^ 91. BuFaTa 2022 an der HS Mannheim ^^^^^ ^ Datum ^ Beginn ^ Ende ^ Sitzungsleitung ^ Protokollierung ^ | 30.10.2022 | 18:45 | 20:30 | Flo (HS München) | Felix (TU Dortmund) | ===== AK Datenschutz und -sicherheit ===== Anwesende: Niklas (KIT), Flo (HS München), David Spreckels (HAW Hamburg), Marius Trappe (TU Dresden), Felix Wedding, Niko Meiselbach, Clara Nagel (TU Dortmund), Niclas Weber (W-HS), Matthias Graf (OTH Regensburg), Michael Baumgartner (OTH Regensburg), Florian (TH Nürnberg), Hannes (TH Nürnberg) ===== Einführung: Erwartungen an den AK ===== * Welche Daten sammeln wir die später zweckentfremdet werden? * Zurückverfolgbarkeit des Ursprungs von Daten * Welche Tools haben sich bewährt und sind empfehlenswert? * Wie können Anfragen von Studierenden bezüglich DSGVO behandelt werden? * Umgang mit Mail-Verteilern in der FS * Dateistrukturen hinterfragen: Wer braucht die Daten? Wo legt man diese ab? Wie kann man die Daten auch wieder sicher vernichten? ==== Beispielfälle ==== * Anmeldung zu Events: Statt Namen und Mailadressen im Klartext für alle in einer Datenbank zu speichern, vielleicht IDs vergessen? * Cloud-Anwendungen: immer Möglichkeit vorhanden, dass jemand die Daten lokal abspeichert * Tür-System: es ist möglich, nachzuschauen, wer wann den Raum betreten hat * Historie: Rückverfolgbarkeit gewünscht wegen Feuerwehreinsatz) * stattdessen zufällige IDs, Hashing etc.? * Zuordnung kann immer am Ende stattfinden, aber Weg sollte erschwert werden * nach gegebener Zeit automatisch löschen? * "Übriggebliebene" Metadaten in z.B. Bildern * automatisch weitergeleitete Mails werden dadurch dupliziert, Löschung wird schwierig * IMAP als Alternative, mehrere Leute können in die gleiche Mailhistorie schauen * synchrone Löschung möglich, sobald keine lokalen Kopien erzeugt wurden * LDAP-Verwaltung * Papierformulare für Liste von Gebäudezugängen * Moderierter Mailverteiler * Sicherung von Papierformularen: * abgeschlossene Schränke mit Beschränkungen * Unterschiede zwischen aktuellen und archivierten Daten * Schredder vorhanden zur Vernichtung? * Anmeldedaten von Erstis: werden z.T. zur Verfügung gestellt - datenschutzrechtlich schwierig * Ausgabe von Studierendenausweise durch die Fachschaft in jedem Semester (Name, Foto, Geburtsdatum, Matrikelnummer, ... für die Fachschaft einsehbar) * Veröffentlichung von Prüfungsergebnissen mit Matrikelnummer und Note (z.T. auch zusätzlich Name), verwendet zur Gruppeneinteilung durch Professoren * Materialverleih mit Ausleihhistorie * soziale Netzwerke: * niemand sollte zu einem Service gezwungen werden * Event-Gruppen über Messengerdienste * WhatsApp - häufig größte Reichweite * Alternativen erfordern zum Teil Aufwand in der Erstellung - dann auch aktiv bewerben, sobald Alternative existiert * Tools mit Servern in Amerika häufig eigentlich nicht gewünscht, aber häufig von Hochschule unterstützt * Matrix hat gewisse Vorteile, wird teilweise auch von Hochschulseite unterstützt * eigene Lösungen haben ggf. Probleme mit Verfügbarkeit * Bilder auf Events * Aushang mit Info, dass fotografiert wird * Einverständniserklärung bei Ersti-Woche * Hinweis in Anmeldeformularen und Kästchen für Zustimmung * Opt-In notwendig? - Auf jeden Fall sehr sinnvoll * Gruppenbilder/Bilder vom Ambiente anders zu behandeln? * rechtliche Expertise benötigt: aktive Zustimmung benötigt? * Bsp. Altklausuren-Server: * privates Hosting nicht mehr erwünscht wegen DSGVO * viele Mitglieder haben Zugriff auf Nutzerdaten * Metadaten (Verfasser etc.) sollten nicht hochgeladen werden * auch auf Urheberrecht achten ==== Tools ==== * Self-Hosting: * Ort des Hostings relevant, steht der Server auf dem Hochschulstandort? * Verweis zum anderen AK "FS Services", ggf. Thema für zukünftigen AK? * www.fachschaften.org - Tools der Fachschaft Informatik der TU Dortmund ==== Fazit ==== * Datenschutz und -sicherheit sollte immer mitbedacht werden * jede Überlegung ist hilfreich, auch wenn Vollständigkeit nicht gewährleistet werden kann * Jeder darf nur die Daten bekommen, die er auch benötigt. * Sobald der Grund für die Speicherung entfällt, muss das Gespeicherte auch gelöscht werden. * Urheberrecht von Profs, wenn diese die Daten einsehen ===== Ende ===== Beginn: 18:45 Uhr\\ Ende: 20:30 Uhr \\ Der AK sollte auf weiteren Tagungen besprochen werden. Das Thema Self-Hosting von IT-Diensten wird angeregt für den Themenausschuss. Evtl als "Workshop" mit den "Lessons learned" von anderen Fachschaften.