2022-12-31 19:19:15 +01:00
|
|
|
|
--------------------------------------------------------------------------------
|
|
|
|
|
Diese Shownotes wurden automatisiert aus <https://pads.ccc.de/C3D2-Pentaradio>
|
|
|
|
|
extrahiert, siehe <https://gitea.c3d2.de/xyrill/pentaradio-historic-shownotes>.
|
|
|
|
|
--------------------------------------------------------------------------------
|
|
|
|
|
|
2022-12-31 18:54:02 +01:00
|
|
|
|
## Mai 2018
|
|
|
|
|
|
|
|
|
|
~~"Datenschutz und Bürokratiechaos"~~
|
|
|
|
|
„Datenschutzgrundverordnung“
|
|
|
|
|
<https://programm.coloradio.org/programm/sendung/23535.html#Pentaradio24-EU-DSGVO>
|
|
|
|
|
"EU-DSGVO: die neue europäische Datenschutzgrundverordnung"
|
|
|
|
|
|
|
|
|
|
### News
|
|
|
|
|
|
|
|
|
|
\* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen
|
|
|
|
|
Gesichtserkennung ein
|
|
|
|
|
\*\* Gesichtserkennung Dritter?
|
|
|
|
|
\<<https://twitter.com/mueller_andi/status/992445316698959878>\>
|
|
|
|
|
\* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit --
|
|
|
|
|
jetzt anscheinend sogar doch oeffentlich
|
|
|
|
|
\* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer
|
|
|
|
|
\* Google jetzt nicht mehr "nicht boese"
|
|
|
|
|
\<<https://www.golem.de/news/verhaltenskodex-google-verabschiedet-sich-von-don-t-be-evil-1805-134479.html>\>
|
|
|
|
|
\* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er
|
|
|
|
|
akzeptiert die neuen Bedingungen "freiwillig"
|
|
|
|
|
<https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21>
|
|
|
|
|
\*\* konnte mit seiner Klage vor dem Europäischen Gerichtshof das
|
|
|
|
|
transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden,
|
|
|
|
|
was als starkes Signal für den Grundrechtsschutz in Europa angesehen
|
|
|
|
|
wird.
|
|
|
|
|
\*\*Isn’t this illegal according to GDPR? YES!
|
|
|
|
|
|
|
|
|
|
**Stefan Möller** @**hdoniker** Die CDU Hannover verschickt anlässlich
|
|
|
|
|
der ~~\#~~**DSGVO** eine Mail zwecks weiterem Newsletterbezug. Mit allen
|
|
|
|
|
900 Empfängern in CC.
|
|
|
|
|
|
|
|
|
|
--- ganz kurze Musik?? ---
|
|
|
|
|
|
|
|
|
|
### Einleitung
|
|
|
|
|
|
|
|
|
|
E-Mail Betreffs der letzten Tage:
|
|
|
|
|
|
|
|
|
|
-\[Action Required\] Important updates on Google Analytics Data
|
|
|
|
|
Retention and the General Data Protection Regulation (GDPR)
|
|
|
|
|
- Updates to our Terms of Use and Privacy Policy (Udemy)
|
|
|
|
|
- Would you like to stay or go? (Ryte)
|
|
|
|
|
- Am 25.5 verarbeitet die
|
|
|
|
|
|
|
|
|
|
Umfassendes Thema, hier nur angerissen.
|
|
|
|
|
|
|
|
|
|
Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur
|
|
|
|
|
Tipps und Hilfen zusammen
|
|
|
|
|
|
|
|
|
|
### Was ist Datenschutz (und warum)?
|
|
|
|
|
|
|
|
|
|
\* Europäische Menschenrechtscharta (Artikel 8)
|
|
|
|
|
\* Volkszählungsurteil (abgeleitet von Artikel 1 GG)
|
|
|
|
|
|
|
|
|
|
\* Warum Daten schützen? -\> Überwachung/Kontrolle vs Demokratie
|
|
|
|
|
|
|
|
|
|
Erwägungsgrund \#1:
|
|
|
|
|
|
|
|
|
|
Der Schutz natürlicher Personen bei der Verarbeitung
|
|
|
|
|
personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1
|
|
|
|
|
der Charta der Grundrechte der Europäischen Union (im Folgenden
|
|
|
|
|
„Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die
|
|
|
|
|
Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht
|
|
|
|
|
auf Schutz der sie betreffenden personenbezogenen Daten.
|
|
|
|
|
|
|
|
|
|
-Informationsgrundverordnung
|
|
|
|
|
|
|
|
|
|
- *Artikel 8* der *Europäischen* Menschenrechtskonvention allgemeinen
|
|
|
|
|
Persönlichkeitsrechts
|
|
|
|
|
- Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft
|
|
|
|
|
notwendig”
|
|
|
|
|
- der öffentlichen Sicherheit und Ordnung (einschließlich der
|
|
|
|
|
Moral,)
|
|
|
|
|
- der öffentlichen Gesundheit,
|
|
|
|
|
- der nationalen Sicherheit,
|
|
|
|
|
- des wirtschaftlichen Wohls des Staates,
|
|
|
|
|
- der Kriminalprävention oder
|
|
|
|
|
- zum Schutz der Rechte und Freiheiten anderer.
|
|
|
|
|
|
|
|
|
|
\## Historie
|
|
|
|
|
\*\*\* Richtlinie = Handlungsvorschrift einer Institution, jedoch kein
|
|
|
|
|
förmliches Gesetz
|
|
|
|
|
Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach
|
|
|
|
|
seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d.
|
|
|
|
|
h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden
|
|
|
|
|
muss
|
|
|
|
|
( Gesetz = formelles und materielles Recht, eine Rechtsnorm )
|
|
|
|
|
|
|
|
|
|
Ausgehend von Richtlinie 95/46/EG von 1995
|
|
|
|
|
|
|
|
|
|
Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen)
|
|
|
|
|
Anzuwenden ab: 25. Mai 2018
|
|
|
|
|
|
|
|
|
|
- enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte
|
|
|
|
|
Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.
|
|
|
|
|
Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen
|
|
|
|
|
Richtlinie und Verordnung bezeichnet.
|
|
|
|
|
|
|
|
|
|
- ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017),
|
|
|
|
|
es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung
|
|
|
|
|
der EU-DSGVO)
|
|
|
|
|
|
|
|
|
|
- DSGVO - Datenschutz-Grundverordnung
|
|
|
|
|
- GDPR - General Data Protection Regulation
|
|
|
|
|
- *BDSG - Bundesdatenschutzgesetz*
|
|
|
|
|
- ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen
|
|
|
|
|
Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking,
|
|
|
|
|
E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, )
|
|
|
|
|
- EMRK - *Europäischen* Menschenrechtskonvention
|
|
|
|
|
- TMG - Telemediengesetz
|
|
|
|
|
|
|
|
|
|
\## Inhalte
|
|
|
|
|
// nur überfliegen...
|
|
|
|
|
Die DSGVO besteht aus:
|
|
|
|
|
|
|
|
|
|
- 99 Artikeln in elf Kapiteln.
|
|
|
|
|
- 173 Erwägungsgründe
|
|
|
|
|
- "Interpretationshilfen" des Gesetzgebers, Absichten
|
|
|
|
|
|
|
|
|
|
\* 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
|
|
|
|
|
\* Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva
|
|
|
|
|
Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft,
|
|
|
|
|
Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, …
|
|
|
|
|
|
|
|
|
|
- \+ 84§ BDSG (neu)
|
|
|
|
|
|
|
|
|
|
--- MUSIKPAUSE ?
|
|
|
|
|
|
|
|
|
|
\## Worum geht es?
|
|
|
|
|
|
|
|
|
|
- Schutz "der personenbezogenen Daten"?
|
|
|
|
|
- Was sind Daten, was ist Information, was ist Privatsphäre
|
|
|
|
|
|
|
|
|
|
\### Was sind personenbezogene Daten?
|
|
|
|
|
|
|
|
|
|
**Artikel 4** weiterhin weit gefasst:
|
|
|
|
|
|
|
|
|
|
„personenbezogene Daten“ \[sind\]:
|
|
|
|
|
alle Informationen, die sich auf eine identifizierte oder
|
|
|
|
|
identifizierbare natürliche Person (im Folgenden „betroffene Person“)
|
|
|
|
|
beziehen; als identifizierbar wird eine natürliche Person angesehen,
|
|
|
|
|
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
|
|
|
|
|
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu
|
|
|
|
|
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen,
|
|
|
|
|
die Ausdruck der physischen, physiologischen, genetischen, psychischen,
|
|
|
|
|
wirtschaftlichen, kulturellen oder sozialen Identität dieser
|
|
|
|
|
natürlichen Person sind, identifiziert werden kann; …
|
|
|
|
|
|
|
|
|
|
Name in der Regel Personenbezogen?
|
|
|
|
|
Pseudonym personenbezogen? Pseudonym ist nicht anonym!
|
|
|
|
|
IP-Adresse Personenbezogen? (-\> ist eine Onlinekennung)
|
|
|
|
|
Cookies personenbezogen!
|
|
|
|
|
|
|
|
|
|
*Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl
|
|
|
|
|
personenbezogen.*
|
|
|
|
|
|
|
|
|
|
*- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten,
|
|
|
|
|
es sei denn es ist erlaubt."*
|
|
|
|
|
|
|
|
|
|
nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn
|
|
|
|
|
Erlaubnistatbestand aus **Artikel 6**:
|
|
|
|
|
|
|
|
|
|
- Die betroffene Person hat ihre Einwilligung gegeben;
|
|
|
|
|
- \#PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt,
|
|
|
|
|
IP-Adresse?)
|
|
|
|
|
- Nicht-Mündige -\> z.B. Minderjährige? -\> Nur wenn Eltern zustimmen
|
|
|
|
|
("Dieser Dienst ist erst ab 16. verfügbar")
|
|
|
|
|
- schwer prüfbar
|
|
|
|
|
- verpflichtend bei Newsletter
|
|
|
|
|
- verpflichtend bei besondere Arten personenbezogener Daten: z.B.
|
|
|
|
|
Religion, Biometrik, Genetik, Sexualität, Gesundheit -\> Wie sieht
|
|
|
|
|
es aus mit Fotos? Einwilligung!
|
|
|
|
|
- denkbar schlechteste Zustimmungsform, außer vorgegeben
|
|
|
|
|
- Einwilligung widerrufbar -\> Recht auf Löschung
|
|
|
|
|
- Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht
|
|
|
|
|
Vertragsvorraussetzung sein -\> nur wenn man sich gezwungen fühlt.
|
|
|
|
|
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur
|
|
|
|
|
Durchführung vorvertraglicher Maßnahmen erforderlich;
|
|
|
|
|
- z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin
|
|
|
|
|
- aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB
|
|
|
|
|
Klauseln die überrumpeln
|
|
|
|
|
- Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt
|
|
|
|
|
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung
|
|
|
|
|
erforderlich;
|
|
|
|
|
- Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für
|
|
|
|
|
Kunden)
|
|
|
|
|
- brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert
|
|
|
|
|
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu
|
|
|
|
|
schützen;
|
|
|
|
|
- Krankenhaus?
|
|
|
|
|
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich,
|
|
|
|
|
die im öffentlichen Interesse liegt;
|
|
|
|
|
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des
|
|
|
|
|
Verantwortlichen oder eines Dritten erforderlich
|
|
|
|
|
- z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer
|
|
|
|
|
- Marketing (Tracking und Targeting) steht explizit mit drin
|
|
|
|
|
- Einfallstor?! Die Abwägung hat noch nicht stattgefunden
|
|
|
|
|
- <https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186>
|
|
|
|
|
- Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener
|
|
|
|
|
Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten
|
|
|
|
|
Interesse dienende Verarbeitung betrachtet werden.
|
|
|
|
|
|
|
|
|
|
Grundsätze der Verarbeitung personenbezogener Daten **Artikel 5 (bloß
|
|
|
|
|
überfliegen)**
|
|
|
|
|
|
|
|
|
|
- *Rechtmäßigkeit*, Verarbeitung nach Treu und Glauben, Transparenz
|
|
|
|
|
- *Zweckbindung* (Verarbeitung nur für festgelegte, eindeutige und
|
|
|
|
|
legitime Zwecke)
|
|
|
|
|
- *Datenminimierung* („dem Zweck angemessen und erheblich sowie auf das
|
|
|
|
|
\[…\] notwendige Maß beschränkt“)
|
|
|
|
|
- *Richtigkeit* („es sind alle angemessenen Maßnahmen zu treffen, damit
|
|
|
|
|
\[unrichtige\] personenbezogene Daten unverzüglich gelöscht oder
|
|
|
|
|
berichtigt werden“)
|
|
|
|
|
- *Speicherbegrenzung* (Daten müssen „in einer Form gespeichert werden,
|
|
|
|
|
die die Identifizierung der betroffenen Personen nur so lange
|
|
|
|
|
ermöglicht, wie es \[…\] erforderlich ist“)
|
|
|
|
|
- *Integrität und Vertraulichkeit* („angemessene Sicherheit der
|
|
|
|
|
personenbezogenen Daten \[…\], einschließlich Schutz vor unbefugter
|
|
|
|
|
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
|
|
|
|
|
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
|
|
|
|
|
|
|
|
|
|
**- MUSIKPAUSE**
|
|
|
|
|
|
|
|
|
|
\## Was sich ändert (müssten wir noch sortieren)
|
|
|
|
|
|
|
|
|
|
- Genaue Erklärung was mit den Daten gemacht werden soll
|
|
|
|
|
- Austausch personenbezogener Daten in der EU nun einfacher (weil
|
|
|
|
|
Verordnung gleich)
|
|
|
|
|
|
|
|
|
|
- ***Marktortprinzip***:
|
|
|
|
|
- Das europäische Datenschutzrecht gilt auch für außereuropäische
|
|
|
|
|
Unternehmen, soweit diese ihre Waren oder Dienstleistungen im
|
|
|
|
|
europäischen Markt anbieten.
|
|
|
|
|
- betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc
|
|
|
|
|
- CDNs?
|
|
|
|
|
- **Privacy by Design** - (opt in statt opt out!)
|
|
|
|
|
- Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese
|
|
|
|
|
Seite verwendet cookies)
|
|
|
|
|
- in der ePV nochmal verschärft (außer bei
|
|
|
|
|
SessionCookies)-Einwilligung nötig
|
|
|
|
|
- (z.B. alle Cookies zulassen / nur firstParty-Cookies)
|
|
|
|
|
- muss auch bei der Programmierung beachtet werden!
|
|
|
|
|
- **höhere Bußgelder **
|
|
|
|
|
- bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern
|
|
|
|
|
- bzw. 4% des weltweiten Umsatzes eines Unternehmens
|
|
|
|
|
- vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu
|
|
|
|
|
Anwaltskosten)
|
|
|
|
|
- auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS
|
|
|
|
|
- aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber
|
|
|
|
|
- Anspruch auf Schadensersatz (nun auch materiell nicht nur
|
|
|
|
|
Anwaltskosten)
|
|
|
|
|
- Höhe noch nicht ganz klar
|
|
|
|
|
- Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger
|
|
|
|
|
Anwälte
|
|
|
|
|
- Artikel 17. **Recht auf Vergessenwerden**
|
|
|
|
|
- Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe
|
|
|
|
|
entfallen
|
|
|
|
|
- Verarbeiter müssen dann aktiv löschen
|
|
|
|
|
- **Recht auf Datenübertragbarkeit** (Artikel 20)
|
|
|
|
|
- betreffende Daten in einem „strukturierten, gängigen und
|
|
|
|
|
maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht
|
|
|
|
|
weiter vorgeschrieben)
|
|
|
|
|
- z.B. Umzug zwischen Apps, Sozialen Netzwerken
|
|
|
|
|
- **Recht auf Information**
|
|
|
|
|
- Verbraucher müssen künftig von Beginn an darüber informiert werden,
|
|
|
|
|
wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und
|
|
|
|
|
Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen.
|
|
|
|
|
Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen.
|
|
|
|
|
Die Einwilligung muss jederzeit zurückgezogen werden können.
|
|
|
|
|
- <https://selbstauskunft.net/>
|
|
|
|
|
- Daten Dritter? z.B. bei Freundschaftslisten etc.
|
|
|
|
|
- Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder
|
|
|
|
|
persönlich)
|
|
|
|
|
- Auskunftsperson muss ausreichend kommuniziert sein
|
|
|
|
|
- 1mal pro Jahr?
|
|
|
|
|
- Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld
|
|
|
|
|
verlangen).
|
|
|
|
|
- **~~Datenminimierung~~**
|
|
|
|
|
- ~~nur notwendige Daten sollen erhoben werden~~
|
|
|
|
|
- ~~gabs auch schon vorher~~
|
|
|
|
|
- **Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung**
|
|
|
|
|
- wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder
|
|
|
|
|
theoretisch selbst ausgeführt)
|
|
|
|
|
- wenn Unternehmen außerhalb EU dann Garantien-nötig
|
|
|
|
|
(Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc)
|
|
|
|
|
oder Privacy-Shield (EU/USA)
|
|
|
|
|
- wenn nicht vorhanden haften beide Parteien (Freelancer Consultant
|
|
|
|
|
Webhoster)
|
|
|
|
|
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Auftragsverarbeiter.pdf>
|
|
|
|
|
- z.B. für Google-Analytics, Buchhalter usw.
|
|
|
|
|
- Google Opt Out Plugin: <https://de.wordpress.org/plugins/goog>...
|
|
|
|
|
- Google Analytics ADV: <https://static.googleusercontent.com/>...
|
|
|
|
|
- Google Analytics Germanized Plugin:
|
|
|
|
|
<https://wordpress.org/plugins/ga-germ>...
|
|
|
|
|
- Aktuelle Übersicht! <https://www.blogmojo.de/av-vertraege/>
|
|
|
|
|
|
|
|
|
|
- **Mehr Sicherheit**
|
|
|
|
|
- Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff,
|
|
|
|
|
aber auch versehentlicher Verlust nicht möglich ist. Über
|
|
|
|
|
Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn
|
|
|
|
|
ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße
|
|
|
|
|
zudem bei nationalen Behörden melden. (Handelsblatt)
|
|
|
|
|
- SSL Zugriff auf der Webseite aktivieren!
|
|
|
|
|
|
|
|
|
|
- **weniger Ausnahmen**
|
|
|
|
|
- keine Außnahme mehr (altes BDSG) für Journalisten oder
|
|
|
|
|
Kleinunternehmer, sobald nicht mehr Privat alle betroffen
|
|
|
|
|
- Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige
|
|
|
|
|
Regelungen
|
|
|
|
|
- z.B. Fotos, Informanten, Kunden etc
|
|
|
|
|
- Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche
|
|
|
|
|
Stellen
|
|
|
|
|
|
|
|
|
|
- **Erwägungsgrund 82:**
|
|
|
|
|
- Zum Nachweis der Einhaltung dieser Verordnung sollte der
|
|
|
|
|
Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der
|
|
|
|
|
Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen,
|
|
|
|
|
führen. Jeder Verantwortliche und jeder Auftragsverarbeiter
|
|
|
|
|
sollte verpflichtet sein, mit der Aufsichtsbehörde
|
|
|
|
|
zusammenzuarbeiten und dieser auf Anfrage das entsprechende
|
|
|
|
|
Verzeichnis vorzulegen, damit die betreffenden
|
|
|
|
|
Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert
|
|
|
|
|
werden können.
|
|
|
|
|
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf>
|
|
|
|
|
|
|
|
|
|
- **Datenschutzbeauftragter**
|
|
|
|
|
- nicht viel verändert
|
|
|
|
|
- nicht ganz vorgeschrieben bei Risiko
|
|
|
|
|
- ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es
|
|
|
|
|
zählen alle mit Teil der Datenverarbeitung)
|
|
|
|
|
- dieser muss angemeldet werden, sonst Verstoß!
|
|
|
|
|
- es darf kein Mitarbeiter sein mit Interessenkonflikt:
|
|
|
|
|
- kein Geschäftsführer
|
|
|
|
|
- kein leitender Angestellter
|
|
|
|
|
- gern auch externer
|
|
|
|
|
- Prokurist (Handlungsbevollmächtigte)
|
|
|
|
|
- Besondere Fähigkeiten haben:
|
|
|
|
|
- Rechtlich sich auskennen
|
|
|
|
|
- Technisch in der Lage sein
|
|
|
|
|
- kein Zertifikat notwendig, aber empfehlenswert (man lernt dort
|
|
|
|
|
praktischen Datenschutz)
|
|
|
|
|
- keine bestimmte Ausbildung nötig
|
|
|
|
|
- Der muss sicherstellen:
|
|
|
|
|
- Sicherheit der Verarbeitung
|
|
|
|
|
- Stand der Technik muss gewährleistet sein
|
|
|
|
|
- nach möglichkeit Daten psyeudonymisieren
|
|
|
|
|
- Integrität der Daten sicherstellen (Backup)
|
|
|
|
|
- Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten)
|
|
|
|
|
- Personenbezogene Daten auf Schreibtisch für Besucher einsehbar)
|
|
|
|
|
- alles muss nachgewiesen werden, rechenschaftspflicht
|
|
|
|
|
- Verzeichnis von Verarbeitungsbelegen
|
|
|
|
|
- Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur
|
|
|
|
|
Gelegentlich
|
|
|
|
|
- E-Mails, Cloud
|
|
|
|
|
- eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat
|
|
|
|
|
- Religion für Steuerzwecke
|
|
|
|
|
- Schlösser, Mitarbeiter müssen auch AGVs?
|
|
|
|
|
|
|
|
|
|
--- MUSIKPAUSE
|
|
|
|
|
|
|
|
|
|
\## Was sich nicht ändert
|
|
|
|
|
|
|
|
|
|
- ~~Pflicht zur Transparenz (bisschen erweitert)~~
|
|
|
|
|
- ~~Informationspflicht (bisschen erweitert)~~
|
|
|
|
|
- ~~Rechenschaftspflichen (bisschen erweitert)~~
|
|
|
|
|
|
|
|
|
|
- Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten
|
|
|
|
|
notwendig
|
|
|
|
|
- Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig
|
|
|
|
|
ohne extra Einwilligung
|
|
|
|
|
- für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt
|
|
|
|
|
- Social Media Profile? Öffentlich / Freunde / "echte Freunde"
|
|
|
|
|
- Online frei zugänglich (eher nicht)
|
|
|
|
|
- Fotos in der Cloud?
|
|
|
|
|
|
|
|
|
|
\## Was habt ihr in Vorbereitung getan? (5-10Min)
|
|
|
|
|
|
|
|
|
|
- Webseiten von Cookies befreit
|
|
|
|
|
- ADV-Verträge gecheckt
|
|
|
|
|
- Weblogs nach 7 Tagen löschen
|
|
|
|
|
- Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite)
|
|
|
|
|
- Whatsapp zur Kommunikation von Eltern zustimmen lassen
|
|
|
|
|
- Datenschutzerklärung in den Footer der Webseite gepackt
|
|
|
|
|
- <https://datenschutz-generator.de/> Schwenke
|
|
|
|
|
- \- Auskunftsverantwortlicher muss klar sein
|
|
|
|
|
- \- bei Rückfragen muss Fragender ausreichend nachgewiesen werden
|
|
|
|
|
- <https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
|
|
|
|
|
-
|
|
|
|
|
|
|
|
|
|
~~\## Datenschutzerklärung auf Webseite~~
|
|
|
|
|
|
|
|
|
|
~~- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare,
|
|
|
|
|
Newsletter etc.~~
|
|
|
|
|
|
|
|
|
|
~~- Grundsätzlich bei den meisten nötig. ~~
|
|
|
|
|
*~~ - zb. bei Wordpress (Bei Kommentaren SPAM Schutz)~~*
|
|
|
|
|
*~~ - als Account bei großen Anbietern~~*
|
|
|
|
|
*~~ -\> z.B. Medium und Blogger trotzdem besser eine eigene
|
|
|
|
|
anlegen~~*
|
|
|
|
|
*~~ -\> sobald eigene Domain dann definitiv~~*
|
|
|
|
|
*~~ -\> bei Facebook-Seiten auch (bei nur Profil eher nicht)
|
|
|
|
|
(Verfahren bei EUGH läuft dies zu klären)~~*
|
|
|
|
|
*~~ -\> Gewinnspiele, Kommunikation mit dem Kunden über
|
|
|
|
|
FB~~*
|
|
|
|
|
*~~ -\> Instagramm? -\> wahrscheinlich nicht~~*
|
|
|
|
|
*~~ -\> Twitter eher nicht? -\> nur zur Sicherheit~~*
|
|
|
|
|
|
|
|
|
|
~~- Geld verdienen -\> Datenschutz? Nein. Datenschutz auch nötig wenn
|
|
|
|
|
kein "kommerzielle" Absicht~~
|
|
|
|
|
|
|
|
|
|
~~- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter~~
|
|
|
|
|
~~- beim Impressum reichen zwei Klicks~~
|
|
|
|
|
~~- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil
|
|
|
|
|
eines "Impressums"-Link sein~~
|
|
|
|
|
~~besser "Impressum/Datenschutz" oder zwei Links~~
|
|
|
|
|
~~- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn
|
|
|
|
|
Link zur Datenschutzerklärung~~
|
|
|
|
|
~~- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon
|
|
|
|
|
Ausgenommen~~
|
|
|
|
|
|
|
|
|
|
\## rundes Ende 10 - 15min.
|
|
|
|
|
\* Bewusstsein für Datenschutz schaffen
|
|
|
|
|
\* BEOBACHTUNG von Menschen/Bürgern durch Daten --\> Nutzung dieser
|
|
|
|
|
Daten für egoistische Zwecke /Missbrauch --\> KONTROLLE von menschlichem
|
|
|
|
|
Verhalten
|
|
|
|
|
\* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle
|
|
|
|
|
aussehen kann -\> Westworld schauen
|
|
|
|
|
\* Worum geht es in WW?
|
|
|
|
|
1 Was unterscheidet den Mensch von der KI?
|
|
|
|
|
2 Frage nach dem freien Willen und der Möglichkeit von Freiheit
|
|
|
|
|
3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den
|
|
|
|
|
Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal
|
|
|
|
|
kontollieren zu können
|
|
|
|
|
Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn
|
|
|
|
|
der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er
|
|
|
|
|
auch nicht mehr frei
|
|
|
|
|
--\> Gegen Kontrolle von menschlichem Verhalten durch Daten
|
|
|
|
|
|
|
|
|
|
Datenschutz ist ein Grundrecht
|
|
|
|
|
Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica)
|
|
|
|
|
Künstliche Intelligenz
|
|
|
|
|
|
|
|
|
|
Speichert nur Daten die ihr wirklich braucht und löscht diese
|
|
|
|
|
anschließend
|
|
|
|
|
\## Quellen
|
|
|
|
|
|
|
|
|
|
grundlegendes zum Recht
|
|
|
|
|
<https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/>
|
|
|
|
|
tips für Webseitenbetreiber
|
|
|
|
|
<https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/>
|
|
|
|
|
<https://dsgvo-gesetz.de/>
|
|
|
|
|
<https://datenschutz-generator.de/>
|
|
|
|
|
|
|
|
|
|
Sächsischer Datenschutzbeauftragter:
|
|
|
|
|
<https://www.saechsdsb.de/>
|
|
|
|
|
<https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
|
|
|
|
|
|