KIF460:DSGVO

Als Vorbereitung empfehlenswert: GDPR for Nerds

Pad: https://fachschaften.rwth-aachen.de/etherpad/p/dsgvo

Maillingliste (funktioniert tatsächlich schon! - erst registrieren): https://lists.fachschaften.org/sympa/info/kif-dsgvo

Allgemeine Leitfäden[Bearbeiten]

• kommerziell: https://www.onlinehaendler-news.de/recht/gesetze/25948-eu-datenschutzgrundverordnung-aenderungen.html
• https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2017/05/20170406_Fahrplan-zur-DSGVO-Was-ist-bis-Mai-2018-zu-tun.pdf
• https://www.creanet.ch/mm/ESET_-_DSGVO_Leitfaden.pdf
• https://www.datenschutzzentrum.de/dsgvo/
• https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
• https://github.com/lukasleitsch/dsgvo-checkliste
• https://github.com/qbi/DSGVO-Liste
• https://www.zendas.de/themen/informationspflichten.html (Nur aus manchen HS erreichbar)
• https://dsgvo-gesetz.de/ (alle Artikel zur DSGVO)

Datenschutzerklärung[Bearbeiten]

• https://datenschutz-generator.de/
• Muster: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
• Deine Uni?
  • Studierendenschaft ist nur eine juristische Person
  • Datenschutzbeauftragten direkt fragen
  • sieht es nicht im eigenen Gebiet
  • Asta hat dann ein Gespräch angezettelt um das selber umzusetzen

beinhaltet mindestens:

• welche Daten erhoben und verarbeitet werden
• ob und in welcher Form Daten an Dritte weitergegeben werden
• ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer
• ein Ansprechpartner für Fragen

Datenverarbeitungsprozesse[Bearbeiten]

• Anmeldung der Erstis zu O-Phase
• Frage: Gibt es einen Systematischen Ansatz?
• Es muss alles transparent gehandhabt werden.
• Eigene persönliche Daten auf Anfrage einsehbar
• immer Opt-in
• Privacy by Design
• Folgende wichtige Punkte umfasst die DSGVO (Struktur)
  • Informationspflichten
  • Organisatorisch: Sicherheit muss garantiert sein
  • Auskunftspflichten
  • Recht auf Vergessenwerden
  • Datensparsamkeit
  • Meldepflichten
• Was passiert mit den bereits existierenden Daten?
  • Eine Fachschaft trickst ein bisschen um Daten, die bisher genutzt wurden weiter verwenden zu dürfen (es sei denn der Nutzer widerspricht)

Offene Fragen[Bearbeiten]

• Cookie Warnung nur notwendig, wenn die Daten zum Tracking genutzt werden
• Wäre es erlaubt bei nicht aktivierter Box in einem Formular nachfragen, ob sie das wirklich tun will
• Was macht man, wenn jemand seine Daten aus einem Git-Repo entfernt haben will
• Frage zu Backups -> Antwort: Bei der DSGVO müssen pers. aus Backups so schnell wie möglich gelöscht werden
  • Daten sperren statt löschen geht nicht mehr so gut
  • man darf (vermutlich; Quelle fehlt) Daten behalten
  • wichtig: NUR als Backup
  • wichtig: Löschanfragen müssen unmittelbar bei wiederherstellung durchgeführt werden
• Wer ist verantwortlich dafür für Datensicherheit zu sorgen
  • Antwort: Admins müssen Datenschutzbeauftragte
• DSGVO sieht Datenschutzbeauftragtenschulung für >1800€ auseinander; die Uni macht das nicht; Wer ist dafür jetzt verantwortlich?
  • Inhaber der Domain könnte da ein Indikator sein
  • besser mal bei der Uni anfragen?
• Einschätzung Arbeitsaufwand
  • als Privatperson: finde ich Gut
  • als Verantwortlicher: Transparenz ist die Arbeit wert
  • im Asta: ich brauche Unterstützung
• Brauchen wir einen Datenschutzbeauftragten
  • Unis lehnen ab dafür verantwortlich zu sein
  • alle öffentlichen Stellen brauchen einen -> alle Teilkörperschaften öffentlichen Rechts (i.d.R. AStA)
  • getrennt zwischen Verantwortlichem (Inhalt) und Auftragsverarbeiter (z.B. Server-Betreiber) -> vollkommen unklar, wer das stellen muss
• Was sollen die Strafen bei öffentlichen Institutionen
• Löschpflicht für Pseudonymisierte Daten (u.c. Umfragen)
  • https://dsgvo-gesetz.de/art-89-dsgvo/
• <Frage???>
  • allen Nutzern eine Mail schreiben
  • ab der Anmeldung (da wird man zwangsweise z.B. mit Datenschutzerklärung konfrontiert)
• Was mit Wahldaten?
  • geht wenn die Uni das in ihren Ordnungen stehen hat
  • wichtig: danach vernichten (schreddern)
• Wie finde ich Raus ob meine Uni konform ist?
• Muss ich auch z.B. in Abgabesystremen für Klausuren informieren?
  • ja, aber die uni darf das, wenn der prof das braucht
• Wenn Papierdaten mit Elektronischen verknüpft. Muss ich da eine Datenschutzerklärung haben?
• Logging
  • IP-Adressen sind persönlich
  • Zugriffslogging ist doof, weil man speichert bevor der Nutzer dem zustimmen kann
• Sind IP-Blacklists jetzt voll mit Persönlichen Daten? Darf man die verwenden?
• Wie sieht das mit dem KIF Wiki aus?
  • Auftragsverarbeiter ist Bremen
  • Datenschutzerklärung fehlt
  • Was ist, wenn jemand Daten reinschreibt?
    • Foren-Haftungsfrage?
• Wie weist man Leute darauf hin (macht Panik)?
  • erst: mit dem Datenschutzbeauftragtem reden
  • Stu[rp]a-Antrag: Datenschutzbeauftragten benennen
• Was wenn man Emails per Telnet (nehmt besser openssl) verschickt?
• Wie ist das mit internen Abläufen?
  • Vertrauen: Wo kein Kläger, da kein Richter
• Fotos?
  • es ist noch unklar, ob Bilder personenbezogene Daten sind
  • einfache Lösung: alle Fotos löschen
  • komplizierter: normal damit vorgehen