BuFaTa ET Wiki

Das Wiki der Bundesfachschaftentagung Elektrotechnik

Benutzer-Werkzeuge

Webseiten-Werkzeuge


arbeitskreise:eu-datenschutzgrundverordnung:protokoll_dresden2018

Protokoll

BuFaTa SoSe18
Anwesend: Marika (TU Braunschweig), Dennis (RWTH), Dominik + Alex + Chris (KIT), Franz (TU Dresden), Lars + Maximilian (HTW Dresden), Andre (Uni Siegen), Jessi (HS Weingarten), Jonathan (Uni Ulm), Irina (RWTH), Maximilian (TU Chemnitz), Andreas (Uni Siegen), Lukas (TUM), Julian (TUM), Georg (HS München), Robert (e.V.), Manuel (HS Weingarten), Tim + Andreas + Julia (HTW Berlin), Tim (HFU), Jan (RWTH), Chris (FH Dortmund), Léon Geide (TU Ilmenau), Maximilian (OTH Regensburg) Leitung des AK: Robert (BuFaTa eV)
Protokoll: alle

Einführung

Zu Beginn Diskussion über Vorgehensweise. Was will der AK eigentlich machen? Austausch über Datenutzung. Entwicklung für das Anwerben von Daten soll durchgeführt werden.

  • fast alle Fachschaften verarbeiten Daten und sind betroffen
    • Teilnehmerlisten für Veranstaltungen
    • Mailverteiler / E-Mail-Infrastruktur
    • Facebook Seite
    • Twitter / Instagram?
    • Foren
    • Website
  • viele haben noch keinen Plan, was sie tun müssen

Vorgehen im AK

  • Erwartungen und Fragen sammeln und zusammen mit denen, die sich zumindest etwas auskennen, das Gesetz durcharbeiten
  • kleine Gruppen bilden, die jeweils aus einem Kapitel die wichtigsten Sachen raussuchen? → nein
  • Infoblätter und Leitfäden raussuchen
    • diese sind zwar gut, betreffen aber eher Unternehmen und weniger uns
    • Vorschlag, mit diesen ein Grundwissen zu bekommen und danach auf die Spezialitäten einer Fachschaft eingehen

Erwartungen für den AK

  • Datenschutzbeauftragte:
    • Bei Teilkörperschaften? Datenschutzbeauftragte der Uni
    • Vereine brauchen eventuell einen eigenen Datenschutzbeauftragten
      • nur wenn mehr als 10 Personen die Daten verarbeiten
    • kann man einen gemeinsamen für alle Studierendenvertretungen eines Landes haben?
  • Wunsch: Reader mit den wichtigsten Infos ausarbeiten
  • Wer kontrolliert eigentlich wen?
  • Zusammenfassung der Regeln, bestenfalls ohne Wertung und ohne Angstmache

Infos

Arten von Daten / Begriffsklärung

Quelle: https://www.datenschutz-wiki.de/Hauptseite

  • Anonymisieren: Daten, welche die Zuordnung zu einer Person ermöglichen werden entfernt. Die geheime Wahl ist ein Beispiel für eine vollständig anonymisierte Umfrage.
  • Auskunftsrecht: Nach §34 BDSG-alt oder Artikel 15 DSGVO kann eine Person die Herausgabe aller ihrer Daten fordern.
  • Besondere Arten von Daten: Es gibt Daten die als besonders Schützenswert gelten. Für diese gelten schärfere Regulierungen.
    • Gesundheitsdaten & Sexualität
    • Noten
    • Anschrift, wenn Vollzugsanstalt oder psychatrische Einrichtung
    • „Ich bin durchgefallen“
    • Politische & Religiöse Einstellung
    • Rassische und ethnische Herkunft
  • Datengeheimnis: Gesetz, welches das unbefugte Nutzen personenbezogener Daten verhindert.
  • Einwilligung: Vor der Nutzung von personenbezogenen Daten muss der Nutzer schriftlich einwilligen. Hierbei muss das Formular gewissen Standards folgen.
  • Erforderlichkeit: Die Erhebung / Nutzung / Verarbeitung ist nur dann erforderlich wenn der Zweck der Erhebung ohne das entsprechnde Datum / die Daten nicht mehr erfüllbar ist.
  • Informationelle Selbstbestimmung: Das Recht auf informationelle Selbstbestimmung ist im bundesdeutschen Recht das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
  • Informationsfreiheitsgesetz (IFG): Nützlich um Behörden zur herausgabe von Daten zu bewegen, hängt aber vom Landesrecht ab. An sich ist die DSGVO höher, aber man wird sich wohl wehren und das gerichtlich klären müssen
  • Löschen: Das Löschen ist im Gesetz als „Unkenntlichmachen von Daten“ definiert.
    • Für jedes Medium steht im Gesetz (s. Link) ein oder mehrere Verfahren zum Löschen
  • Auftragsdatenverarbeitungsvertrag: Wenn man Daten erhebt, diese jedoch extern Verarbeiten lässt, benötigt man einen solchen Vertrag. Ein Beispiel hierfür wäre Umfragen mit einem externen Tool.

Wen betrifft die DSGVO ?

Quelle: https://dsgvoinfo.de/fuer-wen-gilt-die-dsgvo/

  • Wer kann zur Einhaltung angehalten werden?
    • Grundsätzlich jeden: sowohl Vereine, Privatpersonen, Unternehmen, etc.
  • Auf welche Daten bezieht sich der Datenschutz?
    • personenbezogene Daten die in einem Dateisystem verarbeitet werden
  • Wie müssen die Daten verarbeitet werden?
    • Speichern, Erstellen, etc. ist alles ein „Verarbeiten“ von Daten, egal ob digital oder handschriftlich

Grundsätze

  • Verbot mit Erlaubnisvorbehalt → Erstmal ist jegliche Nutzung, Erhebung und Verarbeitung der Daten VERBOTEN.
  • Rechtmäßigkeit - Rechtmäßiger Erhalt der Daten
  • Transparenz - Der Verarbeitungsprozess ist ersichtlich.
  • Zweckbindung - Daten können nachträglich nicht für weitere Zwecke als ursprünglich gedacht genutzt werden
  • Datenminimierung (Datenvermeidung / Datensparsamkeit) - Nur UNBEDINGT notwendige Daten erheben.
  • Richtigkeit - man muss das Recht einräumen Daten berichtigen zu können
  • Speicherbegrenzung - Daten dürfen nur so lange gespeichert werden wie nötig
  • Integrität und Vertraulichkeit → aktuelle(!!!) Software und Systeme (Stand der Technik), → Risikobewertung muss dokumentiert sein
  • Rechenschaftspflicht → Prozesse vorhanden, Zurgriff auf Daten nur wenn unmittelbar notwendig
  • Meldepflicht bei Diebstahl der Daten (selbst bei verschlüsselten Daten)

Konkrete Fälle für Fachschaften

Webseiten

  • KEINE Social Plugins
  • Cookies
  • Hosting (intern, über Uni oder extern)
  • Logging
  • Bilder, s.u.

Uni-Login / Single Sign On

  • man bekommt Daten von der Universität, das muss abgeklärt sein
  • hängt von der Struktur ab (Teilkörperschaft vs. Verein)

Logging

  • Jede IP-Adresse ist ein „personenbeziehbares“ Datum
  • Erlaubt, solange in Datenschutzordnung der Website erwähnt
  • Einwilligung nicht möglich bevor nicht mindestens ein HTTP(S) Request empfangen wurde
  • Informationen müssen bei Bedarf dem Nutzer gegeben werden! (IP, OS, Größe der gesendeten Daten, …)

Cookies

  • Hinweis wie gewohnt wird für den Anfang reichen
  • Rechtssicher wäre, ein Tor zu schalten und vor der Einwilligung kein Cookie zu setzen

Kontaktformular / -adressen

  • Du müsstest vorher beschreiben können, wer die Daten verarbeitet (die Einzelpersonen sind nicht nötig), was mit den Daten passiert und wie lange sie gespeichert werden
    • ist nicht realisierbar

Newsletter-Mailverteiler

  • Privacy by Default
  • Privacy by Design
  • 2-stufiges Anmeldeverfahren
  • Widerrufsrecht (muss so einfach (einfache Sprache) wie die Erteilung der Einwilligung sein)
  • kann die Mitgliederliste eingesehen werden? Von wem?
  • keine Personen unter 16 Jahren

Diskussions-Mailinglisten

  • Information über Verwendung
  • Wir müssen verhindern, dass jemand Daten eines Dritten über unsere Liste verbreitet
  • Du kannst als Betreiber das Löschen der eigenen Daten nicht gewährleisten

Produkte externer Anbieter (Facebook, Instagramm, Twitter)

  • generell gilt: Externe Anbieter sind für die Daten, die ihnen anvertraut werden, verantwortlich, nicht die FSRe
  • wir sollten unsere Studis nicht dazu zwingen, datenschutzrechtlich bedenkliche Dienste zu nutzen
    • darunter Whatsapp, Facebook, aber auch Microsoft Windows und Office

Wikis

  • Löschen geht nicht wirklich (da die Änderungshistorie bestehen bleibt)

Auftragsdatenverarbeitung

Bildaufnahmen

7 Tipps für die digitale Fotobranche:

  1. In die Kamera lächeln ist keine Einwilligung!
  2. Ist mind. eine lebende Person auf dem Foto erkennbar, wird eine Einwilligung oder Ausnahme des Art. 6 DSGVO benötigt! Ausnahmen:
    • Aufnahmen sind für Erfüllung oder Anbahnung eines Vertragsverhältnisses mit den Abgebildeten erforderlich oder
    • Aufnahmen sind zur Erfüllung einer rechtlichen Verpflichtung erforderlich oder
    • Aufnahmen sind erforderlich, um lebenswichtige Interessen zu schützen oder
    • Aufnahmen sind für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder
    • Aufnahmen sind zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Abgebildeten überwiegen, insbesondere, wenn es sich um ein Kind handelt.
  3. Alle Abgebildeten müssen BEI ANFERTIGUNG der Aufnahmen vollumfassend über die mit den Fotos beabsichtigten Nutzungen aufgeklärt werden!
  4. Deshalb: Lasst eure Model Releases überarbeiten! Die alten werden der DSGVO nicht mehr gerecht!
  5. Alle Einwilligungen und Aufklärungen schriftlich dauerhaft dokumentieren!
  6. Bei Widerruf einer Einwilligung muss das betroffene Bildmaterial unverzüglich gelöscht und diese Löschung beweissicher dokumentiert werden! Betroffene haben umfangreiche Auskunftsrechte!
  7. Abschließend bleibt Fotografinnen & Fotografen zu raten, Fotos mit Personen in Zukunft soweit möglich im Rahmen einer der o. g. Ausnahmen anzufertigen, also so, dass keine Einwilligung erforderlich ist. Eine Einwilligung birgt das Risiko, dass sie jederzeit widerrufen werden kann. Liegt jedoch eine der oben genannten Ausnahmen vor, ist die Verwertbarkeit der Aufnahme nicht mehr dem möglicherweise wankelmütigen Willen des Abgebildeten ausgesetzt.

Dokumentationspflichten

  • erweitert
  • Risikoabschätzungen erforderlich
  • Bei Verfahrensänderungen der Datenverarbeitung Neueinschätzung der Risiken vorgeschrieben
  • Datenschutzbeauftragter ist reine Kontrollinstanz die keine Einverständniserklärungen anpassen darf, da sie sich dann selbst kontrollieren müsste

Worst Case Bußgelder

  • bis zu 20 Mio.€ oder 4% des Vorjahresumsatzes (bei großen Konzernen)
  • im Wesentlichen betrifft es gewerbliche Datennutzung
  • Abmahnwelle wird von den Medien erwartet

Lücken

  • Abmahnbar nur mit gültiger (zustellfähiger) Anschrift in der EU
  • Auflagen und Bußgelder skalieren nicht passend für kleine Firmen / Vereine
  • Auslegung des Bußgeldkatalogs durch Gerichte noch unklar

Für Fachschaften

  • Mails von Studierenden korrekt Löschen (nicht zu lange Archivieren)
  • Mail Accounts vor Einsicht fremder Personen schützen (Shouldersurfing)
  • Studierende evtl. darauf Hinweisen keine Matrikelnummer und Notenspiegel zu schicken
  • Fachschaftler über die Neuerungen aufklären
  • Link zu Datenschutz der Fachschaft in Email Signatur hinzufügen und auf Homepage ergänzen

BuFaTa Förderverein

  • Datenschutzerklärung Homepage
  • Logging von IP Adressen anoynimisieren
  • Vertrag zur Auftragsverarbeitung mit hostender Fachschaft
  • Datenhaltung dokumentieren
    • Was wird, wie lange, gespeichert
    • wie Daten löschen?

Musterdokumente

Fazit

  • Selbst wenn wir keine genaue Ahnung haben, etwas machen ist besser als gar nix machen
  • TODO bis zur nächsten Tagung:
    • Fachpersonal einladen auf nächste BuFaTa zum DSGVO AK
    • Einen Monat vor der Tagung Fragen von den Fachschaften sammeln, damit man konkrete Themen vorbereiten und ansprechen kann
  • Tätigkeit nach Panama verschieben!

Ende

Beginn: 13:45 Uhr
Ende: 16:43 Uhr
Der AK sollte auf weiteren Tagungen besprochen werden und dazu einen Experten einladen.



Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.
arbeitskreise/eu-datenschutzgrundverordnung/protokoll_dresden2018.txt · Zuletzt geändert: 23.05.2018 10:21 von Robert Niebsch