Bug 54437 – Add DSGVO/Datenschutz checkbox to self-service

Bug 54437 - Add DSGVO/Datenschutz checkbox to self-service


Summary:	Add DSGVO/Datenschutz checkbox to self-service

Status:	NEW

Product:	UCS
Classification:	Unclassified
Component:	Self Service
Version:	UCS 4.4
Hardware:	All Linux

Importance:	P5 enhancement (vote)
Target Milestone:	---
Assigned To:	UMC maintainers
QA Contact:	UMC maintainers

URL:
Keywords:

Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2022-02-09 17:03 CET by mdi.epost
Modified:	2022-03-28 13:04 CEST (History)
CC List:	3 users (show)

See Also:
What kind of report is it?:	Feature Request
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:	Yes
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:	2022032421000388
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description mdi.epost 2022-02-09 17:03:23 CET

Hallo Team, 

Problem: personenbezogene Daten werden ggf. ohne Einwilligung verarbeitet
Lösung: im Self-Service ein Opt-in ergänzen und ggf. zusätzlich für den Self-Service Registrierungsprozess ein Double Opt-In anbieten



mit der DSGVO ist es erforderlich, ist eine Mögliche Grundlage zur Verarbeitung personenbezogener Daten die Einwilligung. 

Insbesondere im Schul-Kontext (UCS@School) ist die Verwendung einer E-Mail Adresse in NRW ausdrücklich unter den Vorhalt der Einwilligung gestellt (vgl. VO DV I) 

https://www.schulministerium.nrw/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf

Unter diesen Voraussetzungen ist es kaum möglich, das Self-Service Portal rechtssicher in einer Schule zu nutzen. 

Hier hat ggf. die Stadt Köln eine andere Perspektive, aber mit einer Checkbox und Link zu Datenschutz-Info & Nutzungsbedingungen könnte sich das Problem lösen lassen... 

Danke,

Mat

Comment 1 Ingo Steuwer

2022-03-25 08:30:57 CET

Die Attribute die im Self Service angezeigt werden sind bereits konfigurierbar, grundsätzlich sollte es möglich sein darüber (und ggf. UDM Hooks) weitere Abfragen ohne Codeerweiterungen umzusetzen.

Double-Opt-In würde ich schon als gegeben ansehen, da eine Selbst-Registrierung nur durch Bestätigung der E-Mail Adresse bei Setzen des Passworts möglich ist. Wenn auf die Verarbeitung von Daten auch in diesem Schritt hingewiesen werden soll kann das E-Mail Template angepasst werden.

Sprich: grundsätzlich ist das schon per Konfiguration möglich, die Usability bei Einrichtung und Nutzung könnte aber deutlich besser sein.

Comment 2 mdi.epost 2022-03-27 15:46:37 CEST

Hi, 
entweder verstehe ich das Feedback nicht, oder es trifft das Problem nicht. 

- Attribute ein- oder auszublenden ist nicht das Thema. Das ist nicht smart gelöst, funktioniert aber gut. 

- Double-Opt-In im Registrierungsprozess ist gegeben - richtig. Im Schul-Kontext werden aber Accounts eher durch Import angelegt. Will der User dann über Konto schützen eine E-Mail Adresse ergänzen, greift der Bestätigungsworkflow nicht. Gleiches gilt für die Erfassung einer E-Mail Adresse in den Account Details. 

Können wir bitte eine Hilfestellung bekommen, zumindest auf den Login & Self-Service Seiten Text zu ergänzen? Ideal wäre natürlich eine Opt-In, Text und Link zu Nutzungsbedingungen sollen aber für den Moment reichen.

Comment 3 Ingo Steuwer

2022-03-28 09:36:44 CEST

(In reply to mdi.epost from comment #2)
> Hi, 
> entweder verstehe ich das Feedback nicht, oder es trifft das Problem nicht. 
> 
> - Attribute ein- oder auszublenden ist nicht das Thema. Das ist nicht smart
> gelöst, funktioniert aber gut. 
> 
> - Double-Opt-In im Registrierungsprozess ist gegeben - richtig. Im
> Schul-Kontext werden aber Accounts eher durch Import angelegt. Will der User
> dann über Konto schützen eine E-Mail Adresse ergänzen, greift der
> Bestätigungsworkflow nicht. Gleiches gilt für die Erfassung einer E-Mail
> Adresse in den Account Details. 

ich habe gerade den Eindruck das ist ein anderes Thema als mein ursprüngliches Verständnis dieses Feature Request. Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts.

> 
> Können wir bitte eine Hilfestellung bekommen, zumindest auf den Login &
> Self-Service Seiten Text zu ergänzen? Ideal wäre natürlich eine Opt-In, Text
> und Link zu Nutzungsbedingungen sollen aber für den Moment reichen.

Das Bugzilla ist nicht der geeignete Ort für Projektberatung, dazu gerne an bestehende direkte Kontakte aus unserem Prof. Service oder sales@univention.de wenden.

Comment 4 mdi.epost 2022-03-28 12:53:50 CEST

Vielen Dank für die schnelle Reaktion, 

> Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts.

Hier haben wir (und unser DSB) eine andere Auffassung - der entscheidende Moment ist aus unserer Sicht die Datenerhebung. Wenn (wie bei uns) das Anlegen des Account ohne E-Mail Adresse per Import Funktion realisiert ist, kann der Nutzer bei den Funktionen "Konto schützen" oder bei der Pflege der Kontaktdaten derzeit keine wirksame Einwilligung zur Verarbeitung der E-Mail Adresse geben. 

Dieses Vorgehen ist aus unserer Sicht sinnvoll, denn die Nutzung einer E-Mail Adresse im schulischen Kontext muss (!) freiwillig bleiben (vgl. meinen Hinweis zur VO DV I). Ein anderes Vorgehen (Einholung der Einwilligung im Vorfeld) führt zu erheblichen Mehraufwand. 

Dementsprechend geht es aus unserer Sicht nicht um eine Projektberatung sondern um die Ergänzung eines Feature, mit dem dieser Aufwand durch eine Information auf den Login / Self-Service Seiten vermieden werden kann und so bei der Erhebung der Daten / Nutzung des System zumindest der Informationsanspruch des Nutzer nach DSGVO befriedigt werden kann. 

Ganz abgesehen davon ist es kaum vorstellbar, diese Seiten (Login / Self-Service) ohne die erforderlichen Hinweise zu Impressum bzw, Anbieter und Datenschutzinformationen rechtssicher zu betreiben. 

Wie kommen wir hier weiter?

Comment 5 Ingo Steuwer

2022-03-28 13:04:35 CEST

(In reply to mdi.epost from comment #4)
> Vielen Dank für die schnelle Reaktion, 
> 
> > Aus meiner Sicht ist der entscheidende Moment für die Informationspflicht das Anlegen des Accounts.
> 
> Hier haben wir (und unser DSB) eine andere Auffassung - der entscheidende
> Moment ist aus unserer Sicht die Datenerhebung. Wenn (wie bei uns) das
> Anlegen des Account ohne E-Mail Adresse per Import Funktion realisiert ist,
> kann der Nutzer bei den Funktionen "Konto schützen" oder bei der Pflege der
> Kontaktdaten derzeit keine wirksame Einwilligung zur Verarbeitung der E-Mail
> Adresse geben. 
> 
> Dieses Vorgehen ist aus unserer Sicht sinnvoll, denn die Nutzung einer
> E-Mail Adresse im schulischen Kontext muss (!) freiwillig bleiben (vgl.
> meinen Hinweis zur VO DV I). Ein anderes Vorgehen (Einholung der
> Einwilligung im Vorfeld) führt zu erheblichen Mehraufwand. 
> 
> Dementsprechend geht es aus unserer Sicht nicht um eine Projektberatung
> sondern um die Ergänzung eines Feature, mit dem dieser Aufwand durch eine
> Information auf den Login / Self-Service Seiten vermieden werden kann und so
> bei der Erhebung der Daten / Nutzung des System zumindest der
> Informationsanspruch des Nutzer nach DSGVO befriedigt werden kann. 
> 
> Ganz abgesehen davon ist es kaum vorstellbar, diese Seiten (Login /
> Self-Service) ohne die erforderlichen Hinweise zu Impressum bzw, Anbieter
> und Datenschutzinformationen rechtssicher zu betreiben. 
> 
> Wie kommen wir hier weiter?

Wie geschrieben melden Sie ich bitte bei Ihren Ansprechpartner zu Ihrer UCS Subskription, ich halte einen Bugtracker nicht für den richtigen Ort um zu verstehen in welcher Form und unter welchen Vereinbarungen mit ihren Nutzern Daten in Ihrer Umgebung verarbeitet werden.