ccchb/website
ccchb/website
5
0
Fork 1
Code Issues 2 Pull requests Projects Activity

Datenschutzerklärung schreiben #4

New issue
Open
opened 2026-01-06 20:46:48 +01:00 by ccoors · 4 comments
ccoors commented 2026-01-06 20:46:48 +01:00
Owner
Copy link
No description provided.
necto commented 2026-01-06 21:48:16 +01:00
Owner
Copy link

Out of scope?

Out of scope?
ccoors commented 2026-01-06 21:52:59 +01:00
Author
Owner
Copy link

@necto wrote in #4 (comment):

Out of scope?

No.

@necto wrote in https://dev.ccchb.de/ccchb/website/issues/4#issuecomment-333: > Out of scope? No.
Fritz commented 2026-01-06 21:54:08 +01:00
Owner
Copy link

Nein, brauchen wir. Hier etwas, was ich in einem anderen Kontext mal geschrieben habe:

Auf unseren Servern werden Daten durch verschiedene Akteure verarbeitet. Dementsprechend ergeben sich verschiedene Pflichten aus der DS-GVO, dem BDSG, dem BremDSGVOAG und dem TDDDG.

Websiten und Dienste der Stugen und des AStA

  • Die Stugen und der AStA sind Teilkörperschaften der Universität Bremen und somit öffentliche Stellen i.S.v. Artikel 37 (1) a) DS-GVO und benötigen eine:n Datenschutzbeauftragte:n. Eine Datenschutzbeauftragte wird derzeit durch die Universität Bremen gestellt, da der AStA sich weigert, selbst eine:n Datenschutzbeauftragte:n zu benennen.
  • Die Datenschutzbeauftragte ist nicht weisungsbefugt, aber dokumentiert im Zweifelsfall.
  • Für die Datenverarbeitung sind insbesondere die Regelungen des § 3 BremDSGVOAG zu beachten, d.h. die Zulässigkeit einer Datenverarbeitung bemisst sich an restriktiveren Gründen als in der DS-GVO festgeschrieben: Eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist nur zulässig sofern dies aus einer rechtlichen Verpflichtung der Verantwortlichen oder zur Erfüllung der dem Verantwortlichen durch Rechtsvorschrift übertragenen Aufgaben oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen durch Rechtsvorschrift übertragen wurde, folgt. Es kann argumentiert werden, dass das Betreiben eines Matrix-Servers oder das Betreiben eines GitLab aus der besonderen Rechtsstellung (Aufgaben nach BremHG) der Verfassten Studierendenschaft begründet werden kann. Insbesondere kann argumentiert werden, dass dies nicht nur die Bereitstellung der Dienste für die Mitglieder der Verfassten Studierendenschaft umfasst, sondern aufgrund der besonderen Autonomie der Verfassten Studierendenschaft auch im Rahmen der Öffentlichkeitsarbeit und zu Zwecken der gesellschaftlichen Vernetzung einer Dritten zur Verfügung gestellt werden dürfen.
  • Insbesondere ist die Zulässigkeit einer Datenverarbeitung, soweit die Verantwortliche eine öffentliche Stelle ist, nicht allein aufgrund einer Einwilligung der Betroffenen zulässig (Abschließende Aufzählung nach § 3 Abs. 1 BremDSGVOAG).
  • Das TDDDG unterscheidet zwischen Digitalen Diensten und Telekommunikationsdiensten. Die Stugen-Admins stellen beides bereit: Websites und ähnliches sind den digitalen Diensten zuzurechnen, während Matrix-Server und E-Mail-Server den Telekommunikationsdiensten zuzurechnen sind.
  • Für Telekommunikationsdienste gilt insbesondere eine Verschwiegenheitspflicht nach § 3 Abs. 2 TDDDG.
  • Wer ist Ansprechperson für die Rechte aus TDDDG?

Webseiten und Dienste von Dritten

  • Die Server der Stugen-Admins werden in Räumen der Universität Bremen betrieben. Lässt sich hieraus herleiten, dass die Server von einer öffentlichen Stelle betrieben werden? Da die Server der Verfassten Studierendenschaft gehören, ist davon wohl auszugehen.
  • Wir betreiben einige Webseiten und Dienste von Dritten, z.B. vom FBMI e.V. Wie ist hier die rechtliche Lage?
  • Evtl. Kooperationsvertrag zwischen FBMI e.V. und Verfasster Studierendenschaft der Universität Bremen abschließen.

Benutzungsordnung für Informationsverarbeitungssysteme der Universität Bremen

  • Es gilt für die Dienste, die von den Stugen-Admins bereitgestellt werden, die Benutzungsordnung
  • Wir sollten einen Hinweis auf diese Benutzungsordnung einbauen.

Offene Fragen

  • Wer ist im Fall des AStA und der Stugen Verantwortlich für die Datenverarbeitung? Die Rektorin?
  • Müssen wir die Stugen bzw. den AStA belehren oder übernimmt das die Datenschutzbeauftragte der Universität?
  • Wie ist die Stellung der Stugen-Admins?
  • Werden die Dienste der Stugen-Admins wie z.B. das GitLab oder der Matrix-Homeserver durch eine öffentliche Stelle betrieben? Wer ist hier zuständig?

Tasks für die Zukunft

  • Datenschutzerklärungen vereinheitlichen
  • Datenschutzbeauftragte für die Websites herausfinden
Nein, brauchen wir. Hier etwas, was ich in einem anderen Kontext mal geschrieben habe: Auf unseren Servern werden Daten durch verschiedene Akteure verarbeitet. Dementsprechend ergeben sich verschiedene Pflichten aus der DS-GVO, dem BDSG, dem BremDSGVOAG und dem TDDDG. ## Websiten und Dienste der Stugen und des AStA * Die Stugen und der AStA sind Teilkörperschaften der Universität Bremen und somit öffentliche Stellen i.S.v. Artikel 37 (1) a) DS-GVO und benötigen eine:n Datenschutzbeauftragte:n. Eine Datenschutzbeauftragte wird derzeit durch die Universität Bremen gestellt, da der AStA sich weigert, selbst eine:n Datenschutzbeauftragte:n zu benennen. * Die Datenschutzbeauftragte ist nicht weisungsbefugt, aber dokumentiert im Zweifelsfall. * Für die Datenverarbeitung sind insbesondere die Regelungen des § 3 BremDSGVOAG zu beachten, d.h. die Zulässigkeit einer Datenverarbeitung bemisst sich an restriktiveren Gründen als in der DS-GVO festgeschrieben: Eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist nur zulässig sofern dies aus einer rechtlichen Verpflichtung der Verantwortlichen oder zur Erfüllung der dem Verantwortlichen durch Rechtsvorschrift übertragenen Aufgaben oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen durch Rechtsvorschrift übertragen wurde, folgt. Es kann argumentiert werden, dass das Betreiben eines Matrix-Servers oder das Betreiben eines GitLab aus der besonderen Rechtsstellung (Aufgaben nach BremHG) der Verfassten Studierendenschaft begründet werden kann. Insbesondere kann argumentiert werden, dass dies nicht nur die Bereitstellung der Dienste für die Mitglieder der Verfassten Studierendenschaft umfasst, sondern aufgrund der besonderen Autonomie der Verfassten Studierendenschaft auch im Rahmen der Öffentlichkeitsarbeit und zu Zwecken der gesellschaftlichen Vernetzung einer Dritten zur Verfügung gestellt werden dürfen. * Insbesondere ist die Zulässigkeit einer Datenverarbeitung, soweit die Verantwortliche eine öffentliche Stelle ist, nicht allein aufgrund einer Einwilligung der Betroffenen zulässig (Abschließende Aufzählung nach § 3 Abs. 1 BremDSGVOAG). * Das TDDDG unterscheidet zwischen Digitalen Diensten und Telekommunikationsdiensten. Die Stugen-Admins stellen beides bereit: Websites und ähnliches sind den digitalen Diensten zuzurechnen, während Matrix-Server und E-Mail-Server den Telekommunikationsdiensten zuzurechnen sind. * Für Telekommunikationsdienste gilt insbesondere eine Verschwiegenheitspflicht nach § 3 Abs. 2 TDDDG. * Wer ist Ansprechperson für die Rechte aus TDDDG? ## Webseiten und Dienste von Dritten * Die Server der Stugen-Admins werden in Räumen der Universität Bremen betrieben. Lässt sich hieraus herleiten, dass die Server von einer öffentlichen Stelle betrieben werden? Da die Server der Verfassten Studierendenschaft gehören, ist davon wohl auszugehen. * Wir betreiben einige Webseiten und Dienste von Dritten, z.B. vom FBMI e.V. Wie ist hier die rechtliche Lage? * Evtl. Kooperationsvertrag zwischen FBMI e.V. und Verfasster Studierendenschaft der Universität Bremen abschließen. ## Benutzungsordnung für Informationsverarbeitungssysteme der Universität Bremen * Es gilt für die Dienste, die von den Stugen-Admins bereitgestellt werden, die [Benutzungsordnung](https://www.uni-bremen.de/zfn/weitere-it-dienste/benutzungsordnung) * Wir sollten einen Hinweis auf diese Benutzungsordnung einbauen. ## Offene Fragen * Wer ist im Fall des AStA und der Stugen Verantwortlich für die Datenverarbeitung? Die Rektorin? * Müssen wir die Stugen bzw. den AStA belehren oder übernimmt das die Datenschutzbeauftragte der Universität? * Wie ist die Stellung der Stugen-Admins? * Werden die Dienste der Stugen-Admins wie z.B. das GitLab oder der Matrix-Homeserver durch eine öffentliche Stelle betrieben? Wer ist hier zuständig? ## Tasks für die Zukunft - [ ] Datenschutzerklärungen vereinheitlichen - [ ] Datenschutzbeauftragte für die Websites herausfinden
Fritz commented 2026-01-06 21:57:52 +01:00
Owner
Copy link

Ich glaube für uns gilt die BremDSGVOAG gar nicht.

Ich glaube für uns gilt die BremDSGVOAG gar nicht.
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
No results found.
Labels
Clear labels
  
Compat/Breaking

Breaking change that won't be backward compatible

  
Kind/Bug

Something is not working

  
Kind/Documentation

Documentation changes

  
Kind/Enhancement

Improve existing functionality

  
Kind/Feature

New functionality

  
Kind/Security

This is security issue

  
Kind/Testing

Issue or pull request related to testing

  
Priority
Critical
The priority is critical

  
Priority
High
The priority is high

  
Priority
Low
The priority is low

  
Priority
Medium
The priority is medium

  
Reviewed
Confirmed
Issue has been confirmed

  
Reviewed
Duplicate
This issue or pull request already exists

  
Reviewed
Invalid
Invalid issue

  
Reviewed
Won't Fix
This issue won't be fixed

  
Status
Abandoned
Somebody has started to work on this but abandoned work

  
Status
Blocked
Something is blocking this issue or pull request

  
Status
Need More Info
Feedback is required to reproduce issue or to continue work

No labels
Compat/Breaking
Kind/Bug
Kind/Documentation
Kind/Enhancement
Kind/Feature
Kind/Security
Kind/Testing
Priority
Critical
Priority
High
Priority
Low
Priority
Medium
Reviewed
Confirmed
Reviewed
Duplicate
Reviewed
Invalid
Reviewed
Won't Fix
Status
Abandoned
Status
Blocked
Status
Need More Info
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
3 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
ccchb/website#4
No description provided.