KIF460:DSGVO: Unterschied zwischen den Versionen

Aus KIF
Keine Bearbeitungszusammenfassung
Zeile 29: Zeile 29:
     ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
     ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
     ein Ansprechpartner für Fragen
     ein Ansprechpartner für Fragen
==== Datenverarbeitungsprozesse ====
    Anmeldung der Erstis zu O-Phase
    Frage: Gibt es einen Systematischen Ansatz?
    Es muss alles transparent gehandhabt werden.
    Eigene persönliche Daten auf Anfrage einsehbar
    immer Opt-in
    Privacy by Design
    Folgende wichtige Punkte umfasst die DSGVO (Struktur)
    Informationspflichten
    Organisatorisch: Sicherheit muss garantiert sein
    Auskunftspflichten
    Recht auf Vergessenwerden
    Datensparsamkeit
    Meldepflichten
    Was passiert mit den bereits existierenden Daten?
    Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
    Offene Fragen:
    Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
    Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
    Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
    Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
    Daten sperren statt löschen geht nicht mehr so gut
    man darf (vermutlich; Quelle fehlt) Daten behalten
    wichtig: NUR als Backup
    wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
    Wer ist verantwortlich dafür für Datensicherheit zu sorgen
    Antwort: Admins müssen Datenschutzbeauftragte
    DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
    Inhaber der Domain könnte da ein Indikator sein
    besser mal bei der Uni anfragen?
    Einschätzung Arbeitsaufwand
    als Privatperson: finde ich Gut
    als Verantwortlicher: Transparenz ist die Arbeit wert
    im Asta: ich brauche Unterstützung
    Brauchen wir einen Datenschutzbeauftragten
    Unis lehnen ab dafür verantwortlich zu sein
    alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
    getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
    Was sollen die Strafen bei öffentlichen Institutionen
    Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
    https://dsgvo-gesetz.de/art-89-dsgvo/
    <Frage???>
    allen Nutzern eine Mail schreiben
    ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
    Was mit Wahldaten?
    geht wenn die Uni das in ihren Ordnungen stehen hat
    wichtig: danach vernichten (schreddern)
    Wie finde ich Raus ob meine Uni konform ist?
    Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
    ja, aber die uni darf das, wenn der prof das braucht
    Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
    Logging
    IP-Adressen sind persönlich
    Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
    Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
    Wie sieht das mit dem KIF Wiki aus?
    Auftragsverarbeiter ist Bremen
    Datenschutzerklärung fehlt
    Was ist, wenn jemand Daten reinschreibt?
    Foren-Haftungsfrage?
    Wie weist man Leute darauf hin (macht Panik)?
    erst: mit dem Datenschutzbeauftragtem reden
    Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
    Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
    Wie ist das mit internen Abläufen?
    Vertrauen: Wo kein Kläger, da kein Richter
    Fotos?
    es ist noch unklar, ob Bilder personenbezogene Daten sind
    einfache Lösung: alle Fotos löschen
    komplizierter: normal damit vorgehen


==== Datenschutzerklärungs ====
==== Datenschutzerklärungs ====

Version vom 12. Mai 2018, 19:54 Uhr

Als Vorbereitung empfehlenswert: GDPR for Nerds

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

HIER KOMMT EINE DATENSCHUTZ-MAILINGLISTE HIN


DSGVO

Allgemeine Leitfäden

kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf https://www.datenschutzzentrum.de/dsgvo/ https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html https://github.com/lukasleitsch/dsgvo-checkliste https://github.com/qbi/DSGVO-Liste https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)

Datenschutzerklärung

   https://datenschutz-generator.de/

Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

   beinhaltet mindestens:
   welche Daten erhoben und verarbeitet werden
   ob und in welcher Form Daten an Dritte weitergegeben werden
   ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
   ein Ansprechpartner für Fragen

Datenschutzerklärungs

   Musterdatenschutzerklärung
   Datenschutzerklärungsgeneratoren sind gar nicht schlecht
   immer eine Gute Idee: Die Uni fragen
   Studierendenschaft ist nur eine juristische Person
   Datenschutzbeauftragten direkt fragen
   sieht es nicht im eigenen Gebiet
   Asta hat dann ein Gespräch angezettelt um das selber umzusetzen


https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo