Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:user:martin_neldner:9._dfn-konferenz_datenschutz [2022/11/30 09:51] – angelegt Admin | wiki:user:martin_neldner:9._dfn-konferenz_datenschutz [2022/11/30 19:01] (aktuell) – Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== 9. DFN Konferenz " | + | <WRAP center round info 60%> |
- | ===== Keynote: Fanpages an Hochschulen | + | **Die folgende Seite ist eine <fs x-large> |
- | (Dr. Stefan Brink) | + | </ |
+ | |||
+ | ====== 9. DFN Konferenz Datenschutz ====== | ||
+ | |||
+ | 30.11.2022 [[https:// | ||
+ | |||
+ | eigene Anmerkungen in [...], Mitschrift nach meinen Wahrnehmungen und noch ohne Zugriff auf die Foliensätze - damit natürlich subjektiv gefärbt und ggf. mit eigenen Schwerpunktsetzungen | ||
+ | |||
+ | ===== - Keynote: Fanpages an Hochschulen - Social Media in öffentlichen Stellen ===== | ||
+ | |||
+ | (Stefan Brink) | ||
==== Gesamtsituation ==== | ==== Gesamtsituation ==== | ||
Zeile 19: | Zeile 29: | ||
* TikTok der neueste Hype | * TikTok der neueste Hype | ||
* " | * " | ||
- | * [[: | + | * [[: |
+ | |||
+ | ==== Fanpages ==== | ||
+ | |||
+ | * rein private Plattformen mit Gewinnerzielungsabsicht und eigener Agenda | ||
+ | * öffentliche Verwaltung unterliegt Bindungen, denen die Privatwirtschaft nicht unterliegt, insbesondere keine Anwendung des berechtigten Interesses (Art. 6 Abs. 1 UA 1 lit. f) sowohl wegen Art. 6 Abs. 1 UA 2 aber auch aus verfassungsrechtlichen Gründen(Bindung an Recht und Gesetz, gesetzliche Grundlagen für Eingriffe) und auch nur eingeschränkte Anwendung der Einwilligung | ||
+ | * allgemeine Betonung, dass [[: | ||
+ | * Werbung außerhalb eines Über-/ | ||
+ | * vermisst gesetzliche Regelungen zur Öffentlichkeitsarbeit [aber in Thüringen [[https:// | ||
+ | * Social Media zur Versorgung von Studierenden mit Informationen und als Kommunikationskanal --> Rechtsgrundlage? | ||
+ | * Einsatz von Social Media auch vergaberechtliches/ | ||
+ | * Gemeinsame Verantwortlichkeit | ||
+ | * Vor 2018: Tools wurden einfach genutzt mit Verweis auf Verantwortlichkeit der Betreiber | ||
+ | * Seit 2018: Gemeinsame Verantwortlichkeit, | ||
+ | * Insights: Facebook lieferte und liefert an Betreiber der Fanpage Informationen über das Nutzungsverhalten der Seite [wohl wichtiges Argument für gemeinsame Verantwortlichkeit] | ||
+ | * Facebook weigerte[weigert? | ||
+ | * Bundesdatenschutzbeauftragter mit Bundespresseamt in einer Auseinandersetzung, | ||
+ | * Facebook hat wohl Abschalten der Insights angeboten - " | ||
+ | * Verantwortlichkeit: | ||
+ | * Risiko des Abwartens: Art. 82 DSGVO mit Schadenersatz - "hohe Durchschlagskraft und entlastende Wirkung für die Aufsichtsbehörden" | ||
+ | * TTDSG für Insights keine Ausnahme nach § 25 Abs. 2 TTDSG | ||
+ | |||
+ | ==== Schluss ==== | ||
+ | |||
+ | * " | ||
+ | * Cookiebanner für technisch notwendige Verarbeitungen ist nicht notwendig - "die Cookiebanner stehen da, weil jemand Daten über das technisch notwendige Maß hinaus verarbeiten möchte" | ||
+ | * Twitter: massiver Auszug zu verzeichnen[Ist das so?], starker Wechsel zu Mastodon, BaWü hat eigene Mastodon-Instanz eingerichtet mit inzwischen über 100 teilnehmenden öffentlichen Stellen (ähnliches auch für Youtube/ | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Frage: Gründe für schnelles Handeln anstatt auf anstehende Gerichtsentscheidungen zu warten? | ||
+ | * Schadenersatz: | ||
+ | * drohende Untersagungen: | ||
+ | * "EuGH gibt Gas", | ||
+ | * Änderungen der DSGVO sind nicht zu erwarten; | ||
+ | * dringende Empfehlung Alternativkanal aufzubauen | ||
+ | * Gegenmeinung Prof Gerling: " | ||
+ | * Stellungnahme: | ||
+ | |||
+ | ===== - Meta und die deutsche Hochschulkommunikation am Verhandlungstisch ===== | ||
+ | (Tabea Steinhauer, Ruhr-Universität Bochum, Vorstandsmitglied Bundesverband Hochschulkommunikation) | ||
+ | |||
+ | * auch wenn namentlich die Rede meist von Fanpages ist, geht es letztlich um alle sozialen Netzwerke | ||
+ | * Beispiele | ||
+ | * Twitter: scintific communities, | ||
+ | * Instagramm: Studierende, | ||
+ | * LinkedIn: Politik, Wirtschaft, Medien, Alumni, Talente | ||
+ | * YouTube: Interessierte Öffentlichkeit, | ||
+ | * Facebook: interessierte Öffentlichkeit, | ||
+ | * Musteranschreiben mit Mustervertrag (Art. 26 DSGVO) für Anfrage an Meta | ||
+ | * Beteiligung mindestens 40, eher 60-60 Hochschulen haben sich beteiligt | ||
+ | * Meta Deutschland fühlt sich nicht zuständig aber offensichtlich Weiterleitung nach Irland | ||
+ | * Rückantwort: | ||
+ | * Seitenbetreiber können Insights einsehen, alles was nicht einsehbar ist, ist keine gemeinsame Verantwortlichkeit | ||
+ | * gemeinsame Verantwortlichkeit wird weiter abgelehnt | ||
+ | * Schlussfolgerungen aus dem Kurzgutachten vom 18. März 2022 der DSK werden nicht geteilt | ||
+ | * Argument von Brink, dass Hochschulen Fanpages betreiben, kann nicht nachvollzogen werden, vielmehr sehr vielschichtige Gründe - | ||
+ | * neben Marketing auch | ||
+ | * Forschung, | ||
+ | * Krisenkommunikation zB bei Stromausfall, | ||
+ | * demokratische Aufgabe [?] | ||
+ | * Bekämpfung FakeNews, Verschwörungstheorien | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Gegenmeinung: | ||
+ | * Stellungnahme: | ||
+ | * (Gegen-)Meinung: | ||
+ | * Gegenmeinung: | ||
+ | * Stellungnahme: | ||
+ | * Meinung: Meta ein Fall für besonders große Kooperationsunwilligkeit, | ||
+ | |||
+ | ===== - Standardvertragsklauseln zur Auftragsverarbeitung an Hochschulen ===== | ||
+ | (Ursula Hilgers, Datenschutzbeauftragte der Heinrich Heine Universität Düsseldorf) | ||
+ | |||
+ | ==== Verarbeitung im Auftrag ==== | ||
+ | (Siehe [[: | ||
+ | * Begriffsbestimmung, | ||
+ | * inhaltliche Anforderungen, | ||
+ | |||
+ | ==== Ausgangssituation ==== | ||
+ | * Prüfung der Verträge sehr zeitaufwendig | ||
+ | * Bisher Mustervertrag der NRW-Hochschulen | ||
+ | * Akzeptanzprobleme, | ||
+ | * hochschulinterne Vorbehalte gegen Muster | ||
+ | * Nutzung in Verbundprojekten mehrerer Hochschulen | ||
+ | * Alternative: | ||
+ | * sehr zeitaufwendig | ||
+ | * häufig unzureichende Qualität | ||
+ | |||
+ | ==== Standardvertragsklauseln ==== | ||
+ | * NICHT: Standardvertragsklauseln über Drittlandstransfer | ||
+ | * [[https:// | ||
+ | * Nach Klausel 2 Abs. a sind Ergänzungen und Konkretisierungen unter bestimmten Voraussetzungen (Abs. b) zulässig | ||
+ | * Zielsetzung | ||
+ | * Nutzung für einen Vertrag für die Verarbeitung im Auftrag | ||
+ | * Redaktionelle Änderungen | ||
+ | * Umwandlung in Text-Dokument | ||
+ | * Ausfüllhinweise/ | ||
+ | * Ergänzungen am Ende des Vertragstextes (Neuer Abschnitt IV, Klausel 11), somit Beibehaltung des EU-Vertragstextes als Ganzes aber Grundverständnis dieses Vertrages damit notwendig, weil jeweils in den feststehenden Vertragstext verwiesen wird | ||
+ | * Inhaltliche Anpassungen (ua) | ||
+ | * Aufbewahrungsfrist für erteilte Weisungen | ||
+ | * Dokumentation - [[:VVT]] | ||
+ | * Unterstützung bei Erstellung und Prüfung | ||
+ | * Mitteilung der erforderlichen Angaben | ||
+ | * Vorgaben zur Kommunikation mit Dritten | ||
+ | * Vorgaben zur Fernwartung (falls relevant) | ||
+ | * Sicherheit der Verarbeitung | ||
+ | * Anpassung der TOM´s während der Vertragslaufzeit - bei Gewährleistung des Sicherheitsniveaus | ||
+ | * Mobile Arbeit - Ergänzung optionaler Regelungen (Ausschluss bestimmter Tätigkeiten durch den Auftragsverarbeiter im HomeOffice) | ||
+ | * Pflicht zur Vertraulichkeit der Beschäftigten des Auftragsverarbeiters - auch nach Beendigung des Vertrages und/oder Beschäftigungsverhältnisses | ||
+ | * Kategorien betroffener Personen: Standardisierung/ | ||
+ | * Ergänzung Angabe zur Nutzung Fernwartung | ||
+ | * in Anhang III Technisch-Organisatorische Maßnahmen | ||
+ | * müssen konkret beschrieben werden - Checkboxen unerwünscht [?] | ||
+ | * Änderungen | ||
+ | * konkrete Bennenung der Maßnahmen | ||
+ | * Maßnahmen zur Sicherstellung der Betroffenenrechte | ||
+ | * Fazit | ||
+ | * Neues Vertragsmuster zur stärkeren Vereinheitlichung | ||
+ | * Erarbeitung eines Vorschlages von einer kleinen Gruppe DSB dann Ausrollen in NRW wohl recht erfolgreich | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Frage: Akzeptanz durch Auftragsverarbeiter? | ||
+ | * Antwort: " | ||
+ | * Anmerkung: Zwei Anbieter nehmen Beschluss in Bezug und drucken den Text nicht im Vertrag ab | ||
+ | * Problem: Was ist bei einer Änderung der Beschlusslage? | ||
+ | * Anmerkung: Praktische Umsetzung schwierig, vor allem bei Bezugnahmen | ||
+ | * Anmerkung: Standardvertragsklauseln gem. Beschluss EU 2021/915 wurde von Microsoft abgelehnt, dennoch sollte es weiter versucht werden | ||
+ | |||
+ | [Ganz grundsätzlich stellt sich mir die Frage, ob vom Auftraggeber vorgegebene Auftragsverarbeitungsverträge nicht vorzugsweise von solchen Auftragnehmern unterzeichnet werden, die einfach eine Unterschrift leisten, um Ruhe zu haben, während Auftragnehmer mit einem durchdachten Ansatz sich das Paket aus den eigenen TOM´s und dem dazugehörigen AV nicht zerstören lassen wollen. Der vorgestellte Ansatz würde damit tendenziell zur Konfrontation genau mit den falschen Auftragnehmern führen.] | ||
+ | |||
+ | ===== - Alteinwilligungen für wissenschaftliche Forschungszwecke aus der datenschutzrechtlichen Perspektive ===== | ||
+ | (Fruzsina Molnár-Gábor, | ||
+ | |||
+ | [Alteinwilligungen im Sinne von Einwilligungen, | ||
+ | * Einleitung: Weiterverarbeitung von Daten | ||
+ | * Erwägungsgrund 171 Satz 3 DSGVO: Einwilligungen gemäß der Richtlinie 95/46/EG weiter verwendbar, wenn die Art der Einwilligung den Bedingungen der DSGVO entspricht | ||
+ | * 1. Schritt: Entspricht die Alteinwilligung der DSGVO (Vereinbarkeit)? | ||
+ | * 2. Schritt: Vereinbarkeit der Verarbeitungskontexte? | ||
+ | * Anforderungen an [[: | ||
+ | * freiwillig | ||
+ | * informiert | ||
+ | * " | ||
+ | * Widerruf | ||
+ | * Vereinbarkeit der Alteinwilligung mit den Vorgaben der DSGVO | ||
+ | * Erwägungsgrund 171 S. 3 DSGVO | ||
+ | * vergleichbares Schutzniveau --> Überschaubarkeit der Tragweite der Datenverarbeitung; | ||
+ | * Prüfung: Ist der Informationsgehalt der Daten vergleichbar? | ||
+ | * Prüfung: Ist der Verarbeitungszweck vergleichbar? | ||
+ | * Prüfung: Vergleichbarkeit der verantwortlichen Verarbeiter? | ||
+ | * Anforderungen an die Weiterverarbeitung | ||
+ | * Vergleichbarkeit der Risikobewertung | ||
+ | * Vergleich der Risikobeurteilung und Anpassungsmaßnahmen | ||
+ | * Problem bspw. Deanonymisierung der betroffenen Person [Was natürlich auf erhebliche Probleme bei der ursprünglichen Anonymisierung hinweist] | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Frage: Praxisrelevanz? | ||
+ | * Antwort: Relevanz eher bei jüngeren Einwilligungen aus der Übergangszeit | ||
+ | |||
+ | [Bei öffentlichen Hochschulen in anderen Bundesländern als Baden-Württemberg sollte geprüft werden, ob das das Landesrecht spezifische Regelungen zur Zweckbindung vorsieht. Siehe [[: | ||
+ | |||
+ | ===== - Recht auf Auskunft und Kopie - Überblick zu ausgewählten Urteilen und Vorschlägen für die Umsetzung in der Praxis ===== | ||
+ | (Philipp Quiel, Piltz Rechtsanwälte PartGmbB, Berlin) | ||
+ | |||
+ | * [[: | ||
+ | * Daueraufgabe für [[: | ||
+ | * Erwägungsgrund 63 Satz 1: "um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können" | ||
+ | * Wann liegt ein Missbrauch vor? | ||
+ | * Fallbeispiel: | ||
+ | * BGH [in Vorlagebeschluss? | ||
+ | * Art. 12 Abs. 5 DSGVO " | ||
+ | * ABER: [[: | ||
+ | * Wann liegt ein Missbrauch vor? | ||
+ | * Subjektives Element? Ziel des Betroffenen ABER AUCH Erlangung eines ungerechtfertigten Vorteils - letzteres nicht, wenn andere Erklärung möglich ist (so GÄ im Fall Nowak) | ||
+ | * Objektives Element? Verfehlt die Regelung ihr Ziel? --> Wann kann eine Auskunft NICHT dazu führen, dass sich Betroffener der Verarbeitung bewusst ist [wird?], Rechtmäßigkeit prüfen und Betroffenenrecht ausüben kann? | ||
+ | * EuGH könnte Vorlage des BGH folgen | ||
+ | * Praxis: Zurückhaltend mit Annahme Missbrauch umgehen, in der Praxis Standard-Antworten so optimieren, dass die Mehrzahl der Anfragenden zufriedengestellt sind und ggf. in den übrigen Fällen vorläufig[im Wissen um die Brisanz] auch Missbrauch einwenden | ||
+ | * Was ist eine Kopie? | ||
+ | * Nicht mehr nur Mitteilungspflicht wie in [[https:// | ||
+ | * "Eine Kopie ist eine Kopie", | ||
+ | * Kopie erstreckt nicht nicht auf Sortierung/ | ||
+ | * Was muss kopiert werden? | ||
+ | * Nicht Dokumente sondern Daten - Argument aus Art. 15 Abs. 3 Satz 1 DSGVO | ||
+ | * Wichtig: Was ist [überhaupt] in einem Dokument ein personenbezogenes Datum? | ||
+ | * Praxis: Unsicher wie EuGH entscheiden wird. JEDENFALLS keine Veränderung der Daten vor Überführung in Excel o.ä. | ||
+ | * Empfänger oder Kategorien von Empfängern? | ||
+ | * Umstritten, ob Wahlrecht und wenn ja, wessen Wahlrecht | ||
+ | * GA: So präzise wie möglich, wenn Wahlrecht, dann beim Empfänger, Ausübung von Rechten bei Kategorien von Empfängern erschwert, siehe auch Art. 19 Abs. 2 DSGVO; Ausnahmen: Geplante aber noch nicht umgesetzte Offenlegung, | ||
+ | * Praxis: EuGH wird grundsätzlich Nennung konkreter Empfänger verlangen --> Für Verarbeitungen sollten bei neuen Verarbeitungen jetzt schon konkrete Listen von Empfängern angelegt werden | ||
+ | * Auswirkungen auf Art. 14 und 14 DSGVO? Kein Vorzug erkennbar aber andere Funktion, daher hier Annahme Wahlrecht des Verantwortlichen denkbar | ||
+ | * Ausnahme aus Abs. 4? | ||
+ | * Getrennte Betrachtung von Anspruch und Ausnahmen | ||
+ | * Anspruchsvoraussetzungen sind extrem niedrig --> sicherer Umgang mit Ausnahmen wichtig | ||
+ | * keine Einschränkung über " | ||
+ | * Rechte und Freiheiten anderer Personen? | ||
+ | * alle im Unionsrecht und im nationalen Recht garantierte Rechte und Freiheiten | ||
+ | * Beispiele: LAG BaWü, Urt. v 17.3.21 - 21 Sa 43/20 | ||
+ | * EDSA auch Art. 7, 8 GRC | ||
+ | * Erwägungsgrund 63 nur Beispiele | ||
+ | * "nicht beeinträchtigen"? | ||
+ | * NICHT Abwesenheit jeglicher Beeinträchtigung | ||
+ | * Umfassende Abwägung notwendig | ||
+ | * EDSA: | ||
+ | * Führt Erfüllung zur Beeinträchtigung? | ||
+ | * Möglichkeit widerstreitende Rechte in Einklang zu bringen? | ||
+ | * ggf. Abwägung? | ||
+ | * Geltung von Abs. 4 auch für Abs. 1? | ||
+ | * EDSA und LAG BaWü: Kopie ist Art und Weise, wie Auskunft erteilt wird --> Anwendbarkeit von Abs. 4 für Abs. 1 | ||
+ | * aA BGH, Urt. v. 22.2.22 VI ZR 14/21: Geltung nur für Kopie | ||
+ | * Beschränkung über allgemeine Rechtsgrundsätze? | ||
+ | * Praxis: Nur für Kopie anwenden [Frage ist natürlich, ob Auskunft dann zB personenbezogene Daten Dritter offenlegen kann - mE nein] | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Frage: Offenlegung personenbezogener Daten von Gutachtern? | ||
+ | * Einzelfallabhängig, | ||
+ | * Frage: Fragen nach Systemen/ | ||
+ | * Auf Anspruchsebene alles. Ausnahmen prüfen. Konkretisierung verlangen aus Erwägungsgrund 63 S. 7 aber zumindest bei Konkretisierung muss erfüllt werden und Verantwortlicher muss sich ggf. mit den Auftragsverarbeitern auseinandersetzen | ||
+ | |||
+ | |||
+ | ===== - Datenschutzrechtliche Zulässigkeit der Onlineklausuren-Aufsicht von Studierenden ===== | ||
+ | (Owen Mc Grath und Nicolas John, Westfälische-Wilhelms Universität Münster, Forschungsstelle Recht im DFN) | ||
+ | |||
+ | * Prüfungsarten | ||
+ | * Digital | ||
+ | * überwacht | ||
+ | * nicht überwacht | ||
+ | * hybrid (Analoge Klausur über digitales Portal) | ||
+ | * analog (in Präsenz) | ||
+ | * Kern des Vortrages: überwachte, | ||
+ | * Exkurs: Prüfungsrechtliche Chancengleichheit, | ||
+ | * gleiche Prüfungsbedingungen | ||
+ | * Unterbindung von Betrugsversuchen | ||
+ | * Datenarten beim Proctoring | ||
+ | * Video: Videokamera | ||
+ | * Audio: Mikrophon | ||
+ | * Sonstiges: Prüfungsdaten (eigentliche Prüfung), Metadaten(Name, | ||
+ | * Erlaubnistatbestände | ||
+ | * [[: | ||
+ | * großes Problem wegen fehlender [[: | ||
+ | * Alternativen: | ||
+ | * "nicht optimal" | ||
+ | * [[: | ||
+ | * Gewährleistung des Grundsatzes prüfungsrechtlicher Chancengleichheit --> öffentliches Interesse | ||
+ | * Öffnungsklausel, | ||
+ | * im Ergebnis jedenfalls Prüfungen grundsätzlich umsetzbar | ||
+ | * Grundsätze der Verarbeitung, | ||
+ | * Art. 5 Abs. 1 lit. c Notwendigkeit und Verhältnismäßigkeit | ||
+ | * Video- und Audioüberwachung grdsl. ok [mE spätestens bei Audio fragwürdig, | ||
+ | * 360°-Raumscan | ||
+ | * problematisch: | ||
+ | * Nutzen ggf. fragwürdig, | ||
+ | * Erfassen des Bildschirms: | ||
+ | * generell: Abwägung Schutz der Prüflinge gegen Wahrung des öffentlichen Interesses [Das für jeden Einzelfall zu prüfen und zu entscheiden dürfte praktisch nicht umsetzbar sein.] | ||
+ | |||
+ | ==== Diskussion ==== | ||
+ | |||
+ | * Frage: Lockdownbrowser in Prüfungsordnungen? | ||
+ | * Antwort: Im Einzelfall sehr schwierig zu begründen | ||
+ | * Frage: Präsenzprüfung als Vorlage wird problematisch durch Aufnahmen von privater Umgebung. Wo ist die Grenze? | ||
+ | * Antwort: Daher zB 360°-Überwachung problematisch | ||
+ | |||
+ | [An meinen grundsätzlichen Zweifeln am Proctoring - Wie kann eine letztlich leicht umgehbare Maßnahme angemessen sein? - ändert sich nichts. Siehe [[: | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
- | ==== ==== |