KIF460:DSGVO: Unterschied zwischen den Versionen
Aus KIF
Silas (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (14 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo | Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo | ||
Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo | |||
==== Allgemeine Leitfäden ==== | ==== Allgemeine Leitfäden ==== | ||
kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html | * kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html | ||
https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf | * https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf | ||
https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf | * https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf | ||
https://www.datenschutzzentrum.de/dsgvo/ | * https://www.datenschutzzentrum.de/dsgvo/ | ||
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html | * https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html | ||
https://github.com/lukasleitsch/dsgvo-checkliste | * https://github.com/lukasleitsch/dsgvo-checkliste | ||
https://github.com/qbi/DSGVO-Liste | * https://github.com/qbi/DSGVO-Liste | ||
https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) | * https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar) | ||
https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO) | * https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO) | ||
==== Datenschutzerklärung ==== | ==== Datenschutzerklärung ==== | ||
* https://datenschutz-generator.de/ | |||
Muster: | * Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ | ||
https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/ | * Deine Uni? | ||
** Studierendenschaft ist nur eine juristische Person | |||
** Datenschutzbeauftragten direkt fragen | |||
** sieht es nicht im eigenen Gebiet | |||
** Asta hat dann ein Gespräch angezettelt um das selber umzusetzen | |||
beinhaltet mindestens: | |||
* welche Daten erhoben und verarbeitet werden | |||
* ob und in welcher Form Daten an Dritte weitergegeben werden | |||
* ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer | |||
* ein Ansprechpartner für Fragen | |||
==== Datenverarbeitungsprozesse ==== | ==== Datenverarbeitungsprozesse ==== | ||
* Anmeldung der Erstis zu O-Phase | |||
* Frage: Gibt es einen Systematischen Ansatz? | |||
* Es muss alles transparent gehandhabt werden. | |||
* Eigene persönliche Daten auf Anfrage einsehbar | |||
* immer Opt-in | |||
* Privacy by Design | |||
* Folgende wichtige Punkte umfasst die DSGVO (Struktur) | |||
** Informationspflichten | |||
** Organisatorisch: Sicherheit muss garantiert sein | |||
** Auskunftspflichten | |||
** Recht auf Vergessenwerden | |||
** Datensparsamkeit | |||
** Meldepflichten | |||
* Was passiert mit den bereits existierenden Daten? | |||
** Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht) | |||
==== Offene Fragen ==== | |||
* Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden | |||
* Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will | |||
* Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will | |||
* Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden | |||
** Daten sperren statt löschen geht nicht mehr so gut | |||
** man darf (vermutlich; Quelle fehlt) Daten behalten | |||
** wichtig: NUR als Backup | |||
** wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden | |||
* Wer ist verantwortlich dafür für Datensicherheit zu sorgen | |||
** Antwort: Admins müssen Datenschutzbeauftragte | |||
* DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich? | |||
** Inhaber der Domain könnte da ein Indikator sein | |||
** besser mal bei der Uni anfragen? | |||
* Einschätzung Arbeitsaufwand | |||
** als Privatperson: finde ich Gut | |||
** als Verantwortlicher: Transparenz ist die Arbeit wert | |||
** im Asta: ich brauche Unterstützung | |||
* Brauchen wir einen Datenschutzbeauftragten | |||
** Unis lehnen ab dafür verantwortlich zu sein | |||
** alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA) | |||
** getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss | |||
* Was sollen die Strafen bei öffentlichen Institutionen | |||
* Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen) | |||
** https://dsgvo-gesetz.de/art-89-dsgvo/ | |||
* <Frage???> | |||
** allen Nutzern eine Mail schreiben | |||
** ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert) | |||
* Was mit Wahldaten? | |||
** geht wenn die Uni das in ihren Ordnungen stehen hat | |||
** wichtig: danach vernichten (schreddern) | |||
* Wie finde ich Raus ob meine Uni konform ist? | |||
* Muss ich auch z.B. in Abgabesystremen für Klausuren informieren? | |||
** ja, aber die uni darf das, wenn der prof das braucht | |||
* Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben? | |||
* Logging | |||
** IP-Adressen sind persönlich | |||
** Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann | |||
* Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden? | |||
* Wie sieht das mit dem KIF Wiki aus? | |||
** Auftragsverarbeiter ist Bremen | |||
** Datenschutzerklärung fehlt | |||
** Was ist, wenn jemand Daten reinschreibt? | |||
*** Foren-Haftungsfrage? | |||
* Wie weist man Leute darauf hin (macht Panik)? | |||
** erst: mit dem Datenschutzbeauftragtem reden | |||
** Stu[rp]a-Antrag: Datenschutzbeauftragten benennen | |||
* Was wenn man Emails per Telnet (nehmt besser openssl) verschickt? | |||
* Wie ist das mit internen Abläufen? | |||
** Vertrauen: Wo kein Kläger, da kein Richter | |||
* Fotos? | |||
** es ist noch unklar, ob Bilder personenbezogene Daten sind | |||
** einfache Lösung: alle Fotos löschen | |||
** komplizierter: normal damit vorgehen | |||
Aktuelle Version vom 7. Juni 2018, 23:33 Uhr
Als Vorbereitung empfehlenswert: GDPR for Nerds
Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo
Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo
Allgemeine Leitfäden[Bearbeiten]
- kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
- https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
- https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
- https://www.datenschutzzentrum.de/dsgvo/
- https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
- https://github.com/lukasleitsch/dsgvo-checkliste
- https://github.com/qbi/DSGVO-Liste
- https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
- https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)
Datenschutzerklärung[Bearbeiten]
- https://datenschutz-generator.de/
- Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
- Deine Uni?
- Studierendenschaft ist nur eine juristische Person
- Datenschutzbeauftragten direkt fragen
- sieht es nicht im eigenen Gebiet
- Asta hat dann ein Gespräch angezettelt um das selber umzusetzen
beinhaltet mindestens:
- welche Daten erhoben und verarbeitet werden
- ob und in welcher Form Daten an Dritte weitergegeben werden
- ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
- ein Ansprechpartner für Fragen
Datenverarbeitungsprozesse[Bearbeiten]
- Anmeldung der Erstis zu O-Phase
- Frage: Gibt es einen Systematischen Ansatz?
- Es muss alles transparent gehandhabt werden.
- Eigene persönliche Daten auf Anfrage einsehbar
- immer Opt-in
- Privacy by Design
- Folgende wichtige Punkte umfasst die DSGVO (Struktur)
- Informationspflichten
- Organisatorisch: Sicherheit muss garantiert sein
- Auskunftspflichten
- Recht auf Vergessenwerden
- Datensparsamkeit
- Meldepflichten
- Was passiert mit den bereits existierenden Daten?
- Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)
Offene Fragen[Bearbeiten]
- Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
- Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
- Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
- Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
- Daten sperren statt löschen geht nicht mehr so gut
- man darf (vermutlich; Quelle fehlt) Daten behalten
- wichtig: NUR als Backup
- wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
- Wer ist verantwortlich dafür für Datensicherheit zu sorgen
- Antwort: Admins müssen Datenschutzbeauftragte
- DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
- Inhaber der Domain könnte da ein Indikator sein
- besser mal bei der Uni anfragen?
- Einschätzung Arbeitsaufwand
- als Privatperson: finde ich Gut
- als Verantwortlicher: Transparenz ist die Arbeit wert
- im Asta: ich brauche Unterstützung
- Brauchen wir einen Datenschutzbeauftragten
- Unis lehnen ab dafür verantwortlich zu sein
- alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
- getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
- Was sollen die Strafen bei öffentlichen Institutionen
- Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
- <Frage???>
- allen Nutzern eine Mail schreiben
- ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
- Was mit Wahldaten?
- geht wenn die Uni das in ihren Ordnungen stehen hat
- wichtig: danach vernichten (schreddern)
- Wie finde ich Raus ob meine Uni konform ist?
- Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
- ja, aber die uni darf das, wenn der prof das braucht
- Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
- Logging
- IP-Adressen sind persönlich
- Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
- Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
- Wie sieht das mit dem KIF Wiki aus?
- Auftragsverarbeiter ist Bremen
- Datenschutzerklärung fehlt
- Was ist, wenn jemand Daten reinschreibt?
- Foren-Haftungsfrage?
- Wie weist man Leute darauf hin (macht Panik)?
- erst: mit dem Datenschutzbeauftragtem reden
- Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
- Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
- Wie ist das mit internen Abläufen?
- Vertrauen: Wo kein Kläger, da kein Richter
- Fotos?
- es ist noch unklar, ob Bilder personenbezogene Daten sind
- einfache Lösung: alle Fotos löschen
- komplizierter: normal damit vorgehen
