arbeitskreise:eu-datenschutzgrundverordnung:protokoll_dresden2018
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung | ||
arbeitskreise:eu-datenschutzgrundverordnung:protokoll_dresden2018 [17.05.2018 17:01] – angelegt Jonas Brückner | arbeitskreise:eu-datenschutzgrundverordnung:protokoll_dresden2018 [23.05.2018 10:21] (aktuell) – [Produkte externer Anbieter] Robert Niebsch | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Protokoll | ====== Protokoll | ||
- | Anwesend: | ||
- | |||
BuFaTa SoSe18 \\ | BuFaTa SoSe18 \\ | ||
- | Anwesend: | + | Anwesend: |
- | Leitung des AK: Name des Leiters(Uni/FH) \\ | + | Leitung des AK: Robert |
- | Protokoll: | + | Protokoll: |
\\ | \\ | ||
===== Einführung ===== | ===== Einführung ===== | ||
- | Zu Beginn Diskussion über Vorgehensweise. Was will der AK eigentlich machen? Austausch über Sponsorennutzung. Entwicklung für das anwerben von Sponsoren soll durchgeführt werden. | ||
+ | Zu Beginn Diskussion über Vorgehensweise. Was will der AK eigentlich machen? Austausch über Datenutzung. Entwicklung für das Anwerben von Daten soll durchgeführt werden. | ||
- | ==== Uni 1 ==== | ||
- | * Bericht zum Thema, oder eine kleine Tabelle \\ | + | * fast alle Fachschaften verarbeiten Daten und sind betroffen |
+ | * Teilnehmerlisten für Veranstaltungen | ||
+ | * Mailverteiler / E-Mail-Infrastruktur | ||
+ | * Facebook Seite | ||
+ | * Twitter / Instagram? | ||
+ | * Foren | ||
+ | * Website | ||
+ | * viele haben noch keinen Plan, was sie tun müssen | ||
- | ^ Thema ^ Lösung 1 ^ Lösung 2 ^ | + | ==== Vorgehen im AK ==== |
- | | Warum schreiben wir Protokolle? | Um unsere Arbeit zu Dokumentieren | Um den Protokollanten zu ärgern | | + | * Erwartungen und Fragen sammeln und zusammen mit denen, die sich zumindest etwas auskennen, das Gesetz durcharbeiten |
- | | Wieso Tabellen | + | * kleine Gruppen bilden, die jeweils aus einem Kapitel die wichtigsten Sachen raussuchen? -> nein |
- | | Eine ganze Zeile für einen Satz, mit wenig Nährwert | | | | + | * Infoblätter |
+ | * diese sind zwar gut, betreffen aber eher Unternehmen und weniger uns | ||
+ | * Vorschlag, mit diesen ein Grundwissen zu bekommen und danach auf die Spezialitäten einer Fachschaft eingehen | ||
- | ==== Uni 2 ==== | ||
- | Hat einen [[http:// | + | ==== Erwartungen für den AK ==== |
+ | * Datenschutzbeauftragte: | ||
+ | * Bei Teilkörperschaften? | ||
+ | * Vereine brauchen eventuell | ||
+ | * nur wenn mehr als 10 Personen die Daten verarbeiten | ||
+ | * kann man einen gemeinsamen für alle Studierendenvertretungen eines Landes haben? | ||
+ | * Wunsch: Reader | ||
+ | * Wer kontrolliert eigentlich wen? | ||
+ | * Zusammenfassung | ||
- | - Zwei Leerzeichen zu beginn der Zeile | ||
- | - Bindestriche geben eine Aufzählung | ||
- | * Sternchen einen tollen Kasten | ||
- | - Aufzählung mit einrücken, | ||
- | - nochmal zwei Leerzeichen | ||
- | * Beim Sternchen, | ||
- | * passiert nicht so viel :-( | ||
- | ===== Problemlösungen | + | ===== Infos ===== |
- | Alkohol ist keine Lösung sondern ein Destillat, Fließtexte sind auch immer gut ... | + | * hohe Bußgelder, diese betreffen |
+ | * https:// | ||
+ | * Zusammenfassungen: | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * https:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[ftp:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * Arten von Daten / Begriffserklärung | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[http:// | ||
- | ==== Vorschlag 1 ==== | ||
- | Vorschläge nicht aufzählen sonder mit Einzelüberschriften versehen damit Sie im Inhaltsverzeichnis auftauchen, wir arbeiten konstruktiv an unserer Gesellschaft mit LOL | ||
- | ==== Vorschlag 2 ==== | + | ==== Arten von Daten / Begriffsklärung |
+ | Quelle: https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * Gesundheitsdaten & Sexualität | ||
+ | * Noten | ||
+ | * Anschrift, wenn Vollzugsanstalt oder psychatrische Einrichtung | ||
+ | * "Ich bin durchgefallen" | ||
+ | * Politische & Religiöse Einstellung | ||
+ | * Rassische und ethnische Herkunft | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * Für jedes Medium steht im Gesetz (s. Link) ein oder mehrere Verfahren zum Löschen | ||
+ | * Auftragsdatenverarbeitungsvertrag: | ||
- | === Noch besser eingegrenzter Vorschlag | + | ==== Wen betrifft die DSGVO ? === |
+ | Quelle: https:// | ||
+ | * Wer kann zur Einhaltung angehalten werden? | ||
+ | * Grundsätzlich jeden: sowohl Vereine, Privatpersonen, | ||
+ | * Auf welche Daten bezieht sich der Datenschutz? | ||
+ | * personenbezogene Daten die in einem Dateisystem verarbeitet werden | ||
+ | * Wie müssen die Daten verarbeitet werden? | ||
+ | * Speichern, Erstellen, etc. ist alles ein " | ||
- | == Der perfekte Vorschlag | ||
- | Die Lösung in der Box oder Erde ... | ||
- | Fest gemauert | + | ==== Grundsätze ==== |
- | | + | * Verbot mit Erlaubnisvorbehalt -> Erstmal ist jegliche Nutzung, Erhebung und Verarbeitung der Daten VERBOTEN. |
- | | + | * Rechtmäßigkeit - Rechtmäßiger Erhalt der Daten |
- | | + | * Transparenz - Der Verarbeitungsprozess ist ersichtlich. |
- | | + | * Zweckbindung - Daten können nachträglich nicht für weitere Zwecke als ursprünglich gedacht genutzt werden |
- | | + | * Datenminimierung (Datenvermeidung / Datensparsamkeit) - Nur UNBEDINGT notwendige Daten erheben. |
- | | + | * Richtigkeit - man muss das Recht einräumen Daten berichtigen zu können |
- | | + | * Speicherbegrenzung - Daten dürfen nur so lange gespeichert werden wie nötig |
+ | * Integrität und Vertraulichkeit -> aktuelle(!!!) Software und Systeme (Stand der Technik), -> Risikobewertung muss dokumentiert sein | ||
+ | * Rechenschaftspflicht -> Prozesse vorhanden, Zurgriff auf Daten nur wenn unmittelbar notwendig | ||
+ | * Meldepflicht bei Diebstahl der Daten (selbst bei verschlüsselten Daten) | ||
+ | |||
+ | |||
+ | ===== Konkrete Fälle für Fachschaften ===== | ||
+ | |||
+ | |||
+ | ==== Webseiten ==== | ||
+ | * KEINE Social Plugins | ||
+ | * Cookies | ||
+ | * Hosting (intern, über Uni oder extern) | ||
+ | * Logging | ||
+ | * Bilder, s.u. | ||
+ | |||
+ | === Uni-Login / Single Sign On === | ||
+ | * man bekommt Daten von der Universität, | ||
+ | * hängt von der Struktur ab (Teilkörperschaft vs. Verein) | ||
+ | |||
+ | === Logging === | ||
+ | * [[ https:// | ||
+ | * Jede IP-Adresse ist ein " | ||
+ | * Erlaubt, solange | ||
+ | | ||
+ | * Informationen müssen bei Bedarf dem Nutzer gegeben werden! (IP, OS, Größe der gesendeten Daten, ...) | ||
+ | |||
+ | === Cookies === | ||
+ | * Hinweis wie gewohnt wird für den Anfang reichen | ||
+ | * Rechtssicher wäre, ein Tor zu schalten und vor der Einwilligung kein Cookie zu setzen | ||
+ | |||
+ | === Kontaktformular / -adressen === | ||
+ | * Du müsstest vorher beschreiben können, wer die Daten verarbeitet (die Einzelpersonen sind nicht nötig), was mit den Daten passiert und wie lange sie gespeichert werden | ||
+ | * ist nicht realisierbar | ||
+ | |||
+ | ==== Newsletter-Mailverteiler ==== | ||
+ | * Privacy by Default | ||
+ | * Privacy by Design | ||
+ | * 2-stufiges Anmeldeverfahren | ||
+ | * Widerrufsrecht (muss so einfach (einfache Sprache) wie die Erteilung der Einwilligung sein) | ||
+ | * kann die Mitgliederliste eingesehen werden? Von wem? | ||
+ | * keine Personen unter 16 Jahren | ||
+ | |||
+ | ==== Diskussions-Mailinglisten ==== | ||
+ | * Information über Verwendung | ||
+ | * Wir müssen verhindern, dass jemand Daten eines Dritten über unsere Liste verbreitet | ||
+ | * Du kannst als Betreiber das Löschen der eigenen Daten nicht gewährleisten | ||
+ | |||
+ | ==== Produkte externer Anbieter (Facebook, Instagramm, Twitter) ==== | ||
+ | * generell gilt: Externe Anbieter sind für die Daten, die ihnen anvertraut werden, verantwortlich, | ||
+ | * wir sollten unsere Studis nicht dazu zwingen, datenschutzrechtlich bedenkliche Dienste zu nutzen | ||
+ | * darunter Whatsapp, Facebook, aber auch Microsoft Windows und Office | ||
+ | |||
+ | ==== Wikis ==== | ||
+ | * Löschen geht nicht wirklich (da die Änderungshistorie bestehen bleibt) | ||
+ | |||
+ | ==== Auftragsdatenverarbeitung ==== | ||
+ | * Wenn man Daten an dritte zur Verarbeitung gibt | ||
+ | * Vertrag über die Verarbeitung der Daten (Form, Umfang, Dauer) | ||
+ | * [[https:// | ||
+ | |||
+ | ==== Bildaufnahmen ==== | ||
+ | | ||
+ | * Ganz so extrem ist es wohl nicht: http:// | ||
+ | * erste Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (hier im Bezug auf Gruppenfotos): | ||
+ | * Betroffen: Gruppenbilder, | ||
+ | * Besonders kritisch sind im Internet veröffentlichte Aufnahmen | ||
+ | * -> Details: https:// | ||
+ | |||
+ | * Die DSGVO setzt das bewährte KUG außer Kraft, außer für (Das stimmt so nicht unbedingt: http:// | ||
+ | * Beschäftigte bei den klassischen Medien Rundfunk und Presse, (hauptberuflich angestellte Fotojournalisten) | ||
+ | * reine Analog- Fotografie, | ||
+ | * reine private Aufnahmen im engen persönlichen und Familien-Kreis, | ||
+ | * Aufnahmen von Verstorbenen. | ||
+ | |||
+ | **7 Tipps für die digitale Fotobranche: | ||
+ | - In die Kamera lächeln ist keine Einwilligung! | ||
+ | | ||
+ | * Aufnahmen sind für Erfüllung oder Anbahnung eines Vertragsverhältnisses mit den Abgebildeten erforderlich oder | ||
+ | * Aufnahmen sind zur Erfüllung einer rechtlichen Verpflichtung erforderlich oder | ||
+ | * Aufnahmen sind erforderlich, um lebenswichtige Interessen zu schützen oder | ||
+ | * Aufnahmen sind für die Wahrung einer Aufgabe erforderlich, | ||
+ | * Aufnahmen sind zur Wahrung berechtigter Interessen erforderlich, | ||
+ | - Alle Abgebildeten müssen BEI ANFERTIGUNG der Aufnahmen vollumfassend über die mit den Fotos beabsichtigten Nutzungen aufgeklärt werden! | ||
+ | | ||
+ | | ||
+ | - Bei Widerruf einer Einwilligung muss das betroffene Bildmaterial unverzüglich gelöscht und diese Löschung beweissicher dokumentiert werden! Betroffene haben umfangreiche Auskunftsrechte! | ||
+ | - **Abschließend bleibt Fotografinnen & Fotografen zu raten, Fotos mit Personen in Zukunft soweit möglich im Rahmen einer der o. g. Ausnahmen anzufertigen, also so, dass keine Einwilligung erforderlich ist. Eine Einwilligung birgt das Risiko, dass sie jederzeit widerrufen werden kann. Liegt jedoch eine der oben genannten Ausnahmen vor, ist die Verwertbarkeit der Aufnahme nicht mehr dem möglicherweise wankelmütigen Willen des Abgebildeten ausgesetzt.** | ||
+ | |||
+ | | ||
+ | * https:// | ||
+ | * http:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | |||
+ | |||
+ | |||
+ | ==== Dokumentationspflichten ==== | ||
+ | * erweitert | ||
+ | * Risikoabschätzungen erforderlich | ||
+ | * Bei Verfahrensänderungen der Datenverarbeitung Neueinschätzung der Risiken vorgeschrieben | ||
+ | * Datenschutzbeauftragter ist reine Kontrollinstanz die keine Einverständniserklärungen anpassen darf, da sie sich dann selbst kontrollieren müsste | ||
+ | |||
+ | |||
+ | |||
+ | ==== Worst Case Bußgelder ==== | ||
+ | * bis zu 20 Mio.€ oder 4% des Vorjahresumsatzes (bei großen Konzernen) | ||
+ | * im Wesentlichen betrifft es gewerbliche Datennutzung | ||
+ | * Abmahnwelle wird von den Medien erwartet | ||
+ | |||
+ | ==== Lücken ==== | ||
+ | | ||
+ | * Auflagen und Bußgelder skalieren nicht passend für kleine Firmen / Vereine | ||
+ | * Auslegung des Bußgeldkatalogs durch Gerichte noch unklar | ||
+ | |||
+ | === Für Fachschaften === | ||
+ | * Mails von Studierenden korrekt Löschen (nicht zu lange Archivieren) | ||
+ | * Mail Accounts vor Einsicht fremder Personen schützen (Shouldersurfing) | ||
+ | * Studierende evtl. darauf Hinweisen keine Matrikelnummer und Notenspiegel zu schicken | ||
+ | * Fachschaftler über die Neuerungen aufklären | ||
+ | * Link zu Datenschutz der Fachschaft in Email Signatur hinzufügen und auf Homepage ergänzen | ||
+ | |||
+ | ==== BuFaTa Förderverein ==== | ||
+ | * Datenschutzerklärung Homepage | ||
+ | * Logging von IP Adressen anoynimisieren | ||
+ | * Vertrag zur Auftragsverarbeitung mit hostender Fachschaft | ||
+ | * Datenhaltung dokumentieren | ||
+ | * Was wird, wie lange, gespeichert | ||
+ | * wie Daten löschen? | ||
+ | |||
+ | ==== Musterdokumente ==== | ||
+ | * [[http:// | ||
+ | * [[ftp:// | ||
+ | * [[https:// | ||
+ | |||
+ | ===== Fazit ===== | ||
+ | * Selbst wenn wir keine genaue Ahnung haben, etwas machen ist besser als gar nix machen | ||
+ | * TODO bis zur nächsten Tagung: | ||
+ | * Fachpersonal einladen auf nächste BuFaTa zum DSGVO AK | ||
+ | * Einen Monat vor der Tagung Fragen von den Fachschaften sammeln, damit man konkrete Themen vorbereiten und ansprechen kann | ||
+ | * Tätigkeit nach Panama verschieben! | ||
===== Ende ===== | ===== Ende ===== | ||
- | Beginn: | + | Beginn: |
- | Ende: XX:XX Uhr \\ | + | Ende: 16:43 Uhr \\ |
- | Der AK ist fertig / nicht fertig / sollte auf weiteren Tagungen besprochen werden | + | Der AK sollte auf weiteren Tagungen besprochen werden |
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.
arbeitskreise/eu-datenschutzgrundverordnung/protokoll_dresden2018.1526569281.txt.gz · Zuletzt geändert: 17.05.2018 17:01 von Jonas Brückner