KIF460:DSGVO: Unterschied zwischen den Versionen
Aus KIF
Silas (Diskussion | Beiträge) |
Silas (Diskussion | Beiträge) |
||
Zeile 53: | Zeile 53: | ||
** wichtig: NUR als Backup | ** wichtig: NUR als Backup | ||
** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden | ** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden | ||
* Wer ist verantwortlich dafür für Datensicherheit zu sorgen | |||
** Antwort: Admins müssen Datenschutzbeauftragte | |||
* DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich? | |||
** Inhaber der Domain könnte da ein Indikator sein | |||
** besser mal bei der Uni anfragen? | |||
* Einschätzung Arbeitsaufwand | |||
** als Privatperson: finde ich Gut | |||
** als Verantwortlicher: Transparenz ist die Arbeit wert | |||
** im Asta: ich brauche Unterstützung | |||
* Brauchen wir einen Datenschutzbeauftragten | |||
** Unis lehnen ab dafür verantwortlich zu sein | |||
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA) | |||
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss |
Version vom 12. Mai 2018, 20:49 Uhr
Als Vorbereitung empfehlenswert: GDPR for Nerds
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo
Allgemeine Leitfäden
- kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
- https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
- https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
- https://www.datenschutzzentrum.de/dsgvo/
- https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
- https://github.com/lukasleitsch/dsgvo-checkliste
- https://github.com/qbi/DSGVO-Liste
- https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
- https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
Datenschutzerklärung
- https://datenschutz-generator.de/
- Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
- Deine Uni?
beinhaltet mindestens:
- welche Daten erhoben und verarbeitet werden
- ob und in welcher Form Daten an Dritte weitergegeben werden
- ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
- ein Ansprechpartner für Fragen
Datenverarbeitungsprozesse
- Anmeldung der Erstis zu O-Phase
- Frage: Gibt es einen Systematischen Ansatz?
- Es muss alles transparent gehandhabt werden.
- Eigene persönliche Daten auf Anfrage einsehbar
- immer Opt-in
- Privacy by Design
- Folgende wichtige Punkte umfasst die DSGVO (Struktur)
- Informationspflichten
- Organisatorisch: Sicherheit muss garantiert sein
- Auskunftspflichten
- Recht auf Vergessenwerden
- Datensparsamkeit
- Meldepflichten
- Was passiert mit den bereits existierenden Daten?
- Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
Offene Fragen
- Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
- Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
- Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
- Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
- Daten sperren statt löschen geht nicht mehr so gut
- man darf (vermutlich; Quelle fehlt) Daten behalten
- wichtig: NUR als Backup
- wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
- Wer ist verantwortlich dafür für Datensicherheit zu sorgen
- Antwort: Admins müssen Datenschutzbeauftragte
- DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
- Inhaber der Domain könnte da ein Indikator sein
- besser mal bei der Uni anfragen?
- Einschätzung Arbeitsaufwand
- als Privatperson: finde ich Gut
- als Verantwortlicher: Transparenz ist die Arbeit wert
- im Asta: ich brauche Unterstützung
- Brauchen wir einen Datenschutzbeauftragten
- Unis lehnen ab dafür verantwortlich zu sein
- alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
- getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss