Die Präsentation zur Infoveranstaltung am Freitag den 22.6.2018
findet sich hier:
180622 Infoveranstaltung DSGVO
(kul)
Derzeit erreichen jeden viele Mails, in denen es darum geht, dass man gerne weiter Nachrichten zusenden möchte (Newsletter). Auch an Hochschulen finden sich viele solcher Mailverteiler. Dazu sollen hier Informationen zur Verfügung gestellt werden.
Frage Rechtsgrundlage
Die Frage die zunächst zu klären ist, ist die der Rechtsgrundlage. Die eine Option ist die der Einwilligung: Empfänger haben aktiv dem Empfang von Nachrichten zu einem bestimmten Thema zugestimmt. Das ist der typische Newsletter.
Manche Mailverteiler basieren aber auf einer anderen Rechtsgrundlage. Das ist vor allem für interne Mailverteiler oder auch für Projektverteiler der Fall. Rechtsgrundlagen sind da die Erfüllung der öffentlichen Aufgabe und/oder die Vertragserfüllung. Beispielsweise können Studierende ohne Einwilligung über Lehrinhalte informiert werden oder Beschäftigte über hochschul- und arbeitsrelevante Inhalte. In diesen Fällen besteht keine Einwilligungserfordernis.
Freiwillige Listen sind immer mit einer Widerspruchsmöglichkeit zu versehen.
Informiertheit
In allen Fällen müssen betroffene Personen über die Verarbeitung informiert sein. Welche Informationen mitgeteilt werden müssen, findet sich hier.
Für Studierendenlisten und für Beschäftigte sollte die (Erst-)Information bei der Einrichtung der Mailadressen erfolgen. Zusätzlich über die Eintragungen in bestimmte Verteiler oder regelmäßige Infonachrichten aus dem Verteiler, haben das Ziel zusätzlich zu informieren, und führen zu einer höheren Transparenz bei den Betroffenen.
Umgang mit Altlisten
Unklar ist nun der Umgang mit Altlisten. Dabei gilt das Folgende vor allem für freiwillige Angebote:
Existieren bereits Einwilligungen (bspw. aktive Eintragung im Mailinglistensystem oder andere bestätigende Handlung), so genügt eine Informierung über die notwendigen Inhalte.
Ist nicht klar, ob für alle Empfänger Einwilligungen belegt werden können, so müssen diese eingeholt werden. Die Einwilligung bedarf immer einer eindeutigen aktiven bestätigenden Handlung der betroffenen Person. Auch mehrfache Information mit Austragungsmöglichkeit kann die aktive Zustimmung nicht ersetzen.
Adressen für die keine Einwilligungen vorliegen sind dann zu löschen.
Am 17.05.2018 ist das neue Nordrhein-Westfälische Datenschutzgesetz verabschiedet worden.
https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=3520071121100436275
Neue Regelungen finden sich in der Anwendbarkeit des Gesetzes an Hochschulen, der Fortgeltung des Kunsturhebergesetzes und neuer Regelungen für die Videoüberwachung.
Ab dem 25.5.2018 ist die DS-GVO nun anwendbares Recht.
Am 25.5. läuft die Übergangsfrist zur Umsetzung der EU DS-GVO ab. Eine aktuell für wichtig gehaltene und auch kurzfristig umsetzbare Anforderung ist die Datenschutzerklärung auf den Webseiten den neuen Anforderungen anzupassen (Informationspflicht gemäß Art. 13).
Das Ziel ist Informationen in ..“präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache..“ (Art. 12 Abs 1. DS-GVO) bereitzustellen. Es geht also nicht um juristische Formulierungen.
Die Datenschutzerklärung der zentralen Seiten der RUB ist inzwischen überarbeitet worden. Auf diese kann verwiesen werden, wenn die dort genannten Aussagen sämtlich zutreffen. Sie kann auch Anhaltspunkte für eigene Formulierungen liefern. Ziel der Formulierungen ist mit Art 12
Eine allgemeine Mustererklärung findet sich unter
https://www.itm.nrw/wp-content/uploads/Musterdatenschutzerkaerung-nach-der-DSGVO.pdf
Diese ist sehr umfassend und führt beim Durcharbeiten auch zu Aspekten, die man sonst schnell übersieht. Daher rate ich durchaus die über 20 Seiten auch durchzugehen. Der Umfang reduziert sich aber schnell deutlich, wenn wenige Verarbeitungen auf den Seiten durchgeführt werden.
Die Formulierungsvorschläge aus dem Muster können und sollten dann auch nochmal gekürzt werden, und auch Umformulierungen sind absolut zulässig.
(kul) (Update am 3.6.2018 – häufige Fragen aufgenommen)
Das für die Ruhr-Universität Bochum gültige Datenschutzgesetz, das die notwendigen Regelungen für die Datenschutzgrundverordnung trifft, liegt seit Ende Dezember in einem Entwurfsstadium vor.
Verschiedene Smartphone-Apps, unter anderem WhatsApp, gleichen nach der Installation das vollständige Adressbuch mit dem eigenen Bestand ab. Zu dieser bekannt problematischen Verfahrensweise existiert ein neueres Urteil.
Das Amtsgericht Bad Hersfeld hat in seinem Urteil vom 15.05.2017 die Weitergabe des Kontaktbuches an WhatsApp für rechtwidrig erklärt und bestätigt damit ähnliche ältere Urteile. Zur Kontaktübermittlung müsse zunächst die Einwilligung sämtlicher Kontakte vorliegen, da andernfalls das Recht auf informationelle Selbstbestimmung der betroffenen Kontakte verletzt wird.
Die vom Gericht zitierten Auszüge der WhatsApp AGB zeigen das Abwälzen der Einwilligungsbeschaffung von WhatsApp auf den Nutzer auf.
Das Gericht urteilte dabei in einem Sorgerechtsstreit und legt Eltern weitergehende Verpflichtungen bei der Mediennutzung ihrer Kinder auf.
Golem.de
Urteil des Amtsgerichtes Bad Hersfeld
Urteil des Verwaltungsgerichtes Hamburg zur Datenweitergabe von WhatsApp an Facebook
Der Digitalverband Bitkom warnt vor Backdoors in verschlüsselten Messengern wie Whatsapp, Telegram oder Signal und reagiert damit auf Forderungen des Bundesinnenministers Thomas de Maizière (CDU).
Dieser hatte mehr Zugriffsmöglichkeiten für Sicherheitsbehörden in Bezug auf die Kommunikationsüberwachung gefordert, sowie eine Ausweitung der Videoüberwachung an öffentlichen Plätzen in Kombination mit Software zur Gesichtserkennung.
Der Verband Bitkom fürchtet nicht nur um das nach den Snowden Enthüllungen neu gewonnene Vetrauen der Nutzer in Kommunikationssoftware, sondern befürchtet auch, dass Backdoors für Sicherheitsbehörden auch von Cyber-Kriminellen ausgenutzt werden könnten.
LMU und TU München haben den Big Brother Award erhalten. Sie haben Studienmaterial für ihre Studenten über die kommerzielle Plattform Coursera zur Verfügung gestellt. Diese vermarktet auch die Daten der Studierenden.
Mehr dazu:
Update Dezember 2016:
Windows 10 bleibt in der Diskussion. Während ein Update in den meisten Fällen ein Mehr an Sicherheit mit sich bringt, enthält Windows 10 auch einige Änderungen, die Datenschützerinnen und Datenschützer kritisch sehen.
Wie Heise.de und ix berichtet sammelt Windows in der Standardkonfiguration zahlreiche Informationen vor allem über das Surfverhalten sowie die Nutzung der Spracherkennungssoftware Cortana, in den meisten Fällen zu Werbezwecken. Insbesondere in Verbindung mit einem Microsoftkonto, dessen Einrichtung der Installationsassistent empfiehlt, und über eine separate Werbe-ID können so umfangreiche Profile erstellt werden.
Datenschutzbewusste Anwenderinnen und Anwender können allerdings nach der Installation einige Standardeinstellungen ändern. Wir empfehlen zudem die Nutzung von Windows ohne ein zusätzliches Microsoft-Konto.
Die elaborierteste Ausarbeitung zum Thema findet sich hier bei der Max-Planck-Gesellschaft.