BuFaTa SoSe20
Anwesend: Sven (TU Ilmenau), Dominik (KIT), Daniel (Uni Kiel), Helena (TUM), Hendrik (TUD), Jean-Pierre (KIT), Kreuter (Uni Ulm, Alumnus), Philipp (Uni Stuttgart), Roald (Uni Ulm), Tobi (Uni Siegen), Wilhelm (TUD), Jonathan (TUD), Christian (HS München), Niklas B. (TU Ilmenau), Matthias (TU Nürnberg), Regina (Uni Stuttgart), Jonathan (?), Felix (Uni Stuttgart)
Leitung des AK:

• Referent: Martin Neldner (TU Ilmenau)
• Moderator: Sven Frotscher (TU Ilmenau)

Protokoll: Dominik (KIT), Sven (TU Ilmenau) & andere

• Der AK wird aufgezeichnet ( Link)
• Referent: Martin Neldner, Datenschutzbeauftragter der TU Ilmenau
• 2 Teile: Datenschutz/DSGVO, Datensicherheit
• Folien: (Link)

• Es geht primär darum, Menschen zu schützen, nicht die Daten selbst.
• Der Referent gibt einen kurzen historischen Überblick zum Thema Datenschutz.
  • Grundrecht auf informationelle Selbstbestimmung seit 1983 Begriff, seit 1990 gesetzlich festgeschrieben
  • Eine EU-Richtlinie muss von den Mitgliedsstaaten in Gesetze umgesetzt werden, eine Verordnung gilt direkt für die europäischen Bürger.
  • DSGVO in Kraft getreten 2018, zuvor 2016 im EU-Parlament beschlossen. DSGVO geht von zentraler Datenspeicherung aus.
• Grundlagen zum Datenschutz
  • Erklärung des Begriffes
  • DSGVO ist im Umgang mit Daten ein Verbot mit Erlaubnisvorbehlt ⇒ Nur mit Erlaubnis dürfen Daten verwendet werden.
    • ähnlich zum Waffenrecht und zum Betäubungsmittelrecht
  • DSGVO ist dem EU-Recht untergeordnet. Und gilt allgemein unmittelbar für alle Bürger (Verordnung).
    • DSGVO erlaubt an einzelnen Stellen, dass nationale Gesetzgeber eigene Regelungen treffen dürfen, obwohl dies bei Verordnungen normalerweise keinen Spielraum gibt.
    • Daraus folgt, dass in Deutschland jedes Bundesland seine eigenen Rechte zum Datenschutz spricht.
  • Datenschutz-Recht in Deutschland unterteilt in nationale und landesweite Regelungen (Gesetze)
  • personenbezogene Daten == Daten die sich auf identifiziert oder identifizierbare natürliche(!) Person beziehen
    • Juristische Personen können also sich nicht auf Datenschutz berufen.
  • DSGVO gilt für Daten die in einem Dateisystem gespeichert sind.
    • Dateisystem meint hier auch eine analoge Kartei. Immer wenn Daten mit einem Ordnungssystem gespeichert sind, ist ein Dateisystem gemeint.
    • Auch das Löschen von Daten gilt in DSGVO als Verarbeitung.
  • Begriff des Veranwortlichen
    • natürliche oder juristische Person,…
      • die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
        • Daraus folgt, dass Teilkörperschaften eigenständig der DSGVO unterliegen (Verantwortliche der Datenverarbeitung, da sie manchmal über Zwecke und Mittel der Verarbeitung entscheiden). Die Pflicht, welche aus diesem Recht entsteht, ist das Ernennen eines Datenschutzbeauftragten.
  • Grundsätze für die Verarbeitung:
    • Datenminimierung
    • Speicherzeitbegrenzung
    • 
    • 
  • Prüfung der Rechtmäßigkeit bzgl. der Verarbeitung:
    • 
    • Meinung: Einwilligung sollte für öffentliche Stellen die letzte Datenverarbeitungsgrundlage der Wahl sein

• Was ist mit Protokollierung bei Foren? Wie sieht es beim Herunterladen von Dateien aus einem zugriffsgeschützten Bereich aus? Fällt diese Datenverarbeitung unter „Wahrnehmung einer Aufgabe“?
  • Ja, solche Systeme gehören zu den Aufgaben einer Fachschaft. Dazu gehört auch das Logging, um mögliche Verstöße gegen geltendes Recht zu verfolgen.
  • Eine Einwilligungslösung ist nicht zu empfehlen. Eine Einwilligung kann von der betroffenen Person jederzeit ohne Angabe von Gründen widerrufen werden.
  • Vor allem auf lange Sicht lohnt es sich, andere Grundlagen der Datenverarbeitung zu finden.
• Hosting von Services der verfassten Studierendenschaft bei Uni-Rechenzentrum: Muss hier ein Auftragsdatenverarbeitungsvertrag (AV-Vertrag bzw. AVV) angefertigt werden?
  • TLDR; Mehrere Verantwortliche –> vermutlich ja, hängt auch immer von den lokalen Gegebenheiten ab (Zitat: „schwieriges Thema“)
  • 
  • Mögliche Lösung: alle möglichen Universitären Partner schließen einen Rahmenvertrag der im Falle eines notwendigen AVV greift.
• Aushang von Noten mit einigen Ziffern der Matrikelnummer + One-Time-Pad (einmaliger Indentifikationstoken, der nur für diese Klausur gilt)
  • Systeme (meist Campus-Management-Systeme) sollten für Veröffentlichung der Note Priorität haben.
    • Teilweise können die Systeme das nicht für alle Fälle leisten. Mögliche Lösung ist hier eine Kennung pro Klausur/Prüfung/Note die generiert/berechnet wird, z.B. wie auf https://dswiki.tu-ilmenau.de/tu/iepid beschrieben
  • Je nach der Anzahl von Ziffern der Matrikelnummer und Abhängig vom Vergabemechanismus der Matrikelnummer ist auch mit einigen Ziffern dieser ein Rückschluss auf die betroffene Person möglich.
• Wer stellt den Datenschutzbeauftragten für studentische Vertretungen? (Kann der Datenschutzbeauftragte der Uni, die die Rechtsaufsicht hat, das übernehmen?)
  • Der Datenschutzbeauftragte der Hochschule kann diese beraten.
  • Allerdings muss ein DS-Beauftragter mehr Aufgaben erfüllen als bloße Rechtsaufsicht.
  • Die Möglichkeit von Interessenkonflikten muss beachtet werden.
  • Es kann ein DS-Beauftragter für die studentischen Vertretungen bestellt werden

• Gemeinsame Datenverarbeitung:
  • Auftragsverarbeitung
    • Errata: ersetze 26 DSGVO durch 28 DSGVO
  • Gemeinsame Verantwortlichkeit (Joint Controlling)
    • Errata: ersetze 28 DSGVO durch 26 DSGVO
  • Controller to Controller (C2C)
    • im Wortlaut der DSGVO nicht explizit erwähnt

• Datensicherheit:
  • Es ist nicht möglich, für unsichere Verarbeitung (z.B. unverschlüsselte Übertragung) eine Einwilligung einzuholen.

• Rechte von Betroffenen:
  • teilweise durch Anonymisierung/Pseudonymisierung technisch nicht mehr umsetzbar

• Was sind mögliche Konsequenzen bei Verstößen?
  • Gegenüber öffentlichen Stellen werden keine Bußgelder erhoben, höchstens gegen einzeln handelnde Personen (bei Vorsatz, mit Schädigungsabsicht).
  • Bußgeldrahmen für Privatpersonen gering
  • Meist greifen die Datenschutzbehörden zunächst auf Ermahnungen zurück. Eine konstruktive Diskussion kann daraufhin folgen.
• Wie sieht es mit der Erhebung von Adressen zum Versand von Altklausuren aus?
  • Meinung: Datenschutzerklärungen müssen nicht lang sein. Wichtig ist, die Betroffenen zu informieren.
  • Erklärung soll beinhalten: Wofür werden die Daten verwendet und wie lange werden sie aufbewahrt? Wer ist verantwortlicher DS-Beauftragter? (Transparenz)

Beginn: 9:10 Uhr
Ende: 11:55 Uhr
Der AK ist fertig / nicht fertig / sollte auf weiteren Tagungen besprochen werden ←