KIF460:DSGVO

Aus KIF

Als Vorbereitung empfehlenswert: GDPR for Nerds

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

Maillingliste (funktioniert momentan nicht, vermutlich da privat; WIP ): https://lists.fachschaften.org/sympa/info/kif-dsgvo

Allgemeine Leitfäden

Datenschutzerklärung

beinhaltet mindestens:

  • welche Daten erhoben und verarbeitet werden
  • ob und in welcher Form Daten an Dritte weitergegeben werden
  • ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
  • ein Ansprechpartner für Fragen

Datenverarbeitungsprozesse

  • Anmeldung der Erstis zu O-Phase
  • Frage: Gibt es einen Systematischen Ansatz?
  • Es muss alles transparent gehandhabt werden.
  • Eigene persönliche Daten auf Anfrage einsehbar
  • immer Opt-in
  • Privacy by Design
  • Folgende wichtige Punkte umfasst die DSGVO (Struktur)
    • Informationspflichten
    • Organisatorisch: Sicherheit muss garantiert sein
    • Auskunftspflichten
    • Recht auf Vergessenwerden
    • Datensparsamkeit
    • Meldepflichten
  • Was passiert mit den bereits existierenden Daten?
    • Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)

Offene Fragen

  • Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
  • Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
  • Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
  • Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
    • Daten sperren statt löschen geht nicht mehr so gut
    • man darf (vermutlich; Quelle fehlt) Daten behalten
    • wichtig: NUR als Backup
    • wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
  • Wer ist verantwortlich dafür für Datensicherheit zu sorgen
    • Antwort: Admins müssen Datenschutzbeauftragte
  • DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
    • Inhaber der Domain könnte da ein Indikator sein
    • besser mal bei der Uni anfragen?
  • Einschätzung Arbeitsaufwand
    • als Privatperson: finde ich Gut
    • als Verantwortlicher: Transparenz ist die Arbeit wert
    • im Asta: ich brauche Unterstützung
  • Brauchen wir einen Datenschutzbeauftragten
    • Unis lehnen ab dafür verantwortlich zu sein
    • alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
    • getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
  • Was sollen die Strafen bei öffentlichen Institutionen
  • Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
  • <Frage???>
    • allen Nutzern eine Mail schreiben
    • ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
  • Was mit Wahldaten?
    • geht wenn die Uni das in ihren Ordnungen stehen hat
    • wichtig: danach vernichten (schreddern)
  • Wie finde ich Raus ob meine Uni konform ist?
  • Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
    • ja, aber die uni darf das, wenn der prof das braucht
  • Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
  • Logging
    • IP-Adressen sind persönlich
    • Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
  • Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
  • Wie sieht das mit dem KIF Wiki aus?
    • Auftragsverarbeiter ist Bremen
    • Datenschutzerklärung fehlt
    • Was ist, wenn jemand Daten reinschreibt?
      • Foren-Haftungsfrage?