xyrill/pentaradio-historic-shownotes
xyrill
/
pentaradio-historic-shownotes
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
pentaradio-historic-shownotes/out/shownotes-historic-2018-05.txt

457 lines
19 KiB
Plaintext
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

## Mai 2018
~~"Datenschutz und Bürokratiechaos"~~
„Datenschutzgrundverordnung“
<https://programm.coloradio.org/programm/sendung/23535.html#Pentaradio24-EU-DSGVO>
"EU-DSGVO: die neue europäische Datenschutzgrundverordnung"
### News
\* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen
Gesichtserkennung ein
\*\* Gesichtserkennung Dritter?
\<<https://twitter.com/mueller_andi/status/992445316698959878>\>
\* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit --
jetzt anscheinend sogar doch oeffentlich
\* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer
\* Google jetzt nicht mehr "nicht boese"
\<<https://www.golem.de/news/verhaltenskodex-google-verabschiedet-sich-von-don-t-be-evil-1805-134479.html>\>
\* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er
akzeptiert die neuen Bedingungen "freiwillig"
<https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21>
\*\* konnte mit seiner Klage vor dem Europäischen Gerichtshof das
transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden,
was als starkes Signal für den Grundrechtsschutz in Europa angesehen
wird.
\*\*Isnt this illegal according to GDPR? YES!
**Stefan Möller** @**hdoniker** Die CDU Hannover verschickt anlässlich
der ~~\#~~**DSGVO** eine Mail zwecks weiterem Newsletterbezug. Mit allen
900 Empfängern in CC.
--- ganz kurze Musik?? ---
### Einleitung
E-Mail Betreffs der letzten Tage:
-\[Action Required\] Important updates on Google Analytics Data
Retention and the General Data Protection Regulation (GDPR)
- Updates to our Terms of Use and Privacy Policy (Udemy)
- Would you like to stay or go? (Ryte)
- Am 25.5 verarbeitet die
Umfassendes Thema, hier nur angerissen.
Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur
Tipps und Hilfen zusammen
### Was ist Datenschutz (und warum)?
\* Europäische Menschenrechtscharta (Artikel 8)
\* Volkszählungsurteil (abgeleitet von Artikel 1 GG)
\* Warum Daten schützen? -\> Überwachung/Kontrolle vs Demokratie
Erwägungsgrund \#1:
Der Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1
der Charta der Grundrechte der Europäischen Union (im Folgenden
„Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die
Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht
auf Schutz der sie betreffenden personenbezogenen Daten.
-Informationsgrundverordnung
- *Artikel 8* der *Europäischen* Menschenrechtskonvention allgemeinen
Persönlichkeitsrechts
- Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft
notwendig”
- der öffentlichen Sicherheit und Ordnung (einschließlich der
Moral,)
- der öffentlichen Gesundheit,
- der nationalen Sicherheit,
- des wirtschaftlichen Wohls des Staates,
- der Kriminalprävention oder
- zum Schutz der Rechte und Freiheiten anderer.
\## Historie
\*\*\* Richtlinie = Handlungsvorschrift einer Institution, jedoch kein
förmliches Gesetz
Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach
seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d.
h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden
muss
( Gesetz = formelles und materielles Recht, eine Rechtsnorm )
Ausgehend von Richtlinie 95/46/EG von 1995
Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen)
Anzuwenden ab: 25. Mai 2018
- enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte
Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.
Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen
Richtlinie und Verordnung bezeichnet.
- ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017),
es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung
der EU-DSGVO)
- DSGVO - Datenschutz-Grundverordnung
- GDPR - General Data Protection Regulation
- *BDSG - Bundesdatenschutzgesetz*
- ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen
Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking,
E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, )
- EMRK - *Europäischen* Menschenrechtskonvention
- TMG - Telemediengesetz
\## Inhalte
// nur überfliegen...
Die DSGVO besteht aus:
- 99 Artikeln in elf Kapiteln.
- 173 Erwägungsgründe
- "Interpretationshilfen" des Gesetzgebers, Absichten
\* 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
\* Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva
Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft,
Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, …
- \+ 84§ BDSG (neu)
--- MUSIKPAUSE ?
\## Worum geht es?
- Schutz "der personenbezogenen Daten"?
- Was sind Daten, was ist Information, was ist Privatsphäre
\### Was sind personenbezogene Daten?
**Artikel 4** weiterhin weit gefasst:
„personenbezogene Daten“ \[sind\]:
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“)
beziehen; als identifizierbar wird eine natürliche Person angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen,
die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser
natürlichen Person sind, identifiziert werden kann; …
Name in der Regel Personenbezogen?
Pseudonym personenbezogen? Pseudonym ist nicht anonym!
IP-Adresse Personenbezogen? (-\> ist eine Onlinekennung)
Cookies personenbezogen!
*Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl
personenbezogen.*
*- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten,
es sei denn es ist erlaubt."*
nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn
Erlaubnistatbestand aus **Artikel 6**:
- Die betroffene Person hat ihre Einwilligung gegeben;
- \#PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt,
IP-Adresse?)
- Nicht-Mündige -\> z.B. Minderjährige? -\> Nur wenn Eltern zustimmen
("Dieser Dienst ist erst ab 16. verfügbar")
- schwer prüfbar
- verpflichtend bei Newsletter
- verpflichtend bei besondere Arten personenbezogener Daten: z.B.
Religion, Biometrik, Genetik, Sexualität, Gesundheit -\> Wie sieht
es aus mit Fotos? Einwilligung!
- denkbar schlechteste Zustimmungsform, außer vorgegeben
- Einwilligung widerrufbar -\> Recht auf Löschung
- Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht
Vertragsvorraussetzung sein -\> nur wenn man sich gezwungen fühlt.
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur
Durchführung vorvertraglicher Maßnahmen erforderlich;
- z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin
- aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB
Klauseln die überrumpeln
- Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung
erforderlich;
- Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für
Kunden)
- brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu
schützen;
- Krankenhaus?
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich,
die im öffentlichen Interesse liegt;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich
- z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer
- Marketing (Tracking und Targeting) steht explizit mit drin
- Einfallstor?! Die Abwägung hat noch nicht stattgefunden
- <https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186>
- Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener
Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten
Interesse dienende Verarbeitung betrachtet werden.
Grundsätze der Verarbeitung personenbezogener Daten **Artikel 5 (bloß
überfliegen)**
- *Rechtmäßigkeit*, Verarbeitung nach Treu und Glauben, Transparenz
- *Zweckbindung* (Verarbeitung nur für festgelegte, eindeutige und
legitime Zwecke)
- *Datenminimierung* („dem Zweck angemessen und erheblich sowie auf das
\[…\] notwendige Maß beschränkt“)
- *Richtigkeit* („es sind alle angemessenen Maßnahmen zu treffen, damit
\[unrichtige\] personenbezogene Daten unverzüglich gelöscht oder
berichtigt werden“)
- *Speicherbegrenzung* (Daten müssen „in einer Form gespeichert werden,
die die Identifizierung der betroffenen Personen nur so lange
ermöglicht, wie es \[…\] erforderlich ist“)
- *Integrität und Vertraulichkeit* („angemessene Sicherheit der
personenbezogenen Daten \[…\], einschließlich Schutz vor unbefugter
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
**- MUSIKPAUSE**
\## Was sich ändert (müssten wir noch sortieren)
- Genaue Erklärung was mit den Daten gemacht werden soll
- Austausch personenbezogener Daten in der EU nun einfacher (weil
Verordnung gleich)
- ***Marktortprinzip***:
- Das europäische Datenschutzrecht gilt auch für außereuropäische
Unternehmen, soweit diese ihre Waren oder Dienstleistungen im
europäischen Markt anbieten.
- betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc
- CDNs?
- **Privacy by Design** - (opt in statt opt out!)
- Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese
Seite verwendet cookies)
- in der ePV nochmal verschärft (außer bei
SessionCookies)-Einwilligung nötig
- (z.B. alle Cookies zulassen / nur firstParty-Cookies)
- muss auch bei der Programmierung beachtet werden!
- **höhere Bußgelder **
- bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern
- bzw. 4% des weltweiten Umsatzes eines Unternehmens
- vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu
Anwaltskosten)
- auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS
- aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber
- Anspruch auf Schadensersatz (nun auch materiell nicht nur
Anwaltskosten)
- Höhe noch nicht ganz klar
- Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger
Anwälte
- Artikel 17. **Recht auf Vergessenwerden**
- Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe
entfallen
- Verarbeiter müssen dann aktiv löschen
- **Recht auf Datenübertragbarkeit** (Artikel 20)
- betreffende Daten in einem „strukturierten, gängigen und
maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht
weiter vorgeschrieben)
- z.B. Umzug zwischen Apps, Sozialen Netzwerken
- **Recht auf Information**
- Verbraucher müssen künftig von Beginn an darüber informiert werden,
wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und
Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen.
Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen.
Die Einwilligung muss jederzeit zurückgezogen werden können.
- <https://selbstauskunft.net/>
- Daten Dritter? z.B. bei Freundschaftslisten etc.
- Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder
persönlich)
- Auskunftsperson muss ausreichend kommuniziert sein
- 1mal pro Jahr?
- Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld
verlangen).
- **~~Datenminimierung~~**
- ~~nur notwendige Daten sollen erhoben werden~~
- ~~gabs auch schon vorher~~
- **Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung**
- wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder
theoretisch selbst ausgeführt)
- wenn Unternehmen außerhalb EU dann Garantien-nötig
(Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc)
oder Privacy-Shield (EU/USA)
- wenn nicht vorhanden haften beide Parteien (Freelancer Consultant
Webhoster)
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Auftragsverarbeiter.pdf>
- z.B. für Google-Analytics, Buchhalter usw.
- Google Opt Out Plugin: <https://de.wordpress.org/plugins/goog>...
- Google Analytics ADV: <https://static.googleusercontent.com/>...
- Google Analytics Germanized Plugin:
<https://wordpress.org/plugins/ga-germ>...
- Aktuelle Übersicht! <https://www.blogmojo.de/av-vertraege/>
- **Mehr Sicherheit**
- Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff,
aber auch versehentlicher Verlust nicht möglich ist. Über
Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn
ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße
zudem bei nationalen Behörden melden. (Handelsblatt)
- SSL Zugriff auf der Webseite aktivieren!
- **weniger Ausnahmen**
- keine Außnahme mehr (altes BDSG) für Journalisten oder
Kleinunternehmer, sobald nicht mehr Privat alle betroffen
- Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige
Regelungen
- z.B. Fotos, Informanten, Kunden etc
- Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche
Stellen
- **Erwägungsgrund 82:**
- Zum Nachweis der Einhaltung dieser Verordnung sollte der
Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der
Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen,
führen. Jeder Verantwortliche und jeder Auftragsverarbeiter
sollte verpflichtet sein, mit der Aufsichtsbehörde
zusammenzuarbeiten und dieser auf Anfrage das entsprechende
Verzeichnis vorzulegen, damit die betreffenden
Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert
werden können.
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf>
- **Datenschutzbeauftragter**
- nicht viel verändert
- nicht ganz vorgeschrieben bei Risiko
- ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es
zählen alle mit Teil der Datenverarbeitung)
- dieser muss angemeldet werden, sonst Verstoß!
- es darf kein Mitarbeiter sein mit Interessenkonflikt:
- kein Geschäftsführer
- kein leitender Angestellter
- gern auch externer
- Prokurist (Handlungsbevollmächtigte)
- Besondere Fähigkeiten haben:
- Rechtlich sich auskennen
- Technisch in der Lage sein
- kein Zertifikat notwendig, aber empfehlenswert (man lernt dort
praktischen Datenschutz)
- keine bestimmte Ausbildung nötig
- Der muss sicherstellen:
- Sicherheit der Verarbeitung
- Stand der Technik muss gewährleistet sein
- nach möglichkeit Daten psyeudonymisieren
- Integrität der Daten sicherstellen (Backup)
- Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten)
- Personenbezogene Daten auf Schreibtisch für Besucher einsehbar)
- alles muss nachgewiesen werden, rechenschaftspflicht
- Verzeichnis von Verarbeitungsbelegen
- Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur
Gelegentlich
- E-Mails, Cloud
- eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat
- Religion für Steuerzwecke
- Schlösser, Mitarbeiter müssen auch AGVs?
--- MUSIKPAUSE
\## Was sich nicht ändert
- ~~Pflicht zur Transparenz (bisschen erweitert)~~
- ~~Informationspflicht (bisschen erweitert)~~
- ~~Rechenschaftspflichen (bisschen erweitert)~~
- Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten
notwendig
- Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig
ohne extra Einwilligung
- für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt
- Social Media Profile? Öffentlich / Freunde / "echte Freunde"
- Online frei zugänglich (eher nicht)
- Fotos in der Cloud?
\## Was habt ihr in Vorbereitung getan? (5-10Min)
- Webseiten von Cookies befreit
- ADV-Verträge gecheckt
- Weblogs nach 7 Tagen löschen
- Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite)
- Whatsapp zur Kommunikation von Eltern zustimmen lassen
- Datenschutzerklärung in den Footer der Webseite gepackt
- <https://datenschutz-generator.de/> Schwenke
- \- Auskunftsverantwortlicher muss klar sein
- \- bei Rückfragen muss Fragender ausreichend nachgewiesen werden
- <https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
-
~~\## Datenschutzerklärung auf Webseite~~
~~- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare,
Newsletter etc.~~
~~- Grundsätzlich bei den meisten nötig. ~~
*~~ - zb. bei Wordpress (Bei Kommentaren SPAM Schutz)~~*
*~~ - als Account bei großen Anbietern~~*
*~~ -\> z.B. Medium und Blogger trotzdem besser eine eigene
anlegen~~*
*~~ -\> sobald eigene Domain dann definitiv~~*
*~~ -\> bei Facebook-Seiten auch (bei nur Profil eher nicht)
(Verfahren bei EUGH läuft dies zu klären)~~*
*~~ -\> Gewinnspiele, Kommunikation mit dem Kunden über
FB~~*
*~~ -\> Instagramm? -\> wahrscheinlich nicht~~*
*~~ -\> Twitter eher nicht? -\> nur zur Sicherheit~~*
~~- Geld verdienen -\> Datenschutz? Nein. Datenschutz auch nötig wenn
kein "kommerzielle" Absicht~~
~~- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter~~
~~- beim Impressum reichen zwei Klicks~~
~~- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil
eines "Impressums"-Link sein~~
~~besser "Impressum/Datenschutz" oder zwei Links~~
~~- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn
Link zur Datenschutzerklärung~~
~~- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon
Ausgenommen~~
\## rundes Ende 10 - 15min.
\* Bewusstsein für Datenschutz schaffen
\* BEOBACHTUNG von Menschen/Bürgern durch Daten --\> Nutzung dieser
Daten für egoistische Zwecke /Missbrauch --\> KONTROLLE von menschlichem
Verhalten
\* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle
aussehen kann -\> Westworld schauen
\* Worum geht es in WW?
1 Was unterscheidet den Mensch von der KI?
2 Frage nach dem freien Willen und der Möglichkeit von Freiheit
3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den
Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal
kontollieren zu können
Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn
der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er
auch nicht mehr frei
--\> Gegen Kontrolle von menschlichem Verhalten durch Daten
Datenschutz ist ein Grundrecht
Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica)
Künstliche Intelligenz
Speichert nur Daten die ihr wirklich braucht und löscht diese
anschließend
\## Quellen
grundlegendes zum Recht
<https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/>
tips für Webseitenbetreiber
<https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/>
<https://dsgvo-gesetz.de/>
<https://datenschutz-generator.de/>
Sächsischer Datenschutzbeauftragter:
<https://www.saechsdsb.de/>
<https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
Reference in New Issue View Git Blame Copy Permalink