarbeiter ist Bremen
Datenschutzerklärung fehlt
Was ist, wenn jemand Daten reinschreibt?
Foren-Haftungsfrage?
Wie weist man Leute darauf hin (macht Panik)?
erst: mit dem Datenschutzbeauftragtem reden
Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
Wie ist das mit internen Abläufen?
Vertrauen: Wo kein Kläger, da kein Richter
Fotos?
es ist noch unklar, ob Bilder personenbezogene Daten sind
einfache Lösung: alle Fotos löschen
komplizierter: normal damit vorgehen
Datenschutzerklärungs
Musterdatenschutzerklärung
Datenschutzerklärungsgeneratoren sind gar nicht schlecht
immer eine Gute Idee: Die Uni fragen
Studierendenschaft ist nur eine juristische Person
Datenschutzbeauftragten direkt fragen
sieht es nicht im eigenen Gebiet
Asta hat dann ein Gespräch angezettelt um das selber umzusetzen