====== Datensicherheit und Datenschutz ======

===== Einführung =====
Aufgrund der aktuellen Enthüllungen (Snowden) scheint es angemessen, das Thema Datenschutz/Datensicherheit anzugehen.
Ziel ist, für verschiedene Gruppen Hilfestellung bei typischen Problemen zu geben.
  * Fachschaften
    * Was ist bei eigenen Services zu beachten
  * Studis mit Ahnung
    * HowTo
  * Studis ohne Plan
    * Warum sollte ich meine Daten (oder die Daten anderer) schützen?

Erhoffte Ergebnisse der Teilnehmer
  * Wie anonym im Internet bewegen?
    * TOR
      * Onion-Routing zur Verschleierung des Ursprungs
      * Problem: Zweifelhaft ob Nicht-Verfolgbarkeit noch gewährleistet ist, Tatsache der Verbindung ist feststellbar, Traffic am Exit-Node ist überwachbar
      * Nutzung: natürlich auch gerne/viel für illegale Inhalte
  * Wie umgehen mit Servern, die nicht verschlüsslt weitervermitteln?
  * Was beachten beim Betrieb eigener Dienste?


==== Protokolle ====

  * [[arbeitskreise:datensicherheit:protokoll_mannheim_2022|Protokoll 91. BuFaTa in Mannheim 2022]]
  * [[arbeitskreise:datensicherheit:protokoll_Berlin_2013|Protokoll 74. BuFaTa in Dortmund 2014]]
  * [[formulare:template_arbeitskreis_protokoll|Protokollvorlage]]


==== HowTo Datensicherheit====
Prioritätenliste: 
  - Rechtslage von crypto in ländern, Verpflichtungen der Fachschaften bzgl Datenschutz:\\Handbuch/ Checkliste erstellen.
  - Sammlung existierender Anleitungen für Fachschaftsbezogene Anwendungen


Themen die in den Howtos angeschnitten werden sollten.
  * auswahlkriterien für Software und dienstleister
  * Verschlüsselte eMails
    * GPG
    * S/MIME
  * Zertifikate
    * cacert
    * Zerftifikatsverwaltung ( programme die eigene mitbringen)
  * Festplatten verschlüsselung (einzelne Daten, Komplett)
    * Windows, Mac, Linux: [[http://www.truecrypt.org/downloads]]
  * Instant Messenger ( siehe sammlung von anleitungen) 
    * Textsecure / whisper [[https://whispersystems.org/]] 
  * Best Practices
    * crypto 101 für eigene datenkritische Anwendungen
    * Prism Break
    * Guardian Project Handbuch
    * Zertifikats HOWTO
  * Smartphone Absicherung

==== Fachschaften ====
  * Best Practises für Dienstanbieter
    * Usability = Security ^-1
  * Rechtliche Anforderungen beim Betrieb von Diensten/Netzen
  * Daten Vernichten
  * Festplatten/USB Sticks physikalisch zerstoeren [[https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html;jsessionid=1771774419BCFBAB660F01D6E4CB2595.2_cid369]] (Vorsicht, Link fuehrt zum BSI)
        * Wenn das Speichermedium weitergegeben wird sollten die Daten geloescht und ueberschrieben werden
  * Daten trennen, zB Name und Matrikelnummer und Passwort getrennt voneinander speichern.
  * Daten, die im Besitz der Fachschaften sein können:
      * Hohe Prioritaet, niedrige Benutzungsfrequenz:
          * Kontodaten, Vetraege von Angestellten
      * Hohe Prioritaet, hohe Nutzungsfrequenz:
          * Name, Adressen, EMailadressen
      * Niedrige Prioritaet:
          * Altklausuren, Uebungsblaetter

Fazit : **So wenig wie moeglich Daten erheben und speichern!!**
 

==== Ideen für BuFaTa ====
  * IT-Infrastruktur in Semesterbericht aufnehmen?

==== Datenschutz ====
In D ist der Datenschutz teilweise durch Gesetze geregelt. Dazu gibt es eine/n bundesweite/n Datenschutzbeauftragte/n. Das Datenschutzgesetz kann unter [[http://www.bfdi.bund.de/]] eingesehen werden. Zudem gibt es länderweite Datenschutzbeauftragte und -dienste, zum Beispiel das ZENDAS für Baden-Württemberg.
** Jede Hochschule hat eine/n Datenschutzbeauftragten, an den/die man sich im Zweifelsfall oder bei datenschutzrechtlichen Problemen wenden kann.**

=== Haftung und Kosequenzen von Datenverlust ===
ToDo

=== Datenschutz in Fachschaften ===
== Verpflichtungen ==
  * Zugangsbeschränkung: die Daten sollen nur von Personen eingesehen werden können, für die es unbedingt notwendig ist. Somit ist der Zugriff auf die Daten auf einen Personenkreis beschränkt.
  * Datentrennung: Name und Matrikelnummer müssen getrennt gespeichert werden. Zur Erhebung muss jede Person einen eigenen Bogen erhalten. Das bedeutet: keine Listen mit Namen und Matrikelnummer!
  * Je schützenswerter die Daten sind, umso höher sollte der Aufwand zum Schutz dieser sein.
    * ToDo: Beispiele einfügen
  * Die Daten dürfen ohne explizite Einwilligung **nicht** an Dritte weitergegeben werden. Zuwiderhandlung ist strafbar.
  * Daten sollten so früh wie möglich vernichtet werden, d.h. nachdem der Zweck, zu welchem sie erhoben wurden, erfüllt ist.
  * Pseudonymisierung: ToDo
== Ab wann dürfen Daten erfasst werden? ==
ToDo

== soziale Netzwerke ==
  * Studierende sollen nicht dazu gezwungen werden, sich in einem sozialen Netzwerk anzumelden, um Informationen über Fachschaftsarbeit, Termine, Altklausuren o.ä. zu erhalten.
  * Dazu sollte die eigene Fachschafts-/Iniseite verwendet und auch promoted werden.
=== Datenschutz für AnwenderInnen ===
== Rechte ==
  * Einspruchsrecht:
  * Einsichtsrecht: was wird  warum wofür gespeichert?
  * Widerrufsrecht:

Der AK ist nicht fertig / sollte auf weiteren Tagungen besprochen werden