Skip to content
GitLab
Closed
Issue created by Felix Schäfer@felix👷Guest

Datenschutz und ADV

Vorstellung:

Der KIF e.V. und ein Teil unserer Admins haben sich mit einem Anwalt unterhalten. Ziel war es sicherzustellen, dass die Dienste unter kif.rocks sowie die weiteren Dienste, die die KIF regelmäßig nutzt, korrekt bzgl. Datenschutz, Impressum usw. geklärt sind.

Mehrere Ergebnisse:

  1. Die von der FS Informatik der TU Dortmund bereitgestellten Diensten fallen, sofern keine Weitergabe von bzw. geteiltem Interesse an personenbezogenen Daten besteht, unter der Datenschutzerklärung und dem Impressum selbiger. Wir können also unsere Datenschutzerklärung und Impressum überall draufklatschen, egal unter welcher Domain das läuft. Wichtig ist wer es betreibt.
  2. Dinge, die mit Diensten, die von der FS Informatik der TU Dortmund angeboten werden, zu tun haben, kann ein Vertreter selbiger unterschreiben. Hier brauchen wir nicht zwingend über AStA, StuPa oder sonstwo gehen, da die FS die Dienste anbietet und das damit kein Belangen der gesamten Studierendenschaft ist.
  3. Admins der FS müssen ggü. der FS bzgl. des Datenschutzes nur eine Verschwiegenheitserklärung unterschreiben. Im Sinne des Datenschutzes ist die FS damit abgesichert.
  4. Das betrifft dann allerdings auch Personen, die nicht "Rechner-Admins" sind, sondern solche, die wegen Moderation oder sonstwas Zugriff auf nicht-öffentliche schützenswerte Daten haben.
  5. Wenn eine Weitergabe von personenbezogenen Daten stattfindet kann (sollte) die empfangende Partei einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) mit der FS haben. Brisantes Beispiel: Pretix Anmeldungen. Wenn eine andere FS (der TU Dortmund oder extern) oder sonst wer über von der FS Informatik der TU Dortmund bereitgestellten Dienste eine Anmeldung oder sonstige Datenerhebung, die personenbezogene Daten beinhaltet, vornimmt, wird die FSI damit zum Dienstleister der anderen FS. Die andere Partei muss dann die Möglichkeit haben bei der Anmeldung die eigene Datenschutzerklärung und Impressum angeben zu können, sowie eine ADV von der FSI haben zu können.

Ziel/Gewünschte Entscheidung am Ende der Diskussion/des TOPs:

Es handelt sich erstmal um einen Bericht. Aus dem Bericht gehen allerdings verschiedene Actionables und Diskussionspunkte aus:

  • aus Punkt 1 folgt, dass die Admins einmal über alle Dienste, die wir anbieten, gehen sollten, und die Datenschutzerklärung und das Impressum ggfs. glattziehen.
  • aus Punkt 4 folgt, dass die Admins und der FSR einmal überprüfen sollten, ob weitere nicht-Admin-Rollen noch Verschwiegenheitserklärungen unterschreiben sollten
  • aus Punkt 5 folgt, dass der FSR entscheiden muss, ob er eine ADV anbieten will, oder sich lieber komplett raushält. Aus Punkt 2 folgt, dass die Vorsitzenden des FSR diese ADV anbieten könnten. Das ist für den KIF e.V. und weitere KIF-Orgas relevant, aber auch die FOSS-AG (wobei falls die eine AG der FS ist vermutlich nicht), die KoMa, die FS PhilPol, Fachschaften anderer Unis, usw.

Bemerke: Das ist jetzt erstmal keine dringliche Diskussion oder ein Problem für die FS Informatik, da externe Entitäten, die über Dienste der FS Informatik Daten erheben, in der Pflicht wären eine ADV zu haben, bevor sie Daten erheben. Theoretisch liegt der schwarze Peter also aktuell nicht bei der FS Informatik.