Inhaltsverzeichnis
Protokoll
BuFaTa SoSe18
Anwesend: Marika (TU Braunschweig), Dennis (RWTH), Dominik + Alex + Chris (KIT), Franz (TU Dresden), Lars + Maximilian (HTW Dresden), Andre (Uni Siegen), Jessi (HS Weingarten), Jonathan (Uni Ulm), Irina (RWTH), Maximilian (TU Chemnitz), Andreas (Uni Siegen), Lukas (TUM), Julian (TUM), Georg (HS München), Robert (e.V.), Manuel (HS Weingarten), Tim + Andreas + Julia (HTW Berlin), Tim (HFU), Jan (RWTH), Chris (FH Dortmund), Léon Geide (TU Ilmenau), Maximilian (OTH Regensburg)
Leitung des AK: Robert (BuFaTa eV)
Protokoll: alle
Einführung
Zu Beginn Diskussion über Vorgehensweise. Was will der AK eigentlich machen? Austausch über Datenutzung. Entwicklung für das Anwerben von Daten soll durchgeführt werden.
- fast alle Fachschaften verarbeiten Daten und sind betroffen
- Teilnehmerlisten für Veranstaltungen
- Mailverteiler / E-Mail-Infrastruktur
- Facebook Seite
- Twitter / Instagram?
- Foren
- Website
- viele haben noch keinen Plan, was sie tun müssen
Vorgehen im AK
- Erwartungen und Fragen sammeln und zusammen mit denen, die sich zumindest etwas auskennen, das Gesetz durcharbeiten
- kleine Gruppen bilden, die jeweils aus einem Kapitel die wichtigsten Sachen raussuchen? → nein
- Infoblätter und Leitfäden raussuchen
- diese sind zwar gut, betreffen aber eher Unternehmen und weniger uns
- Vorschlag, mit diesen ein Grundwissen zu bekommen und danach auf die Spezialitäten einer Fachschaft eingehen
Erwartungen für den AK
- Datenschutzbeauftragte:
- Bei Teilkörperschaften? Datenschutzbeauftragte der Uni
- Vereine brauchen eventuell einen eigenen Datenschutzbeauftragten
- nur wenn mehr als 10 Personen die Daten verarbeiten
- kann man einen gemeinsamen für alle Studierendenvertretungen eines Landes haben?
- Wunsch: Reader mit den wichtigsten Infos ausarbeiten
- Wer kontrolliert eigentlich wen?
- Zusammenfassung der Regeln, bestenfalls ohne Wertung und ohne Angstmache
Infos
- hohe Bußgelder, diese betreffen auch öffentliche Einrichtungen bis zu 20 Mio. oder 4% des intern. Jahresumsatzes (jenachdem was höher ist)
- Zusammenfassungen:
- Infoseite der Kanzlei Wilde Beuger Solmecke (Kanzlei mit IT Ausrichtung) → Sehr gute Zusammenfassung evtl. YouTube-Videos dazu sehenswert!
-
- Arten von Daten / Begriffserklärung
Arten von Daten / Begriffsklärung
Quelle: https://www.datenschutz-wiki.de/Hauptseite
- Anonymisieren: Daten, welche die Zuordnung zu einer Person ermöglichen werden entfernt. Die geheime Wahl ist ein Beispiel für eine vollständig anonymisierte Umfrage.
- Auskunftsrecht: Nach §34 BDSG-alt oder Artikel 15 DSGVO kann eine Person die Herausgabe aller ihrer Daten fordern.
- Besondere Arten von Daten: Es gibt Daten die als besonders Schützenswert gelten. Für diese gelten schärfere Regulierungen.
- Gesundheitsdaten & Sexualität
- Noten
- Anschrift, wenn Vollzugsanstalt oder psychatrische Einrichtung
- „Ich bin durchgefallen“
- Politische & Religiöse Einstellung
- Rassische und ethnische Herkunft
- Datengeheimnis: Gesetz, welches das unbefugte Nutzen personenbezogener Daten verhindert.
- Einwilligung: Vor der Nutzung von personenbezogenen Daten muss der Nutzer schriftlich einwilligen. Hierbei muss das Formular gewissen Standards folgen.
- Erforderlichkeit: Die Erhebung / Nutzung / Verarbeitung ist nur dann erforderlich wenn der Zweck der Erhebung ohne das entsprechnde Datum / die Daten nicht mehr erfüllbar ist.
- Informationelle Selbstbestimmung: Das Recht auf informationelle Selbstbestimmung ist im bundesdeutschen Recht das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
- Informationsfreiheitsgesetz (IFG): Nützlich um Behörden zur herausgabe von Daten zu bewegen, hängt aber vom Landesrecht ab. An sich ist die DSGVO höher, aber man wird sich wohl wehren und das gerichtlich klären müssen
- Löschen: Das Löschen ist im Gesetz als „Unkenntlichmachen von Daten“ definiert.
- Für jedes Medium steht im Gesetz (s. Link) ein oder mehrere Verfahren zum Löschen
- Auftragsdatenverarbeitungsvertrag: Wenn man Daten erhebt, diese jedoch extern Verarbeiten lässt, benötigt man einen solchen Vertrag. Ein Beispiel hierfür wäre Umfragen mit einem externen Tool.
Wen betrifft die DSGVO ?
Quelle: https://dsgvoinfo.de/fuer-wen-gilt-die-dsgvo/
- Wer kann zur Einhaltung angehalten werden?
- Grundsätzlich jeden: sowohl Vereine, Privatpersonen, Unternehmen, etc.
- Auf welche Daten bezieht sich der Datenschutz?
- personenbezogene Daten die in einem Dateisystem verarbeitet werden
- Wie müssen die Daten verarbeitet werden?
- Speichern, Erstellen, etc. ist alles ein „Verarbeiten“ von Daten, egal ob digital oder handschriftlich
Grundsätze
- Verbot mit Erlaubnisvorbehalt → Erstmal ist jegliche Nutzung, Erhebung und Verarbeitung der Daten VERBOTEN.
- Rechtmäßigkeit - Rechtmäßiger Erhalt der Daten
- Transparenz - Der Verarbeitungsprozess ist ersichtlich.
- Zweckbindung - Daten können nachträglich nicht für weitere Zwecke als ursprünglich gedacht genutzt werden
- Datenminimierung (Datenvermeidung / Datensparsamkeit) - Nur UNBEDINGT notwendige Daten erheben.
- Richtigkeit - man muss das Recht einräumen Daten berichtigen zu können
- Speicherbegrenzung - Daten dürfen nur so lange gespeichert werden wie nötig
- Integrität und Vertraulichkeit → aktuelle(!!!) Software und Systeme (Stand der Technik), → Risikobewertung muss dokumentiert sein
- Rechenschaftspflicht → Prozesse vorhanden, Zurgriff auf Daten nur wenn unmittelbar notwendig
- Meldepflicht bei Diebstahl der Daten (selbst bei verschlüsselten Daten)
Konkrete Fälle für Fachschaften
Webseiten
- KEINE Social Plugins
- Cookies
- Hosting (intern, über Uni oder extern)
- Logging
- Bilder, s.u.
Uni-Login / Single Sign On
- man bekommt Daten von der Universität, das muss abgeklärt sein
- hängt von der Struktur ab (Teilkörperschaft vs. Verein)
Logging
- Jede IP-Adresse ist ein „personenbeziehbares“ Datum
- Erlaubt, solange in Datenschutzordnung der Website erwähnt
- Einwilligung nicht möglich bevor nicht mindestens ein HTTP(S) Request empfangen wurde
- Informationen müssen bei Bedarf dem Nutzer gegeben werden! (IP, OS, Größe der gesendeten Daten, …)
Cookies
- Hinweis wie gewohnt wird für den Anfang reichen
- Rechtssicher wäre, ein Tor zu schalten und vor der Einwilligung kein Cookie zu setzen
Kontaktformular / -adressen
- Du müsstest vorher beschreiben können, wer die Daten verarbeitet (die Einzelpersonen sind nicht nötig), was mit den Daten passiert und wie lange sie gespeichert werden
- ist nicht realisierbar
Newsletter-Mailverteiler
- Privacy by Default
- Privacy by Design
- 2-stufiges Anmeldeverfahren
- Widerrufsrecht (muss so einfach (einfache Sprache) wie die Erteilung der Einwilligung sein)
- kann die Mitgliederliste eingesehen werden? Von wem?
- keine Personen unter 16 Jahren
Diskussions-Mailinglisten
- Information über Verwendung
- Wir müssen verhindern, dass jemand Daten eines Dritten über unsere Liste verbreitet
- Du kannst als Betreiber das Löschen der eigenen Daten nicht gewährleisten
Produkte externer Anbieter (Facebook, Instagramm, Twitter)
- generell gilt: Externe Anbieter sind für die Daten, die ihnen anvertraut werden, verantwortlich, nicht die FSRe
- wir sollten unsere Studis nicht dazu zwingen, datenschutzrechtlich bedenkliche Dienste zu nutzen
- darunter Whatsapp, Facebook, aber auch Microsoft Windows und Office
Wikis
- Löschen geht nicht wirklich (da die Änderungshistorie bestehen bleibt)
Auftragsdatenverarbeitung
- Wenn man Daten an dritte zur Verarbeitung gibt
- Vertrag über die Verarbeitung der Daten (Form, Umfang, Dauer)
Bildaufnahmen
- Digitale Bilder auf denen Gesichter erkennbar sind, erfordern immer die informierte Einwilligung des Abgebildeten
- Ganz so extrem ist es wohl nicht: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html – MYTHOS 3
- erste Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (hier im Bezug auf Gruppenfotos): https://www.filmverband-suedwest.de/wp-content/uploads/2018/05/Vermerk_DSGVO.pdf
- Betroffen: Gruppenbilder, Aufnahmen auf einer Seminarfahrt, Erstsemestereinführung, Fotogalierie einer Party,…
- Besonders kritisch sind im Internet veröffentlichte Aufnahmen
- Die DSGVO setzt das bewährte KUG außer Kraft, außer für (Das stimmt so nicht unbedingt: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html – MYTHOS 3)
- Beschäftigte bei den klassischen Medien Rundfunk und Presse, (hauptberuflich angestellte Fotojournalisten)
- reine Analog- Fotografie,
- reine private Aufnahmen im engen persönlichen und Familien-Kreis, soweit nicht im Internet veröffentlicht werden,
- Aufnahmen von Verstorbenen.
7 Tipps für die digitale Fotobranche:
- In die Kamera lächeln ist keine Einwilligung!
- Ist mind. eine lebende Person auf dem Foto erkennbar, wird eine Einwilligung oder Ausnahme des Art. 6 DSGVO benötigt! Ausnahmen:
- Aufnahmen sind für Erfüllung oder Anbahnung eines Vertragsverhältnisses mit den Abgebildeten erforderlich oder
- Aufnahmen sind zur Erfüllung einer rechtlichen Verpflichtung erforderlich oder
- Aufnahmen sind erforderlich, um lebenswichtige Interessen zu schützen oder
- Aufnahmen sind für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder
- Aufnahmen sind zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Abgebildeten überwiegen, insbesondere, wenn es sich um ein Kind handelt.
- Alle Abgebildeten müssen BEI ANFERTIGUNG der Aufnahmen vollumfassend über die mit den Fotos beabsichtigten Nutzungen aufgeklärt werden!
- Deshalb: Lasst eure Model Releases überarbeiten! Die alten werden der DSGVO nicht mehr gerecht!
- Alle Einwilligungen und Aufklärungen schriftlich dauerhaft dokumentieren!
- Bei Widerruf einer Einwilligung muss das betroffene Bildmaterial unverzüglich gelöscht und diese Löschung beweissicher dokumentiert werden! Betroffene haben umfangreiche Auskunftsrechte!
- Abschließend bleibt Fotografinnen & Fotografen zu raten, Fotos mit Personen in Zukunft soweit möglich im Rahmen einer der o. g. Ausnahmen anzufertigen, also so, dass keine Einwilligung erforderlich ist. Eine Einwilligung birgt das Risiko, dass sie jederzeit widerrufen werden kann. Liegt jedoch eine der oben genannten Ausnahmen vor, ist die Verwertbarkeit der Aufnahme nicht mehr dem möglicherweise wankelmütigen Willen des Abgebildeten ausgesetzt.
- Insbesondere rechtlich umfangreichere Auseinandersetzungen mit dem Thema aber auch weitere Tipps sind z. B. hier zu finden:
Dokumentationspflichten
- erweitert
- Risikoabschätzungen erforderlich
- Bei Verfahrensänderungen der Datenverarbeitung Neueinschätzung der Risiken vorgeschrieben
- Datenschutzbeauftragter ist reine Kontrollinstanz die keine Einverständniserklärungen anpassen darf, da sie sich dann selbst kontrollieren müsste
Worst Case Bußgelder
- bis zu 20 Mio.€ oder 4% des Vorjahresumsatzes (bei großen Konzernen)
- im Wesentlichen betrifft es gewerbliche Datennutzung
- Abmahnwelle wird von den Medien erwartet
Lücken
- Abmahnbar nur mit gültiger (zustellfähiger) Anschrift in der EU
- Auflagen und Bußgelder skalieren nicht passend für kleine Firmen / Vereine
- Auslegung des Bußgeldkatalogs durch Gerichte noch unklar
Für Fachschaften
- Mails von Studierenden korrekt Löschen (nicht zu lange Archivieren)
- Mail Accounts vor Einsicht fremder Personen schützen (Shouldersurfing)
- Studierende evtl. darauf Hinweisen keine Matrikelnummer und Notenspiegel zu schicken
- Fachschaftler über die Neuerungen aufklären
- Link zu Datenschutz der Fachschaft in Email Signatur hinzufügen und auf Homepage ergänzen
BuFaTa Förderverein
- Datenschutzerklärung Homepage
- Logging von IP Adressen anoynimisieren
- Vertrag zur Auftragsverarbeitung mit hostender Fachschaft
- Datenhaltung dokumentieren
- Was wird, wie lange, gespeichert
- wie Daten löschen?
Musterdokumente
Fazit
- Selbst wenn wir keine genaue Ahnung haben, etwas machen ist besser als gar nix machen
- TODO bis zur nächsten Tagung:
- Fachpersonal einladen auf nächste BuFaTa zum DSGVO AK
- Einen Monat vor der Tagung Fragen von den Fachschaften sammeln, damit man konkrete Themen vorbereiten und ansprechen kann
- Tätigkeit nach Panama verschieben!
Ende
Beginn: 13:45 Uhr
Ende: 16:43 Uhr
Der AK sollte auf weiteren Tagungen besprochen werden und dazu einen Experten einladen.
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.