KIF490:Folge-Ak Datenschutz Fachschaften
Aus KIF
Folge-Ak Datenschutz Fachschaften
Folge-AK zu [für Fachschaften] von der 48,5. KIF
Anwesenheit
(+) - Letztes Mal dabei?
* Uni Stuttgart * Janette (+) * Marcial * David * LMU * Aldo * Silas * Uni Chemnitz * Markus (nur bei Teil 1 anwesend gewesen) * Uni Hannover * Matti * Hochschule Zittau Görlitz * Peter * Ruhruni Bochum * S0ra * Uni Passau * Sven (+) * TU Dortmund * Timuçin * Hu Berlin * Aaron * Uni Marburg * Mattis
Fragen / Erzählanstöße
* Wie gut wurde die Reso daheim angenommen? * Habt ihr bereits Dinge umgesetzt/etwas bewegt? * Probleme? * Weiteres Vorgehen? * Weitere Erfahrungen
Austausch
* Uni Stuttgart * Reso ist unterschiedlich gut angekommen * zu viel Veränderung/ist doch eh egal/zu viel Arbeitsaufwand * Open Source Software sei doof und nicht usable (Alternativen mit denen sich Leute abfinden wollen sind schwer zu finden) * die Uni macht Datenschutz nicht richtig, warum sollten wir das dann? * Rechtliche Maßnahmen würden die FS eh nicht treffen, sondern nur unser [ASTA-äquivalent] * Arbeitstag: * Checkliste angeguckt und spekuliert: was geht schnell? → ToDoListe * begonnen Status Quo zu erfassen und ToDoListe zu bearbeiten * Probleme: * Fehlende:r Datenschutzbeauftragte:r für Fragen die bei der Bearbeitung aufgekommen sind * unüberschaubare Menge Arbeit, wo fängt man das an? * nicht viele hatten das Interesse/Zeit/was auch immer da mit anzupacken * [ASTA-äquivalent] hat [Brief] ans Rektorat über die Nutzung von WebEx an der Uni geschrieben * wurde von vielen unterschrieben * wurde vom Rektorat abgewimmelt * Die Uni möchte weiterhin an Cisco Webex festhalten, der Vertrag mit Cisco wurde verlängert. Sie ist überzeugt, dass die Datenschutzprobleme, die sich aus rechtlicher Sicht ergeben, bald behoben sein werden. Ein fertiger AV-Vertrag liege endlich vor und werde aktuell überprüft * Die CIO verspricht, dass demnächst auf der Uni-Website transparent gemacht werden soll, welche persönlichen Daten bei der Verwendung von Webex gespeichert werden und was man ggf. dagegen tun kann * Selbsthosting sei zu teuer, es gäbe kein Personal und keine Kapazitäten. Die Uni denkt darüber nach eine zweite, zusätzliche Cloud-Lösung anzuschaffen. eine Hochschulübergreifende Lösung sei kurzfristig nicht realistisch. Langfristig (vielleicht ab WiSe 2022/23) denkbar, falls ein System von anderen bereitgestellt werde * LMU * Verteilung der Aufgaben auf die Leute ist schwierig → Thema wird geschoben * Liste offener Probleme existiert (basierend auf https:%%//%%gdprchecklist.io/) * Template pro Dienst erwünscht * Uni Hannover * verantwortlichkeit von Datenschutz beim ASTA * Haben im Zuge der Einführung des DSGVO eine Datenschutzerklärung für die Website gemacht * werden sich bemühen über dem ASTA hinaus eine Schulung in Sachen Datenschutz bekommen * Anbindung an Zentralen-Login gewünscht * Uni Chemnitz * Viel Arbeit, wenig aktive * Allgemeine Anfrage vom Datenschutz-Beauftragten zu Mailing-Liste * weiterhin Arbeit gegen Zoom * In dieser Amtszeit Vorhaben mehr in der Richtung zu machen * Arbeit ist aktuell (nach Kenntnisstand) bereits weitestgehend DS-konform * Discord-Server zum Kontakt mit Studis, soll überprüft werden * Telegram-Gruppe als sekundärer interner Kommunikationskanal * Uni Zittau Görlitz * Sehr kleine Fakultät (~100 Personen) * vom FS-Rat her nicht viele Daten * Stattdessen viel in zentralem Uni-System * Reso an Hochschule geschickt → es hat sich nicht wirklich etwas getan * Proffessoren sind nicht scharf drauf Datenschutz umzusetzen * Uni Bochum * Ablösung von Wordpress-Seite durch eigene(Weniger Cookies) * Whatsapp-Account der Ini * Sitzungen in Discord vs Mumble * Wechsel weg von Dropbox in Arbeit * Reso hatte bei uns niemand mitgekriegt (sind das erste Mal auf der KIF) aber hatten das Thema schon auf der KoMa ausdiskutiert * Passau * Kein Gegenwind zur Reso, aber nicht viel Interresse sich damit auch zu beschäftigen * Mangelndes Wissen: * Vorheriger AK half dabei * nicht genug Menschen mit Zeit/Motivation um technische Dinge (Übersichtsdokumente etc) umzusetzen * TU Dortmund * viele selbsgehostete Open Source Dienste * Datenschutzerklärung vorhanden * Nach Reso Plannung von automatischem Löschen von Daten aus Ticket-System * Noch viel Telegram zur internen Kommunikation * Es soll zu Matrix umgezogen werden, aber es gibt Vorbehalte (Gewohnheit etc) * AStA und Uni sind eher schlechter aufgestellt * Versuchen mit gutem Beispiel voranzugehen um auch dort etwas zu verbessern * HU Berlin * Reso kam in der Initiative an * Monatelang nichts passiert * Vor der KIF wieder aufgewärmt * Haben noch Finanzdaten von anno dazumal, die weg müssen * viel Nachholbedarf * Problem: * Müssen noch mit ASTA reden * haben die Datenschutzbeauftragten? * je nach Antworten mehr oder weniger Arbeit übrig * Personalmangel * mangelnder Überblick über die vorhandenen Dienste * Uni Marburg * Der Datenschutzbeauftragte sitzt wahrscheinlich in der IT Administration * Discord wird noch verwendet * die Uni fordert, dass gesagt wird, dass dieser von Privatleuten geführt wird und nicht von der Uni wg Datenschutzrecht
Weitere Fragen
* Verwendete Cloud Lösungen? * sciebo * Hannover hat Cloud-Lösung(Seafile) vom Rechenzentrum * Hu Berlin stellt Studierenden HuBox(Seafile) zur Verfügung * Nextcloud (zB von fachschaften.org) * selbstgehostet * RWTH Aachen hat was * AFS von Uni * wie Open-Source-Dienste DSGVO-konform kriegen, wenn das upstream noch nicht vorgesehen ist? (z.B. Löschung nach bestimmter Zeit) * was kann man machen? * Twitter → Feed mit Nitter ziehen * Leute können TwitterFeed auf Fachschaftswebseite einsehen ohne auf Twitter zu müssen * Newsfeed via RSS * Mail, Twitter und Matrixchannel anbinden (RSS zu den anderen Sachen pipen) * Einige Unis hosten eigene Matrix-Instanzen * muss teilweise noch mehr Bekanntheit/Nutzen finden * bei HRZ nicht föderiert damit Daten nicht zu anderen Identity Servern gehen * vermutlich durch Encryption doch ok * Methoden um dafür zu sorgen, dass Leute die Relevanz des Problems einsehen * mehr Bildung * vllt hat eure Uni ein entsprechendes Angebot? (Schlüsselqualifikation etc) * Datenschutzbeauftragten fragen (Schulung?) * Vorschlag-Hammer Methode: DSGVO Anfrage stellen * Könnte Ex-FSler:in tun * Einstiegshürden senken * zB via Checklisten * Problem: Leute haben dauernd neue lustige Ideen, die nicht datenschutzkonform sind * Neue Projekte direkt mit Datenschutzkonformität planen * Leute führen einfach neue Dinge ein * Problem: Leute wollen Services, für die es "keine datenschutzkonforme Alternative" gibt * Unüberschaubare Mengen Arbeit * welche Dienste gibt es überhaupt? * Priorisieren nach kritischen Diensten * Angenommen DSGVO Anfrage kommt rein, was muss dann alles geguckt werden? → durchspielen, sich einer DSGVO konformen Antwort annähern * für alle Dienste die jeweiligen Betroffenenrechte klären und kurz dokumentieren * mindestens manuelle Behandlung, wo möglich auch automatisiert, und dann schrittweise verbessern
Nächste Schritte?
* Erste paar Dienste notdürftig zusammendokumentiert, daran weiterarbeiten * Mit Datenschutzbeauftragten in Kontakt treten, sobald etwas sauberer, da Vorbehalt besteht * Datenschutzbeauftragter hat beratende Funktion → keine Angst * Stück für Stück auf sinnvollen Stand bringen * Augenmerk auf Mailinglisten, Finanzen, Aufbewahrungsfristen
Rants
* Im Studierendenparlament gibt es geteilte Mailkonten, da Leute Mailinglisten nicht verstehen * es gibt jetzt Mailticketsystem mit dem Leute weiterhin nicht klarkommen * man will nichts sagen, in der Befürchtung dass es schlimmer wird * Linux auf Laptop, dann wollten Leute Windows. Dann wurde gedualbootet was kapputt gegangen ist → jetzt ist alles Windows * ähnlich auch woanders → Passwort im Bios * wenn Zeit und Energie vorhanden, Rechner-Setup automatisieren * "Datenschutz interessiert eh nur die 'IT-Ökos', allen anderen ist das egal also braucht man sich nicht drum kümmern" * Leute sind gegen Zoom, aber bei internen Sachen haben Leute kein Verständnis für Datenschutz * Bei der Uni beschweren aber es selbst nicht besser machen * "Können wir euer Limesurvey verwenden? Wir können ja mal auf Zoom darüber reden" * StuRa trifft sich über Zoom, da Jitsi nicht funkitoniert hat * Für die OE BBB-Cluster aufgesetzt und dann dem StuRa vorgeschlagen → Lösung war wohl nicht nutzerfreundlich genug und wurde nicht angenommen * limesurvey-Umfrage geteilt über mini-Mailingliste und Instagram "so kriegt das ja jeder" * Umfrage über Kommunikationstool mit den Optionen Matrix oder Discord → Discord hat gewonnen * das alles nachdem gegen die Uni wegen Datenschutz gewetter wurde * Mensch wollte in die FS einsteigen und tat eine Umfrage → hat google docs statt limesurvey benutzt, interne haben den Link dann an alle Studis geteilt
Positives
* eigenes CodiMD/hedgedoc wurde aufgesetzt und wird gut genutzt * weitere Tools haben gefolgt * btw nextcloud kann gemeinsames bearbeiten von rich text dateien via plugin: Collabora Online * FSR Admins sind auf Matrix umgestiegen von Telegram * Passwörter werden nicht mehr unverschlüsselt per E-Mail versendet und gespeichert * nächstes Projekt: social media passwortspeicher * tool: "pass" für gnupg verschlüsselte Dateien in einem git: https:%%//%%www.passwordstore.org/ * Open-Source Bitwarden-Server-Nachimplementierung: https:%%//%%github.com/dani-garcia/vaultwarden * Wunsch diesen AK auf folgenden KIFs wieder anzubieten * → Progress und Rant Stammtisch (kann ich machen, stupst mich, falls ich's vergess - welkerje)
Ressourcen
* Reso: https:%%//%%wiki.kif.rocks/wiki/KIF485:Resolutionen/Datenschutz_Fachschaften * Checkliste: https:%%//%%wiki.kif.rocks/wiki/KIF485:Resolutionsentw%C3%BCrfe/Datenschutz_Fachschaften/Anhang * Protokoll vom letztem Mal: https:%%//%%md.kif.rocks/Nka81kROQ0ixzJPmNzKHBA# * DSGVO: https:%%//%%dsgvo-gesetz.de * Matrix DSE (kif.rocks + fachschaften.org): https:%%//%%md.fachschaften.org/_hmxfyc-SZi-fLjyyT2kvw# * Checklist: https:%%//%%gdprchecklist.io * Alternativen Übersicht: https:%%//%%opensource.com/alternatives * viele Tools: https:%%//%%fachschaften.org * How-to BBB mit minimalem Aufwand (Erfahrung von der LMU): https:%%//%%md.kif.rocks/_9LGrO9ySIKzMI1LHk0MpA#