Univention Bugzilla – Bug 54437
Add DSGVO/Datenschutz checkbox to self-service
Last modified: 2022-03-28 13:04:35 CEST
Hallo Team, Problem: personenbezogene Daten werden ggf. ohne Einwilligung verarbeitet Lösung: im Self-Service ein Opt-in ergänzen und ggf. zusätzlich für den Self-Service Registrierungsprozess ein Double Opt-In anbieten mit der DSGVO ist es erforderlich, ist eine Mögliche Grundlage zur Verarbeitung personenbezogener Daten die Einwilligung. Insbesondere im Schul-Kontext (UCS@School) ist die Verwendung einer E-Mail Adresse in NRW ausdrücklich unter den Vorhalt der Einwilligung gestellt (vgl. VO DV I) https://www.schulministerium.nrw/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf Unter diesen Voraussetzungen ist es kaum möglich, das Self-Service Portal rechtssicher in einer Schule zu nutzen. Hier hat ggf. die Stadt Köln eine andere Perspektive, aber mit einer Checkbox und Link zu Datenschutz-Info & Nutzungsbedingungen könnte sich das Problem lösen lassen... Danke, Mat
Die Attribute die im Self Service angezeigt werden sind bereits konfigurierbar, grundsätzlich sollte es möglich sein darüber (und ggf. UDM Hooks) weitere Abfragen ohne Codeerweiterungen umzusetzen. Double-Opt-In würde ich schon als gegeben ansehen, da eine Selbst-Registrierung nur durch Bestätigung der E-Mail Adresse bei Setzen des Passworts möglich ist. Wenn auf die Verarbeitung von Daten auch in diesem Schritt hingewiesen werden soll kann das E-Mail Template angepasst werden. Sprich: grundsätzlich ist das schon per Konfiguration möglich, die Usability bei Einrichtung und Nutzung könnte aber deutlich besser sein.
Hi, entweder verstehe ich das Feedback nicht, oder es trifft das Problem nicht. - Attribute ein- oder auszublenden ist nicht das Thema. Das ist nicht smart gelöst, funktioniert aber gut. - Double-Opt-In im Registrierungsprozess ist gegeben - richtig. Im Schul-Kontext werden aber Accounts eher durch Import angelegt. Will der User dann über Konto schützen eine E-Mail Adresse ergänzen, greift der Bestätigungsworkflow nicht. Gleiches gilt für die Erfassung einer E-Mail Adresse in den Account Details. Können wir bitte eine Hilfestellung bekommen, zumindest auf den Login & Self-Service Seiten Text zu ergänzen? Ideal wäre natürlich eine Opt-In, Text und Link zu Nutzungsbedingungen sollen aber für den Moment reichen.
(In reply to mdi.epost from comment #2) > Hi, > entweder verstehe ich das Feedback nicht, oder es trifft das Problem nicht. > > - Attribute ein- oder auszublenden ist nicht das Thema. Das ist nicht smart > gelöst, funktioniert aber gut. > > - Double-Opt-In im Registrierungsprozess ist gegeben - richtig. Im > Schul-Kontext werden aber Accounts eher durch Import angelegt. Will der User > dann über Konto schützen eine E-Mail Adresse ergänzen, greift der > Bestätigungsworkflow nicht. Gleiches gilt für die Erfassung einer E-Mail > Adresse in den Account Details. ich habe gerade den Eindruck das ist ein anderes Thema als mein ursprüngliches Verständnis dieses Feature Request. Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts. > > Können wir bitte eine Hilfestellung bekommen, zumindest auf den Login & > Self-Service Seiten Text zu ergänzen? Ideal wäre natürlich eine Opt-In, Text > und Link zu Nutzungsbedingungen sollen aber für den Moment reichen. Das Bugzilla ist nicht der geeignete Ort für Projektberatung, dazu gerne an bestehende direkte Kontakte aus unserem Prof. Service oder sales@univention.de wenden.
Vielen Dank für die schnelle Reaktion, > Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts. Hier haben wir (und unser DSB) eine andere Auffassung - der entscheidende Moment ist aus unserer Sicht die Datenerhebung. Wenn (wie bei uns) das Anlegen des Account ohne E-Mail Adresse per Import Funktion realisiert ist, kann der Nutzer bei den Funktionen "Konto schützen" oder bei der Pflege der Kontaktdaten derzeit keine wirksame Einwilligung zur Verarbeitung der E-Mail Adresse geben. Dieses Vorgehen ist aus unserer Sicht sinnvoll, denn die Nutzung einer E-Mail Adresse im schulischen Kontext muss (!) freiwillig bleiben (vgl. meinen Hinweis zur VO DV I). Ein anderes Vorgehen (Einholung der Einwilligung im Vorfeld) führt zu erheblichen Mehraufwand. Dementsprechend geht es aus unserer Sicht nicht um eine Projektberatung sondern um die Ergänzung eines Feature, mit dem dieser Aufwand durch eine Information auf den Login / Self-Service Seiten vermieden werden kann und so bei der Erhebung der Daten / Nutzung des System zumindest der Informationsanspruch des Nutzer nach DSGVO befriedigt werden kann. Ganz abgesehen davon ist es kaum vorstellbar, diese Seiten (Login / Self-Service) ohne die erforderlichen Hinweise zu Impressum bzw, Anbieter und Datenschutzinformationen rechtssicher zu betreiben. Wie kommen wir hier weiter?
(In reply to mdi.epost from comment #4) > Vielen Dank für die schnelle Reaktion, > > > Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts. > > Hier haben wir (und unser DSB) eine andere Auffassung - der entscheidende > Moment ist aus unserer Sicht die Datenerhebung. Wenn (wie bei uns) das > Anlegen des Account ohne E-Mail Adresse per Import Funktion realisiert ist, > kann der Nutzer bei den Funktionen "Konto schützen" oder bei der Pflege der > Kontaktdaten derzeit keine wirksame Einwilligung zur Verarbeitung der E-Mail > Adresse geben. > > Dieses Vorgehen ist aus unserer Sicht sinnvoll, denn die Nutzung einer > E-Mail Adresse im schulischen Kontext muss (!) freiwillig bleiben (vgl. > meinen Hinweis zur VO DV I). Ein anderes Vorgehen (Einholung der > Einwilligung im Vorfeld) führt zu erheblichen Mehraufwand. > > Dementsprechend geht es aus unserer Sicht nicht um eine Projektberatung > sondern um die Ergänzung eines Feature, mit dem dieser Aufwand durch eine > Information auf den Login / Self-Service Seiten vermieden werden kann und so > bei der Erhebung der Daten / Nutzung des System zumindest der > Informationsanspruch des Nutzer nach DSGVO befriedigt werden kann. > > Ganz abgesehen davon ist es kaum vorstellbar, diese Seiten (Login / > Self-Service) ohne die erforderlichen Hinweise zu Impressum bzw, Anbieter > und Datenschutzinformationen rechtssicher zu betreiben. > > Wie kommen wir hier weiter? Wie geschrieben melden Sie ich bitte bei Ihren Ansprechpartner zu Ihrer UCS Subskription, ich halte einen Bugtracker nicht für den richtigen Ort um zu verstehen in welcher Form und unter welchen Vereinbarungen mit ihren Nutzern Daten in Ihrer Umgebung verarbeitet werden.