KIF460:DSGVO

Aus KIF

Als Vorbereitung empfehlenswert: GDPR for Nerds

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

HIER KOMMT EINE DATENSCHUTZ-MAILINGLISTE HIN


DSGVO

Allgemeine Leitfäden

kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf https://www.datenschutzzentrum.de/dsgvo/ https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html https://github.com/lukasleitsch/dsgvo-checkliste https://github.com/qbi/DSGVO-Liste https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)

Datenschutzerklärung

   https://datenschutz-generator.de/

Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ 

   beinhaltet mindestens:
   welche Daten erhoben und verarbeitet werden
   ob und in welcher Form Daten an Dritte weitergegeben werden
   ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
   ein Ansprechpartner für Fragen

Datenverarbeitungsprozesse

   Anmeldung der Erstis zu O-Phase

   Frage: Gibt es einen Systematischen Ansatz?

   Es muss alles transparent gehandhabt werden. 

   Eigene persönliche Daten auf Anfrage einsehbar

   immer Opt-in

   Privacy by Design

   Folgende wichtige Punkte umfasst die DSGVO (Struktur)

   Informationspflichten

   Organisatorisch: Sicherheit muss garantiert sein

   Auskunftspflichten

   Recht auf Vergessenwerden

   Datensparsamkeit

   Meldepflichten

   Was passiert mit den bereits existierenden Daten?

   Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)

   Offene Fragen:

   Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden

   Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will

   Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will

   Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden

   Daten sperren statt löschen geht nicht mehr so gut

   man darf (vermutlich; Quelle fehlt) Daten behalten

   wichtig: NUR als Backup

   wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden

   Wer ist verantwortlich dafür für Datensicherheit zu sorgen

   Antwort: Admins müssen Datenschutzbeauftragte

   DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?

   Inhaber der Domain könnte da ein Indikator sein

   besser mal bei der Uni anfragen?

   Einschätzung Arbeitsaufwand

   als Privatperson: finde ich Gut

   als Verantwortlicher: Transparenz ist die Arbeit wert

   im Asta: ich brauche Unterstützung

   Brauchen wir einen Datenschutzbeauftragten

   Unis lehnen ab dafür verantwortlich zu sein

   alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)

   getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss

   Was sollen die Strafen bei öffentlichen Institutionen

   Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)

   https://dsgvo-gesetz.de/art-89-dsgvo/

   <Frage???>

   allen Nutzern eine Mail schreiben

   ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)

   Was mit Wahldaten?

   geht wenn die Uni das in ihren Ordnungen stehen hat

   wichtig: danach vernichten (schreddern)

   Wie finde ich Raus ob meine Uni konform ist?

   Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?

   ja, aber die uni darf das, wenn der prof das braucht

   Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?

   Logging

   IP-Adressen sind persönlich

   Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann

   Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?

   Wie sieht das mit dem KIF Wiki aus?

   Auftragsverarbeiter ist Bremen

   Datenschutzerklärung fehlt

   Was ist, wenn jemand Daten reinschreibt?

   Foren-Haftungsfrage?

   Wie weist man Leute darauf hin (macht Panik)?

   erst: mit dem Datenschutzbeauftragtem reden

   Stu[rp]a-Antrag: Datenschutzbeauftragten benennen

   Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?

   Wie ist das mit internen Abläufen?

   Vertrauen: Wo kein Kläger, da kein Richter

   Fotos?

   es ist noch unklar, ob Bilder personenbezogene Daten sind

   einfache Lösung: alle Fotos löschen

   komplizierter: normal damit vorgehen


Datenschutzerklärungs

   Musterdatenschutzerklärung

   Datenschutzerklärungsgeneratoren sind gar nicht schlecht

   immer eine Gute Idee: Die Uni fragen

   Studierendenschaft ist nur eine juristische Person

   Datenschutzbeauftragten direkt fragen

   sieht es nicht im eigenen Gebiet

   Asta hat dann ein Gespräch angezettelt um das selber umzusetzen


https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

Abgerufen von „https://wiki.kif.rocks/w/index.php?title=KIF460:DSGVO&oldid=37267