KIF460:DSGVO: Unterschied zwischen den Versionen
Aus KIF
Silas (Diskussion | Beiträge) |
Silas (Diskussion | Beiträge) |
||
Zeile 66: | Zeile 66: | ||
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA) | ** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA) | ||
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss | ** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss | ||
* Was sollen die Strafen bei öffentlichen Institutionen | |||
* Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen) | |||
** https://dsgvo-gesetz.de/art-89-dsgvo/ | |||
* <Frage???> | |||
** allen Nutzern eine Mail schreiben | |||
** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert) | |||
* Was mit Wahldaten? | |||
** geht wenn die Uni das in ihren Ordnungen stehen hat | |||
** wichtig: danach vernichten (schreddern) | |||
* Wie finde ich Raus ob meine Uni konform ist? | |||
* Muss ich auch z.B. in Abgabesystremen für Klausuren informieren? | |||
** ja, aber die uni darf das, wenn der prof das braucht |
Version vom 12. Mai 2018, 20:54 Uhr
Als Vorbereitung empfehlenswert: GDPR for Nerds
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo
Allgemeine Leitfäden
- kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
- https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
- https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
- https://www.datenschutzzentrum.de/dsgvo/
- https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
- https://github.com/lukasleitsch/dsgvo-checkliste
- https://github.com/qbi/DSGVO-Liste
- https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
- https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
Datenschutzerklärung
- https://datenschutz-generator.de/
- Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
- Deine Uni?
beinhaltet mindestens:
- welche Daten erhoben und verarbeitet werden
- ob und in welcher Form Daten an Dritte weitergegeben werden
- ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
- ein Ansprechpartner für Fragen
Datenverarbeitungsprozesse
- Anmeldung der Erstis zu O-Phase
- Frage: Gibt es einen Systematischen Ansatz?
- Es muss alles transparent gehandhabt werden.
- Eigene persönliche Daten auf Anfrage einsehbar
- immer Opt-in
- Privacy by Design
- Folgende wichtige Punkte umfasst die DSGVO (Struktur)
- Informationspflichten
- Organisatorisch: Sicherheit muss garantiert sein
- Auskunftspflichten
- Recht auf Vergessenwerden
- Datensparsamkeit
- Meldepflichten
- Was passiert mit den bereits existierenden Daten?
- Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
Offene Fragen
- Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
- Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
- Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
- Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
- Daten sperren statt löschen geht nicht mehr so gut
- man darf (vermutlich; Quelle fehlt) Daten behalten
- wichtig: NUR als Backup
- wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
- Wer ist verantwortlich dafür für Datensicherheit zu sorgen
- Antwort: Admins müssen Datenschutzbeauftragte
- DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
- Inhaber der Domain könnte da ein Indikator sein
- besser mal bei der Uni anfragen?
- Einschätzung Arbeitsaufwand
- als Privatperson: finde ich Gut
- als Verantwortlicher: Transparenz ist die Arbeit wert
- im Asta: ich brauche Unterstützung
- Brauchen wir einen Datenschutzbeauftragten
- Unis lehnen ab dafür verantwortlich zu sein
- alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
- getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
- Was sollen die Strafen bei öffentlichen Institutionen
- Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
- <Frage???>
- allen Nutzern eine Mail schreiben
- ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
- Was mit Wahldaten?
- geht wenn die Uni das in ihren Ordnungen stehen hat
- wichtig: danach vernichten (schreddern)
- Wie finde ich Raus ob meine Uni konform ist?
- Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
- ja, aber die uni darf das, wenn der prof das braucht