KIF485:Datenschutz für Fachschaften
AK Datenschutz für Fachschaften
DSGVO: https://dsgvo-gesetz.de/
(Teil 2, Freitag, Resolutionsentwurf)-------
Anwesenheit:
- MIA (Ulm)
- Juri (Ulm)
- Marie (Ulm)
- Aldo (LMU München)
- Janette (Uni Stuttgart)
- Sven (Uni Duisburg-Essen)
- Tofu (Uni Passau)
Ziel der Resolution:
- FSen/Asten/Hochschulen auffordern, sich an bestehende Datenschutzgesetze zu halten und diese umzusetzen
- Checkliste für Fachschaften/Asten mitgeben als Startpunkt für richtigen Datenschutz
Begründung
In vielen Institutionen der Studierendenschaft (Fachschaften, Asten, etc.) wurde Datenschutz bisher vernachlässigt. Durch den Aufwand, den die Thematik mit sich bringt, sind mittlerweile Ängste und Vorurteile entstanden, welche die Verantwortlichen: abschrecken, sich überhaupt mit Datenschutz auseinanderzusetzen.
Diese Resolution möchte die Dringlichkeit des Datenschutzes ins Gedächtnis der Studierendenschaft rufen, damit hier endlich eine Verbesserung eintritt. Um die Hürde zu senken, sich mit dem Thema zu befassen, wurde eine Checkliste als Handreichung erarbeitet.
Resoentwurf
Die 48,5. Konferenz der deutschsprachigen Informatikfachschaften fordert alle Institutionen der Studierendenschaft dazu auf, die DSGVO endlich umzusetzen.
Insbesondere fordert die 48,5. Konferenz der deutschsprachigen Informatikfachschaften:
- die Unterstützung durch ihre:n Datenschutzbeauftragte:n zu suchen und diese:n gegebenenfalls zu ernennen.
- die Erstellung eines Datenverarbeitungsverzeichnisses.
- die Erarbeitung von Vorgehensweisen für die Umsetzung der Betroffenenrechte.
- den Verzicht auf Software und Dienste, deren Nutzung nicht mit Datenschutzgesetzen vereinbar ist.
- den Abschluss notwendiger Auftragsdatenverarbeitungsvereinbarungen.
Anhang
Als Orientierung wurde eine Checkliste erstellt. Diese erhebt keinen Anspruch auf Vollständigkeit, sollte aber den Einstieg erleichtern
Checkliste für Fachschaften
- [ ] Unabhängige:n und geeignete:n Datenschutzbeauftrage:n ernennen
- externe:r Dienstleister:in
- Person welche einschlägige Vorlesung besucht und hierzu weitergebildet wird
- auch ein:e Datenschutzbeauftragte:r für mehrere FSen möglich
- [ ] Datenverarbeitungsverzeichnis erstellen
- [ ] Aufschreiben, wo überall persönliche Daten entstehen
- Wofür?
- Warum (Zweckbindung)?
- Wie lange (und warum)?
- [ ] nach Vorgängen (Events, Services, Aktivitäten,...) gliedern
- [ ] Aufschreiben, wo überall persönliche Daten entstehen
- [ ] Datenflussdiagramme anfertigen (für Übersicht über den Datenfluss)
- am besten mit neuen Aktivitäten anfangen und zu alten Systemen vorarbeiten
- [ ] Vorgehensweisen erarbeiten für Betroffenenrechte
- [ ] Auskunft
- [ ] Löschung
- [ ] Korrektur
- [ ] Widerspruch
- [ ] Datenübertragbarkeit
- [ ] Recht auf Vergessenwerden
- [ ] Für Dienstleistungen Auftragsdatenverarbeitungsvereinbarungen abschließen
- [ ] Uni / Rechenzentrum der Uni (sind ggf. der Meinung, das sei nicht nötig)
- [ ] alle, die Zugriff auf personenbezogene Daten haben
- wenn nicht möglich: Dienstleitungen NICHT NUTZEN
- Windows und sonstige Office-Produkte von Microsoft
- ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn:
- neuste Version,
- Enterprise Edition und
- speziell konfiguriert (insb. Telemetrie abstellen)
- ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn:
- Datenverarbeitung bei Firmen mit Sitz in den USA ist keine Option (Cloud Act, USA)
- Windows und sonstige Office-Produkte von Microsoft
- wenn nicht möglich: Dienstleitungen NICHT NUTZEN
(Teil 1, Donnerstag, Was muss man beachten?, Listenerstellung)-------
Anwesenheit:
- MIA (Ulm)
- Juri (Ulm)
- Nik (Ulm)
- Philipp (Ulm)
- Marie (Ulm)
- Tanne (Ulm)
- Dennis (Bremen)
- Erik (Bremen)
- T-Bone (HU Berlin)
- Coo (Uni Duisburg - Essen)
- Sven (Uni Duisburg - Essen)
- Nicolas, Jonas, David (TU Dortmund)
- Aldo (LMU München)
- Rene (LMU München)
- Johnny (Uni Freiburg)
- Janette (Uni Stuttgart)
- Markus/mhenke (TU Chemnitz)
- Sven (Uni Passau)
- Tofu (Uni Passau)
Themen:
- Verantwortlichkeiten
- Unterschiede (Körpeschaft, Teilkörperschaft, Vereine)
- Was muss ein DSB (Art 37/38 DSGVO)
- Qualifikation etc
- Datenverarbeitungsvorgänge
- Was gibt es?
- Warum macht man das?
- Grundsätze:
- Minimierung
- Sparsamkeit
- etc
- Persönliche/Personenbezogene Daten:
- Art 6 DSGVO
- Warum verarbeiten wir Daten
- 1.e 1.f 1.a
- Umgang mit besonderen personenbezogenen Daten
- zB Gesundheitsdaten (Allergien, etc)
- Art 6 DSGVO
- Auftragsdatenverarbeitungsvertrag
- bei Seiten/Diensten für andere Fachschaften?
- Fragerunde??
Verantwortlichkeiten
Artikel 4 DSGVO:
KdöR: die Körperschaft ist verantwortlich (die Körperschaft selber oder falls vorhanden, ein:e Verantwortliche:r für die Körperschaft)
Verein: selbstständige:r Verantwortliche:r -> ADV
Datenschutzbeauftragte
Verein:
Abhängig von Landesdatenschutzgesetz, Datenart und Datenmenge
Körperschaften:
brauchen eine:n DSB
geteilte DSB sind möglich
Qualifikationen:
Art 37/38 DSGVO: Muss wissen wie die Organisationsstruktur funktioniert
es darf keine Interessensüberschneidung existieren --> keine Entscheidungsgewalt über Zweck und Mittel der Datenverarbeitung (keine Überschneidung mit Exekutivorganen möglich)
DSB ist weisungsfrei
Datenverarbeitungsvorgänge
wichtig: Rechtmäßigkeit der Verarbeitung
erstmal verboten, außer es exisitiert eine Erlaubnis (Art 6 DGVO)
- Einwilligung (nicht zu empfehlen, kann zurückgezogen werden --> Arbeit und Probleme)
- Absatz e (Wahrnehmung öffentlicher Aufgaben) --> für Körperschaften nützlich (insb. bei Zwangsmitgliedschaft)
- KdöR kann nicht mit berechtigtem Interesse arbeiten, dafür aber für Vereine (nicht für Werbung, aber Mitgliederinfo)
- Werbung:
- Verein: extra Verteiler ()
- Körperschaft:
- Wahrnehmung öffentlicher Aufgaben, Rechenschaften, etc --> übliche Liste, Werbung Teil öffentlicher Aufgabe
- Wenn es nur um Werbung geht, ist das nicht Teil der öffentlichen Aufgabe --> extra Liste
- Zweckbindung bei Listen (tbd)
- Dokumentation von Bearbeitungsvorgängen -> Datenverarbeitungsverzeichnis:
- Was muss da drin sein: Art 5 DSGVO
- Daten sind zweckgebunden (Osteressensdaten nicht mit Winterfestessensdaten mischen)
- Computer X, verwendet Outlook, Word, ...
- Anwesenheitslisten, etc
- Identifier?
- Warum macht man das?
- Wie lang speichert man?
- Was speichern wir? (Speicherbegrenzung, Daten dürfen nicht ewig gespeichert werden)
- Jeder Verarbeitungsvorgang ist zu dokumentieren, Rechenschaftspflicht
- TOM:
- vertraulich
- integer
- etc
- Nicht dokumentierte Vorgänge sind nicht erlaubt (kein privates Google Drive, kein Mails weiterleiten auf private Adressen, etc) --> Verstoß --> DSB melden
- persön. Daten mit besonderen Schutz (Art 9 Abs 1)
- Allergien, Religion, etc
- muss seperat begründet werden, warum diese Daten gesammelt werden
- Allergien --> niemand soll sterben, Schutz des Lebens...
- wenn Leute selbsttätig den Grund umgehen können (Käseallergie, kein Käsebrötchen) geht das nicht
- Dann Präferenzen fragen wenn nötig
- vegetarisch/vegan ist keine Gesundheitseigenschaft sondern Präferenz
ADV-Vertrag
Betreiben eigener Infrastruktur, Nutzung von Diensten anderer (Unimails, Wordpress Hosting, etc)
- Wenn man eine Körperschaft und nicht Teil der Uni-Körperschaft ist, dann ist ein ADV-Vertrag notwendig
- Wie das bei Teilkörperschaften ist, ist noch strittig (!)
- Wer ist Auftragsverarbeiter:
- jede Person, die Zugriff auf Daten des Verantwortlichen hat, unabhängig der Art (verschlüsselt, aufgeschrieben, ...)
- Was beinhaltet ADV-Vertrag:
- Pflichten beiden Parteien
- Hier bietet sich ein Jurist an
Beispiel:
- Mails senden über Uniinfrastruktur:
- ADV-Vertrag notwendig
Beispiel:
- FS Mails auf GMail:
- Daten innerhalb des Geltungsbereich der DSGVO mit ADV-Vertrag ok.
- Außerhalb des Geltungsbreichs (zB Google) "kompliziert"
- Datenversand in zB USA so nicht möglich momentan (siehe Privacy Shield)
Beispiel:
- FS Mails auf privaten Geräten
- Nicht erlaubt, außer:
- keine Telemetriedaten des Betriebssystem
- keine Telemetriedaten des Mailclients
- Vollverschlüsselung der Daten (Festplattenverschlüsselung)
- Nicht erlaubt, außer:
nur
Fragen
Betroffenenrechte:
- Auskunftsrecht: (Art. 15 DSGVO)
- Komplette Datenverarbeitungskette muss durchgangen werden (macht euch Flussdiagramme wo Daten verarbeitet werden) und an diesen Stellen muss geschaut werden
- Löschrecht: Alle Daten die du nicht zwingend brauchst müssen gelöscht werden (Art. 17 DSGVO)
- BSP: Mailverteiler, Person zieht Einwilligung zurück: Name muss überall gelöscht werden, außer in öffentlichen Daten (zB Protokollen)
- Korrektur von Daten (selbsterklärend) (Art. 16 DSGVO)
- Backups müssen nicht mit gelöscht werden, aber Vorkehrungen müssen getroffen werden, dass diese beim Wiederherstellen nicht wiederhergestellt werden können
- Datenübertragbarkeit: Alle Daten einer Person müssen der Person in einem maschinenlesbaren Format übergeben werden (ein automatischer Abruf ist aber nicht notwendig) (Plaintext tuts auch für uns)
DSB: (wie viel und auf welche Weise muss der Person ein Einblick ermöglicht werden?)
- Hat im Zweifel Zugriff auf alle personenbezogenen Daten. Muss der Person unverzüglich ermöglicht werden.
Protokolle:
- Protokolle müssen gelagert werden, je nach Ladensarchivierungsverordnung (für zB Landesrechungshof)
- Rückwirkende Änderung von Protokollen von öffentlich zu hochschulöffentlich ist nicht möglich (z.B. über GO)
Discordserver etc:
- ADV-Vereinbarungen sind damit schlicht nicht möglich, nicht legal bereitstellbar
Bridges:
- spricht grundsätzlich nichts dagegen, bei eigenen Plattformen zu eigenen Plattformen
- spiegeln zu exteren (ohne ADV-Vereinabrung) ist nicht ok
Terminumfragen:
- Falls jemand einen Link braucht: https://terminplaner4.dfn.de/
Welche Messenger sind legal?
- Gute Chancen, wenn es selbst gehostet ist
Checkliste für Fachschaften
- [ ] Unabhängige:n und geeignete:n Datenschutzbeauftrage:n beschaffen
- externer Dienstleister
- Student:in der/die einschlägige Vorlesung besucht und hierzu weitergebildet wird
- Auch ein:e Datenschutzbeauftragte:r für mehrere FSen möglich
- [ ] Datenverarbeitungsverzeichnis erstellen
- [ ] Aufschreiben, wo überall persönliche Daten entstehen
- Wofür?
- Warum? (Zweckbindung)
- Wie lange (und warum)?
- [ ] Nach Vorgängen (Events, Services, Aktivitäten,...) gliedern
- [ ] Aufschreiben, wo überall persönliche Daten entstehen
- [ ] Datenflussdiagramme zeichnen (für Übersicht über den Datenfluss)
- am besten mit neuen Aktivitäten anfangen und zu alten Systemen vorarbeiten
- [ ] Vorgehensweisen erarbeiten für Betroffenenrechte:
- [ ] Auskunft
- [ ] Löschung
- [ ] Korrektur
- [ ] Widerspruch
- [ ] Datenübertragbarkeit
- [ ] Recht auf Vergessenwerden
- [ ] Klären, mit wem man Auftragdatenverarbeitungsvereinbarungen schließen muss / welche Tools nicht genutzt werden können
- [ ] alle, die Zugriff auf Daten der Verantwortlichen haben
- [ ] Uni / Rechenzentrum der Uni (sind ggf. der Meinung, das sei nicht nötig)
- [ ] Windows und sonstige Office-Produkte von Microsoft
- ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn:
- neuste Version,
- Enterprise Edition und
- speziell konfiguriert
- ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn:
- [ ] Daten zu US-Firmen sind keine Option (Cloud Act, USA --> keine US Firmen)