44 views
# AK Datenschutz für Fachschaften DSGVO: https://dsgvo-gesetz.de/ ---------(Teil 2, Freitag, Resolutionsentwurf)------- Anwesenheit: * MIA (Ulm) * Juri (Ulm) * Marie (Ulm) * Aldo (LMU München) * Janette (Uni Stuttgart) * Sven (Uni Duisburg-Essen) * Tofu (Uni Passau) Ziel der Resolution: * FSen/Asten/Hochschulen auffordern, sich an bestehende Datenschutzgesetze zu halten und diese umzusetzen * Checkliste für Fachschaften/Asten mitgeben als Startpunkt für richtigen Datenschutz ## Begründung In vielen Institutionen der Studierendenschaft (Fachschaften, Asten, etc.) wurde Datenschutz bisher vernachlässigt. Durch den Aufwand, den die Thematik mit sich bringt, sind mittlerweile Ängste und Vorurteile entstanden, welche die Verantwortlichen: abschrecken, sich überhaupt mit Datenschutz auseinanderzusetzen. Diese Resolution möchte die Dringlichkeit des Datenschutzes ins Gedächtnis der Studierendenschaft rufen, damit hier endlich eine Verbesserung eintritt. Um die Hürde zu senken, sich mit dem Thema zu befassen, wurde eine [[KIF485:Resolutionsentwürfe/Datenschutz für Fachschaften/Anhang|Checkliste]] als Handreichung erarbeitet. ## Resoentwurf Die {{KIF|48,5}} fordert alle Institutionen der Studierendenschaft dazu auf, die DSGVO endlich umzusetzen. Insbesondere fordert die {{KIF|48,5}}: * die Unterstützung durch ihre:n Datenschutzbeauftragte:n zu suchen und diese:n gegebenenfalls zu ernennen. * die Erstellung eines Datenverarbeitungsverzeichnisses. * die Erarbeitung von Vorgehensweisen für die Umsetzung der Betroffenenrechte. * den Verzicht auf Software und Dienste, deren Nutzung nicht mit Datenschutzgesetzen vereinbar ist. * den Abschluss notwendiger Auftragsdatenverarbeitungsvereinbarungen. ## Anhang Als Orientierung wurde eine [[KIF485:Resolutionsentwürfe/Datenschutz für Fachschaften/Anhang|Checkliste]] erstellt. Diese erhebt keinen Anspruch auf Vollständigkeit, sollte aber den Einstieg erleichtern ### Checkliste für Fachschaften * [ ] Unabhängige:n und geeignete:n Datenschutzbeauftrage:n ernennen * externe:r Dienstleister:in * Person welche einschlägige Vorlesung besucht und hierzu weitergebildet wird * auch ein:e Datenschutzbeauftragte:r für mehrere FSen möglich * [ ] Datenverarbeitungsverzeichnis erstellen * [ ] Aufschreiben, wo überall persönliche Daten entstehen * Wofür? * Warum (Zweckbindung)? * Wie lange (und warum)? * [ ] nach Vorgängen (Events, Services, Aktivitäten,...) gliedern * [ ] Datenflussdiagramme anfertigen (für Übersicht über den Datenfluss) * am besten mit neuen Aktivitäten anfangen und zu alten Systemen vorarbeiten * [ ] Vorgehensweisen erarbeiten für Betroffenenrechte * [ ] Auskunft * [ ] Löschung * [ ] Korrektur * [ ] Widerspruch * [ ] Datenübertragbarkeit * [ ] Recht auf Vergessenwerden * [ ] Für Dienstleistungen Auftragsdatenverarbeitungsvereinbarungen abschließen * [ ] Uni / Rechenzentrum der Uni (sind ggf. der Meinung, das sei nicht nötig) * [ ] alle, die Zugriff auf personenbezogene Daten haben * wenn nicht möglich: Dienstleitungen NICHT NUTZEN * Windows und sonstige Office-Produkte von Microsoft * ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn: * neuste Version, * Enterprise Edition und * speziell konfiguriert (insb. Telemetrie abstellen) * Datenverarbeitung bei Firmen mit Sitz in den USA ist keine Option (Cloud Act, USA) ---------(Teil 1, Donnerstag, Was muss man beachten?, Listenerstellung)------- Anwesenheit: * MIA (Ulm) * Juri (Ulm) * Nik (Ulm) * Philipp (Ulm) * Marie (Ulm) * Tanne (Ulm) * Dennis (Bremen) * Erik (Bremen) * T-Bone (HU Berlin) * Coo (Uni Duisburg - Essen) * Sven (Uni Duisburg - Essen) * Nicolas, Jonas, David (TU Dortmund) * Aldo (LMU München) * Rene (LMU München) * Johnny (Uni Freiburg) * Janette (Uni Stuttgart) * Markus/mhenke (TU Chemnitz) * Sven (Uni Passau) * Tofu (Uni Passau) Themen: * Verantwortlichkeiten * Unterschiede (Körpeschaft, Teilkörperschaft, Vereine) * Was muss ein DSB (Art 37/38 DSGVO) * Qualifikation etc * Datenverarbeitungsvorgänge * Was gibt es? * Warum macht man das? * Grundsätze: * Minimierung * Sparsamkeit * etc * Persönliche/Personenbezogene Daten: * Art 6 DSGVO * Warum verarbeiten wir Daten * 1.e 1.f 1.a * Umgang mit besonderen personenbezogenen Daten * zB Gesundheitsdaten (Allergien, etc) * Auftragsdatenverarbeitungsvertrag * bei Seiten/Diensten für andere Fachschaften? * Fragerunde?? ### Verantwortlichkeiten Artikel 4 DSGVO: KdöR: die Körperschaft ist verantwortlich (die Körperschaft selber oder falls vorhanden, ein:e Verantwortliche:r für die Körperschaft) Verein: selbstständige:r Verantwortliche:r -> ADV ### Datenschutzbeauftragte Verein: Abhängig von Landesdatenschutzgesetz, Datenart und Datenmenge Körperschaften: brauchen eine:n DSB geteilte DSB sind möglich Qualifikationen: Art 37/38 DSGVO: Muss wissen wie die Organisationsstruktur funktioniert es darf keine Interessensüberschneidung existieren --> keine Entscheidungsgewalt über Zweck und Mittel der Datenverarbeitung (keine Überschneidung mit Exekutivorganen möglich) DSB ist weisungsfrei ### Datenverarbeitungsvorgänge wichtig: Rechtmäßigkeit der Verarbeitung erstmal verboten, außer es exisitiert eine Erlaubnis (Art 6 DGVO) * Einwilligung (nicht zu empfehlen, kann zurückgezogen werden --> Arbeit und Probleme) * Absatz e (Wahrnehmung öffentlicher Aufgaben) --> für Körperschaften nützlich (insb. bei Zwangsmitgliedschaft) * KdöR kann nicht mit berechtigtem Interesse arbeiten, dafür aber für Vereine (nicht für Werbung, aber Mitgliederinfo) * Werbung: * Verein: extra Verteiler () * Körperschaft: * Wahrnehmung öffentlicher Aufgaben, Rechenschaften, etc --> übliche Liste, Werbung Teil öffentlicher Aufgabe * Wenn es nur um Werbung geht, ist das nicht Teil der öffentlichen Aufgabe --> extra Liste * Zweckbindung bei Listen (tbd) * Dokumentation von Bearbeitungsvorgängen -> Datenverarbeitungsverzeichnis: * Was muss da drin sein: Art 5 DSGVO * Daten sind zweckgebunden (Osteressensdaten nicht mit Winterfestessensdaten mischen) * Computer X, verwendet Outlook, Word, ... * Anwesenheitslisten, etc * Identifier? * Warum macht man das? * Wie lang speichert man? * Was speichern wir? (Speicherbegrenzung, Daten dürfen nicht ewig gespeichert werden) * Jeder Verarbeitungsvorgang ist zu dokumentieren, Rechenschaftspflicht * TOM: * vertraulich * integer * etc * Nicht dokumentierte Vorgänge sind nicht erlaubt (kein privates Google Drive, kein Mails weiterleiten auf private Adressen, etc) --> Verstoß --> DSB melden * persön. Daten mit besonderen Schutz (Art 9 Abs 1) * Allergien, Religion, etc * muss seperat begründet werden, warum diese Daten gesammelt werden * Allergien --> niemand soll sterben, Schutz des Lebens... * wenn Leute selbsttätig den Grund umgehen können (Käseallergie, kein Käsebrötchen) geht das nicht * Dann Präferenzen fragen wenn nötig * vegetarisch/vegan ist keine Gesundheitseigenschaft sondern Präferenz ### ADV-Vertrag Betreiben eigener Infrastruktur, Nutzung von Diensten anderer (Unimails, Wordpress Hosting, etc) * Wenn man eine Körperschaft und nicht Teil der Uni-Körperschaft ist, dann ist ein ADV-Vertrag notwendig * Wie das bei Teilkörperschaften ist, ist noch strittig (!) * Wer ist Auftragsverarbeiter: * jede Person, die Zugriff auf Daten des Verantwortlichen hat, unabhängig der Art (verschlüsselt, aufgeschrieben, ...) * Was beinhaltet ADV-Vertrag: * Pflichten beiden Parteien * Hier bietet sich ein Jurist an Beispiel: * Mails senden über Uniinfrastruktur: * ADV-Vertrag notwendig Beispiel: * FS Mails auf GMail: * Daten innerhalb des Geltungsbereich der DSGVO mit ADV-Vertrag ok. * Außerhalb des Geltungsbreichs (zB Google) "kompliziert" * Datenversand in zB USA so nicht möglich momentan (siehe Privacy Shield) Beispiel: * FS Mails auf privaten Geräten * Nicht erlaubt, außer: * keine Telemetriedaten des Betriebssystem * keine Telemetriedaten des Mailclients * Vollverschlüsselung der Daten (Festplattenverschlüsselung) nur ### Fragen Betroffenenrechte: * Auskunftsrecht: (Art. 15 DSGVO) * Komplette Datenverarbeitungskette muss durchgangen werden (macht euch Flussdiagramme wo Daten verarbeitet werden) und an diesen Stellen muss geschaut werden * Löschrecht: Alle Daten die du nicht zwingend brauchst müssen gelöscht werden (Art. 17 DSGVO) * BSP: Mailverteiler, Person zieht Einwilligung zurück: Name muss überall gelöscht werden, außer in öffentlichen Daten (zB Protokollen) * Korrektur von Daten (selbsterklärend) (Art. 16 DSGVO) * Backups müssen nicht mit gelöscht werden, aber Vorkehrungen müssen getroffen werden, dass diese beim Wiederherstellen nicht wiederhergestellt werden können * Datenübertragbarkeit: Alle Daten einer Person müssen der Person in einem maschinenlesbaren Format übergeben werden (ein automatischer Abruf ist aber nicht notwendig) (Plaintext tuts auch für uns) DSB: (wie viel und auf welche Weise muss der Person ein Einblick ermöglicht werden?) * Hat im Zweifel Zugriff auf alle personenbezogenen Daten. Muss der Person unverzüglich ermöglicht werden. Protokolle: * Protokolle müssen gelagert werden, je nach Ladensarchivierungsverordnung (für zB Landesrechungshof) * Rückwirkende Änderung von Protokollen von öffentlich zu hochschulöffentlich ist nicht möglich (z.B. über GO) Discordserver etc: * ADV-Vereinbarungen sind damit schlicht nicht möglich, nicht legal bereitstellbar Bridges: * spricht grundsätzlich nichts dagegen, bei eigenen Plattformen zu eigenen Plattformen * spiegeln zu exteren (ohne ADV-Vereinabrung) ist nicht ok Terminumfragen: * Falls jemand einen Link braucht: https://terminplaner4.dfn.de/ Welche Messenger sind legal? * Gute Chancen, wenn es selbst gehostet ist ### Checkliste für Fachschaften * [x] Unabhängige:n und geeignete:n Datenschutzbeauftrage:n beschaffen * externer Dienstleister * Student:in der/die einschlägige Vorlesung besucht und hierzu weitergebildet wird * Auch ein:e Datenschutzbeauftragte:r für mehrere FSen möglich * [ ] Datenverarbeitungsverzeichnis erstellen * [ ] Aufschreiben, wo überall persönliche Daten entstehen * Wofür? * Warum? (Zweckbindung) * Wie lange (und warum)? * [ ] Nach Vorgängen (Events, Services, Aktivitäten,...) gliedern * [ ] Datenflussdiagramme zeichnen (für Übersicht über den Datenfluss) * am besten mit neuen Aktivitäten anfangen und zu alten Systemen vorarbeiten * [ ] Vorgehensweisen erarbeiten für Betroffenenrechte: * [ ] Auskunft * [ ] Löschung * [ ] Korrektur * [ ] Widerspruch * [ ] Datenübertragbarkeit * [ ] Recht auf Vergessenwerden * [ ] Klären, mit wem man Auftragdatenverarbeitungsvereinbarungen schließen muss / welche Tools nicht genutzt werden können * [ ] alle, die Zugriff auf Daten der Verantwortlichen haben * [ ] Uni / Rechenzentrum der Uni (sind ggf. der Meinung, das sei nicht nötig) * [ ] Windows und sonstige Office-Produkte von Microsoft * ohne Auftragsdatenverarbeitungvereinbarung nur legal, wenn: * neuste Version, * Enterprise Edition und * speziell konfiguriert * [ ] Daten zu US-Firmen sind keine Option (Cloud Act, USA --> keine US Firmen)