====== Protokoll ====== BuFaTa SoSe18 \\ Anwesend: Marika (TU Braunschweig), Dennis (RWTH), Dominik + Alex + Chris (KIT), Franz (TU Dresden), Lars + Maximilian (HTW Dresden), Andre (Uni Siegen), Jessi (HS Weingarten), Jonathan (Uni Ulm), Irina (RWTH), Maximilian (TU Chemnitz), Andreas (Uni Siegen), Lukas (TUM), Julian (TUM), Georg (HS München), Robert (e.V.), Manuel (HS Weingarten), Tim + Andreas + Julia (HTW Berlin), Tim (HFU), Jan (RWTH), Chris (FH Dortmund), Léon Geide (TU Ilmenau), Maximilian (OTH Regensburg) Leitung des AK: Robert (BuFaTa eV)\\ Protokoll: alle\\ \\ ===== Einführung ===== Zu Beginn Diskussion über Vorgehensweise. Was will der AK eigentlich machen? Austausch über Datenutzung. Entwicklung für das Anwerben von Daten soll durchgeführt werden. * fast alle Fachschaften verarbeiten Daten und sind betroffen * Teilnehmerlisten für Veranstaltungen * Mailverteiler / E-Mail-Infrastruktur * Facebook Seite * Twitter / Instagram? * Foren * Website * viele haben noch keinen Plan, was sie tun müssen ==== Vorgehen im AK ==== * Erwartungen und Fragen sammeln und zusammen mit denen, die sich zumindest etwas auskennen, das Gesetz durcharbeiten * kleine Gruppen bilden, die jeweils aus einem Kapitel die wichtigsten Sachen raussuchen? -> nein * Infoblätter und Leitfäden raussuchen * diese sind zwar gut, betreffen aber eher Unternehmen und weniger uns * Vorschlag, mit diesen ein Grundwissen zu bekommen und danach auf die Spezialitäten einer Fachschaft eingehen ==== Erwartungen für den AK ==== * Datenschutzbeauftragte: * Bei Teilkörperschaften? Datenschutzbeauftragte der Uni * Vereine brauchen eventuell einen eigenen Datenschutzbeauftragten * nur wenn mehr als 10 Personen die Daten verarbeiten * kann man einen gemeinsamen für alle Studierendenvertretungen eines Landes haben? * Wunsch: Reader mit den wichtigsten Infos ausarbeiten * Wer kontrolliert eigentlich wen? * Zusammenfassung der Regeln, bestenfalls ohne Wertung und ohne Angstmache ===== Infos ===== * hohe Bußgelder, diese betreffen auch öffentliche Einrichtungen bis zu 20 Mio. oder 4% des intern. Jahresumsatzes (jenachdem was höher ist) * https://dsgvo-gesetz.de/ * Zusammenfassungen: * [[http://www.beck-shop.de/erste-hilfe-datenschutz-grundverordnung-unternehmen-vereine/productview.aspx?product=21443886|Heft "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine" (5,50€)]] * [[https://www.wbs-law.de/it-recht/datenschutzrecht/die-eu-datenschutzgrundverordnung|Infoseite der Kanzlei Wilde Beuger Solmecke (Kanzlei mit IT Ausrichtung)]] -> Sehr gute Zusammenfassung evtl. YouTube-Videos dazu sehenswert! * https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html * https://www.aachen.ihk.de/blob/acihk24/recht/downloads/3936132/9994e2e6b081b3152af1d7dec7e42468/datenschutzgrundverordnung_merkblatt-data.pdf * [[https://kif.fsinf.de/wiki/KIF460:DSGVO|Übersichtsseite zur DSGVO von der KIF]] * [[https://www.lda.bayern.de/tool/start.html|Onlinetool zur Selbsteinschätzung (von Bayerisches Landesamt für Datenschutzaufsicht)]] * [[https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_de|Leitfaden der EU-Kommission]] * [[http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A52018DC0043|Lesefassung]] * [[https://www.datenschutz.org/ebook-dsgvo.pdf|Reader von datenschutz.org]] * [[https://www.golem.de/news/datenschutz-grundverordnung-was-unternehmen-und-admins-jetzt-tun-muessen-1803-133122.html|Artikel zur EU-DSGVO auf Golem.de (für Admins)]] * https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=44 * [[http://ct.de/yg9g|C't Praxistipps]] * [[http://ct.de/dsgvo18|C't Literatur- und Linksammlung zur DSGVO]] * [[ftp://ftp.heise.de/pub/ct/listings/1811-076.pdf|Kurzes PDF mit Übersicht]] * [[https://www.lda.bayern.de/de/datenschutz_eu.html|Guide für kleine Vereine / Unternehmen]] * [[https://rp-online.de/digitales/internet/dsgvo-zusammenfassung-der-eu-datenschutz-grundverordnung_aid-19329477|Zusammenfassung der rheinischen Post]] * Arten von Daten / Begriffserklärung * [[https://enterprivacy.com/2017/03/01/categories-of-personal-information/|Schnellübersicht über Arten von Personenbezogenen Daten]] * [[https://www.datenschutzprofi24.de/datenschutz-lexikon/|Datenschutz Lexikon]] * [[https://www.datenschutz-wiki.de/Kategorie:Begriffe|Datenschutz Begriffe]] * [[http://dsgvo-gesetz.de/art-4-dsgvo/|DSGVO Kapitel 1, Artikel 4 "Begriffsbestimmung"]] ==== Arten von Daten / Begriffsklärung ==== Quelle: https://www.datenschutz-wiki.de/Hauptseite * [[https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_6|Anonymisieren]]: Daten, welche die Zuordnung zu einer Person ermöglichen werden entfernt. Die geheime Wahl ist ein Beispiel für eine vollständig anonymisierte Umfrage. * [[https://www.datenschutz-wiki.de/Auskunftsrecht|Auskunftsrecht]]: Nach §34 BDSG-alt oder Artikel 15 DSGVO kann eine Person die Herausgabe aller ihrer Daten fordern. * [[https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_9|Besondere Arten von Daten]]: Es gibt Daten die als besonders Schützenswert gelten. Für diese gelten schärfere Regulierungen. * Gesundheitsdaten & Sexualität * Noten * Anschrift, wenn Vollzugsanstalt oder psychatrische Einrichtung * "Ich bin durchgefallen" * Politische & Religiöse Einstellung * Rassische und ethnische Herkunft * [[https://www.datenschutz-wiki.de/Datengeheimnis | Datengeheimnis]]: Gesetz, welches das unbefugte Nutzen personenbezogener Daten verhindert. * [[https://www.datenschutz-wiki.de/Einwilligung |Einwilligung]]: Vor der Nutzung von personenbezogenen Daten muss der Nutzer schriftlich einwilligen. Hierbei muss das Formular gewissen Standards folgen. * [[https://www.datenschutz-wiki.de/Erforderlichkeit |Erforderlichkeit]]: Die Erhebung / Nutzung / Verarbeitung ist nur dann erforderlich wenn der Zweck der Erhebung ohne das entsprechnde Datum / die Daten nicht mehr erfüllbar ist. * [[https://www.datenschutz-wiki.de/Informationelle_Selbstbestimmung|Informationelle Selbstbestimmung]]: Das Recht auf informationelle Selbstbestimmung ist im bundesdeutschen Recht das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. * [[https://www.datenschutz-wiki.de/IFG |Informationsfreiheitsgesetz (IFG)]]: Nützlich um Behörden zur herausgabe von Daten zu bewegen, hängt aber vom Landesrecht ab. An sich ist die DSGVO höher, aber man wird sich wohl wehren und das gerichtlich klären müssen * [[https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_4_Teil_6|Löschen]]: Das Löschen ist im Gesetz als "Unkenntlichmachen von Daten" definiert. * Für jedes Medium steht im Gesetz (s. Link) ein oder mehrere Verfahren zum Löschen * Auftragsdatenverarbeitungsvertrag: Wenn man Daten erhebt, diese jedoch extern Verarbeiten lässt, benötigt man einen solchen Vertrag. Ein Beispiel hierfür wäre Umfragen mit einem externen Tool. ==== Wen betrifft die DSGVO ? === Quelle: https://dsgvoinfo.de/fuer-wen-gilt-die-dsgvo/ * Wer kann zur Einhaltung angehalten werden? * Grundsätzlich jeden: sowohl Vereine, Privatpersonen, Unternehmen, etc. * Auf welche Daten bezieht sich der Datenschutz? * personenbezogene Daten die in einem Dateisystem verarbeitet werden * Wie müssen die Daten verarbeitet werden? * Speichern, Erstellen, etc. ist alles ein "Verarbeiten" von Daten, egal ob digital oder handschriftlich ==== Grundsätze ==== * Verbot mit Erlaubnisvorbehalt -> Erstmal ist jegliche Nutzung, Erhebung und Verarbeitung der Daten VERBOTEN. * Rechtmäßigkeit - Rechtmäßiger Erhalt der Daten * Transparenz - Der Verarbeitungsprozess ist ersichtlich. * Zweckbindung - Daten können nachträglich nicht für weitere Zwecke als ursprünglich gedacht genutzt werden * Datenminimierung (Datenvermeidung / Datensparsamkeit) - Nur UNBEDINGT notwendige Daten erheben. * Richtigkeit - man muss das Recht einräumen Daten berichtigen zu können * Speicherbegrenzung - Daten dürfen nur so lange gespeichert werden wie nötig * Integrität und Vertraulichkeit -> aktuelle(!!!) Software und Systeme (Stand der Technik), -> Risikobewertung muss dokumentiert sein * Rechenschaftspflicht -> Prozesse vorhanden, Zurgriff auf Daten nur wenn unmittelbar notwendig * Meldepflicht bei Diebstahl der Daten (selbst bei verschlüsselten Daten) ===== Konkrete Fälle für Fachschaften ===== ==== Webseiten ==== * KEINE Social Plugins * Cookies * Hosting (intern, über Uni oder extern) * Logging * Bilder, s.u. === Uni-Login / Single Sign On === * man bekommt Daten von der Universität, das muss abgeklärt sein * hängt von der Struktur ab (Teilkörperschaft vs. Verein) === Logging === * [[ https://www.datenschutz.org/logfiles/ | Logging auf webservern ]] * Jede IP-Adresse ist ein "personenbeziehbares" Datum * Erlaubt, solange in Datenschutzordnung der Website erwähnt * Einwilligung nicht möglich bevor nicht mindestens ein HTTP(S) Request empfangen wurde * Informationen müssen bei Bedarf dem Nutzer gegeben werden! (IP, OS, Größe der gesendeten Daten, ...) === Cookies === * Hinweis wie gewohnt wird für den Anfang reichen * Rechtssicher wäre, ein Tor zu schalten und vor der Einwilligung kein Cookie zu setzen === Kontaktformular / -adressen === * Du müsstest vorher beschreiben können, wer die Daten verarbeitet (die Einzelpersonen sind nicht nötig), was mit den Daten passiert und wie lange sie gespeichert werden * ist nicht realisierbar ==== Newsletter-Mailverteiler ==== * Privacy by Default * Privacy by Design * 2-stufiges Anmeldeverfahren * Widerrufsrecht (muss so einfach (einfache Sprache) wie die Erteilung der Einwilligung sein) * kann die Mitgliederliste eingesehen werden? Von wem? * keine Personen unter 16 Jahren ==== Diskussions-Mailinglisten ==== * Information über Verwendung * Wir müssen verhindern, dass jemand Daten eines Dritten über unsere Liste verbreitet * Du kannst als Betreiber das Löschen der eigenen Daten nicht gewährleisten ==== Produkte externer Anbieter (Facebook, Instagramm, Twitter) ==== * generell gilt: Externe Anbieter sind für die Daten, die ihnen anvertraut werden, verantwortlich, nicht die FSRe * wir sollten unsere Studis nicht dazu zwingen, datenschutzrechtlich bedenkliche Dienste zu nutzen * darunter Whatsapp, Facebook, aber auch Microsoft Windows und Office ==== Wikis ==== * Löschen geht nicht wirklich (da die Änderungshistorie bestehen bleibt) ==== Auftragsdatenverarbeitung ==== * Wenn man Daten an dritte zur Verarbeitung gibt * Vertrag über die Verarbeitung der Daten (Form, Umfang, Dauer) * [[https://www.datenschutz-guru.de/auftragsdatenverarbeitung/|Information und Mustervertrag]] ==== Bildaufnahmen ==== * Digitale Bilder auf denen Gesichter erkennbar sind, erfordern immer die informierte Einwilligung des Abgebildeten * Ganz so extrem ist es wohl nicht: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html -- MYTHOS 3 * erste Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (hier im Bezug auf Gruppenfotos): https://www.filmverband-suedwest.de/wp-content/uploads/2018/05/Vermerk_DSGVO.pdf * Betroffen: Gruppenbilder, Aufnahmen auf einer Seminarfahrt, Erstsemestereinführung, Fotogalierie einer Party,... * Besonders kritisch sind im Internet veröffentlichte Aufnahmen * -> Details: https://www.ipcl-rieck.com/allgemein/wissen-zur-dsgvo-7-tipps-fuer-fotografen.html * Die DSGVO setzt das bewährte KUG außer Kraft, außer für (Das stimmt so nicht unbedingt: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html -- MYTHOS 3) * Beschäftigte bei den klassischen Medien Rundfunk und Presse, (hauptberuflich angestellte Fotojournalisten) * reine Analog- Fotografie, * reine private Aufnahmen im engen persönlichen und Familien-Kreis, soweit nicht im Internet veröffentlicht werden, * Aufnahmen von Verstorbenen. **7 Tipps für die digitale Fotobranche:** - In die Kamera lächeln ist keine Einwilligung! - Ist mind. eine lebende Person auf dem Foto erkennbar, wird eine Einwilligung oder Ausnahme des Art. 6 DSGVO benötigt! Ausnahmen: * Aufnahmen sind für Erfüllung oder Anbahnung eines Vertragsverhältnisses mit den Abgebildeten erforderlich oder * Aufnahmen sind zur Erfüllung einer rechtlichen Verpflichtung erforderlich oder * Aufnahmen sind erforderlich, um lebenswichtige Interessen zu schützen oder * Aufnahmen sind für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder * Aufnahmen sind zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Abgebildeten überwiegen, insbesondere, wenn es sich um ein Kind handelt. - Alle Abgebildeten müssen BEI ANFERTIGUNG der Aufnahmen vollumfassend über die mit den Fotos beabsichtigten Nutzungen aufgeklärt werden! - Deshalb: Lasst eure Model Releases überarbeiten! Die alten werden der DSGVO nicht mehr gerecht! - Alle Einwilligungen und Aufklärungen schriftlich dauerhaft dokumentieren! - Bei Widerruf einer Einwilligung muss das betroffene Bildmaterial unverzüglich gelöscht und diese Löschung beweissicher dokumentiert werden! Betroffene haben umfangreiche Auskunftsrechte! - **Abschließend bleibt Fotografinnen & Fotografen zu raten, Fotos mit Personen in Zukunft soweit möglich im Rahmen einer der o. g. Ausnahmen anzufertigen, also so, dass keine Einwilligung erforderlich ist. Eine Einwilligung birgt das Risiko, dass sie jederzeit widerrufen werden kann. Liegt jedoch eine der oben genannten Ausnahmen vor, ist die Verwertbarkeit der Aufnahme nicht mehr dem möglicherweise wankelmütigen Willen des Abgebildeten ausgesetzt.** * Insbesondere rechtlich umfangreichere Auseinandersetzungen mit dem Thema aber auch weitere Tipps sind z. B. hier zu finden: * https://www.fotorecht-seiler.eu/dsgvo-fotobusiness/ * http://www.cr-online.de/blog/2018/03/09/das-ende-der-freien-veroeffentlichung-von-personenbildnissen-fuer-die-meisten-von-uns/ * https://natur-photocamp.de/dsgvo-fuer-fotografen/ * https://www.datenschutz-bayern.de/datenschutzreform2018/einwilligung.pdf ==== Dokumentationspflichten ==== * erweitert * Risikoabschätzungen erforderlich * Bei Verfahrensänderungen der Datenverarbeitung Neueinschätzung der Risiken vorgeschrieben * Datenschutzbeauftragter ist reine Kontrollinstanz die keine Einverständniserklärungen anpassen darf, da sie sich dann selbst kontrollieren müsste ==== Worst Case Bußgelder ==== * bis zu 20 Mio.€ oder 4% des Vorjahresumsatzes (bei großen Konzernen) * im Wesentlichen betrifft es gewerbliche Datennutzung * Abmahnwelle wird von den Medien erwartet ==== Lücken ==== * Abmahnbar nur mit gültiger (zustellfähiger) Anschrift in der EU * Auflagen und Bußgelder skalieren nicht passend für kleine Firmen / Vereine * Auslegung des Bußgeldkatalogs durch Gerichte noch unklar === Für Fachschaften === * Mails von Studierenden korrekt Löschen (nicht zu lange Archivieren) * Mail Accounts vor Einsicht fremder Personen schützen (Shouldersurfing) * Studierende evtl. darauf Hinweisen keine Matrikelnummer und Notenspiegel zu schicken * Fachschaftler über die Neuerungen aufklären * Link zu Datenschutz der Fachschaft in Email Signatur hinzufügen und auf Homepage ergänzen ==== BuFaTa Förderverein ==== * Datenschutzerklärung Homepage * Logging von IP Adressen anoynimisieren * Vertrag zur Auftragsverarbeitung mit hostender Fachschaft * Datenhaltung dokumentieren * Was wird, wie lange, gespeichert * wie Daten löschen? ==== Musterdokumente ==== * [[http://datenrecht.ch/datenschutzerklaerungen-fuer-webseiten-betreiber-muster-von-prof-hoeren/|Musterdatenschutzerklärung Word- /ODT-Vorlage]] * [[ftp://ftp.heise.de/pub/ct/listings/1805-112.zip|Musterformular zur Anfrage der Datenselbstauskunft bei Unternehmen / Vereinen]] * [[https://www.lda.bayern.de/media/muster_adv.pdf|Auftragsdatenverarbeitungsvertrag]] ===== Fazit ===== * Selbst wenn wir keine genaue Ahnung haben, etwas machen ist besser als gar nix machen * TODO bis zur nächsten Tagung: * Fachpersonal einladen auf nächste BuFaTa zum DSGVO AK * Einen Monat vor der Tagung Fragen von den Fachschaften sammeln, damit man konkrete Themen vorbereiten und ansprechen kann * Tätigkeit nach Panama verschieben! ===== Ende ===== Beginn: 13:45 Uhr\\ Ende: 16:43 Uhr \\ Der AK sollte auf weiteren Tagungen besprochen werden und dazu einen Experten einladen.