KIF510:Austausch Datenschutz in Studierendenschaften/(Teil) Körperschaften öffentlichen Rechts
Datenschutz in Studierendenschaften/(Teil-)Körperschaften öffentlichen Rechts
AK Leitung: panda
keine Redeliste, 9 teilnehmende FSen, gemeinsames Protokoll (Nachbereitung durch panda)
Zusammenfassung:
- viele der anwesenden FSen haben wenig Praxis und/oder Einfluss auf Datenschutz innerhalb der Studierendenschaft. DSB Stellen sind kaum besetzt weil sich niemand verantwortlich und/oder kompetent fühlt. Die Studierendenschaften greifen daher auf universitäre Strukturen zurück, auch wenn sie rechtlich verpflichtet sind eigene aufzubauen.
- wo eine universitäre DSB Stelle besteht wird diese in allen Fällen voll vergütet. Studentische DSBs (falls existent) erhalten nur eine minimale Aufwandsentschädigung wenn überhaupt
- durch die Vergütung von DSB Stellen fallen diese selten mit Exekutivämtern zusammen; falls das an Unis passiert ist unklar wie das gehandhabt wird
- problematisch wird gesehen, dass DSBs durch die Kontrollfunktion ein uneingeschränktes Einsichtsrecht haben, vielen ist dieser Fakt nicht bekannt. Ingolstadt weiß Bescheid und Studierende werden zu Beginn des Studiums über alles informiert; Bonn ist unklar ob die DSBs tatsächlich so viel Zugriff haben.
- Die anwesenden FSen haben kaum Möglichkeiten, die Kompetenzen der DSB Stellen zu überprüfen, einige Unis bieten Schulungen an oder haben andere Konzepte um für juristische Sicherheit zu sorgen
- Die Vorgehensweise bei DSGVO Betroffenenrechts-Anfragen ist oft ungeregelt, meist besteht diese (bei großen Anfragen) aus Papier-Schnitzeljagden durch die Uni; manche Stellen schicken nur die eduroam logs oder andere digitale Daten
Fazit: bei vielen FSen besteht Nachbesserungsbedarf wo dringend Unterstützung durch Finanzmittel oder Weiterbildung benötigt wird, manchmal stellt auch die technische Umsetzung eine Hürde dar. Mehr Austausch und vielleicht eine Resolution für mehr Unterstützung durch die Universität zu diesem Thema auf einer der nächsten KIFs wäre überlegenswert.
Vorstellungsrunde
Es stellen sich kurz alle vor.
In der Uni Boon fallen nicht viele Daten in der Fachschaft an, aber die, die anfallen werden nicht wirklich gelöscht.
Die TU Darmstadt hat in der Fachschaft keinen Datenschutzbeauftragten und ignorieren dieses Thema gekonnt. Sie möchten das aber ändern.
Die TH Ingolstadt hat einen nicht-studentischen Digitalisierungs- und Datenschutzbeauftragten im Zuge eines Neuen Server berufen.
RWTU Kaiserslautern ist Körp. öff. Rechts, bräuchte deswegen einen Datenschutzbeauftragten. Hat aber keinen, will auch niemand machen
TU Dresden hat keine großen Probleme in der Fachschaft, die Admins haben Datenschutzkonzept, welches mit dem Datenschutzbeauftragten abgesprochen ist, Referat Datenschutz im StuRa unbesetzt
KIT im Datenschutz passiert nicht viel. Nach DSGVO-Anfrage ist alles auseinander gefallen. Ein Verarbeitungsverzeichnis wird aufgebaut, als Grundlage für Verbesserungen
Uni Rostock Asta hat Person für Datenschutz
Uni Göttingen ist Teilkörperschaft und auch eigenständige Körperschaft, hat daher Datenschutzbeauftragten vom StuPa gewählt, wird bezahlt (wenn auch nicht viel), stehen im engen Kontakt mit Uni-Datenschutzbeauftragte; haben studentische Datenschutzbeauftragte (beratende Mitglieder in universitärer DS Kommission), kümmern sich um alle Fachschaften und -bereiche (außer Medizin), sie machen Begehungen und erstellen Data-Flow-Charts (und anderes Material), Uni ist da nicht involviert, hat ein großes Datenschutzmodul im Lehrangebot (Jura)
TH Mittelhessen haben keine Datenschutzerklärungen beachtet, haben auch nicht wirklich Konzepte, wie mit Daten umgegangen wird. Uni hat Datenschutzbeaufrtagten, die Fachschaft nicht (Körperschaft öff. Rechts)
Duisburg will Daten über Helfer und Erstis speichern und möchte sich deswegen hier informieren (Teilkörperschaft öff. Rechts)
Wer stellt Datenschutzbeauftragte?
- Lautern: Uni stellt Person
- KIT: Haushaltsbeauftragte Person ist vollzeitangestellt, ist auch Datenschutzbeauftragte Person geworden, mit Zielvereinbarungen
- Darmstadt: Uni Datenschutzbeauftragte vom Präsidium berufen
- Ingolstadt: Auch vom Präsidium berufen, gleichzeitig Geschäftsführerin für Campusmanagementsystem, Datenschutzbeauftragte für gesamte StuVe von StuPa für eine Amtszeit berufen
- Friedberg: THM Standort Gießen hat zwei Datenschutzbeauftragte
Schicken Studis bei Anfragen an die Fachschaft die Matrikelnummer mit?
Im KIT häufig, bei anderen eher selten zumeist Ausländische Studierende oder Erstsemestrige
Wie gehen Studierendenschaften mit der Trennung von DSB und Exekutivämtern um
- Göttingen: Datenschutzbeauftragter ist Jura-Prof, hat aber wissenschaftlichen Mitarbeiter als Vertreter, der eigentlich alles macht
- Darmstadt: Datenschutzbeauftragte machen nichts anderes, gibt eine Informationssicherheitsbeauftragte Person für technische Fragen
- KIT: Datenschutzbeauftragte ist vollzeitangestellt und macht auch nichts anderes
- TU Dresden: auch so
- Ingolstadt: Datenschutz und Informationsschutz ist getrennt
Wie wird damit umgegangen, dass Datenschutzbeauftragte uneingeschränkte Einsicht in Daten haben?
- Ingolstadt: Das ist bekannt und wird erst einmal hingenommen. Sie werden am Anfang des Studiums darüber aufgeklärt
- Bonn: Nicht unbedingt klar, wer wo Zugriff hat
Wie werden die von der DSGVO geforderten Kompetenzen bei DSBen überprüft?
- KIT: DSB haben Schulungen
- TH Mittelhessen: Asta bietet über Anwalt Rechts-Beratungen an
- Göttingen: Bewerber müssen mit den Fachschaften sprechen, Fachschaft hat Schulungsmaterial, die Kompetenzen der Fachschaft werden durch den DSB der Uni überprüft
Wenn jmd eine DSGVO-Anfrage stellt, was geht alles kaputt (Betroffenenanfrage)?
- Göttingen: Hat keine Studierendenakte → Papierjagd
- D
- Darmstadt: 2018 kam erste Anfrage, 2 Wochen suche durch Büros nach Infos
- KIT: Script durchsucht anhand des Benutzernamens Logs
- Bonn: Nur in elektronischen Systemen gesucht
- THM: Bisher keine Anfrage erhalten
- TU Dresden: Bisher keine richtigen Anfragen
- Ingolstadt: Alles ist in Flammen aufgegangen (Archiv ist abgebrannt)
Eduroam
Hat recht strikte Richtlinien, die nicht an allen Hochschulen so umgesetzt werden; wird aber auch nicht wirklich kontrolliert
viel “should” in Policy, kann also mit Begründung unterschiedlich ausgelegt werden
Wie kann die Datenschutzsitzuation verbessert werden?
- Datenschutzbeauftragte/-koordinatoren/-manager in der Fachschaft bestimmen (Am besten kompetente Person)
- Eventuell Unterstützung durch Datenschutzbeauftragten der Hochschule nutzen
- Finanzielle Mittel einklagen (Ist aber wsl. sehr teuer und zeitintensiv und man macht sich keine Freunde) um wen externes zu bezahlen
Sonstiges
- Videoüberwachung in PC-Pools in Göttingen, wird nach 6 Monaten gelöscht
- Wie sieht es mit Mensakarten-Daten aus?
- Darmstadt: Da Zuordnung der Daten nur physisch auf der Karte steht, können sie nicht direkt zugeordnet werden und fällt deswegen nicht unter die DSGVO, laut StuWe
- Bei Shredderern auf verschiedene Sicherheitsstufen achten
- Übergabe an Archivierung ohne Hinterbleib der originalen Daten ist
eine Löschung laut DSGVO
- In Göttingen schwärzen die Archivare Dinge
- Zwischenspeicher müssen richtig formatiert werden (Sind nach DSGVO sehr kritisch, lieber sichere Clouds benutzen)