-
Notifications
You must be signed in to change notification settings - Fork 2
/
02_datenschutz-und-datenethik.Rmd
243 lines (208 loc) · 24.4 KB
/
02_datenschutz-und-datenethik.Rmd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
## **Datenschutz und Datenethik**
[![License: CC BY 4.0](https://img.shields.io/badge/License-CC%20BY%204.0-lightgrey.svg)](https://creativecommons.org/licenses/by/4.0/deed.de)
*"Datenschutz & -ethik" von Nina Hauser, Zoé Wolter in "R Lernen - der Datenkurs von und für die Zivilgesellschaft" von CorrelAid e.V. Lizensiert unter [Creative Commons Attribution 4.0 International](https://creativecommons.org/licenses/by/4.0/deed.de).*
![*Video: Datenschutz und Datenethik (20min)*](https://youtu.be/0Qmy81DLQDw)
Als Lektüre empfehlen wir die [Publikation](https://www.b-b-e.de/fileadmin/Redaktion/06_Service/02_Publikationen/2021/2021-bbe-reihe-forum-3.pdf){target="_blank"} des Bundesnetzwerks Bürgerschaftliches Engagement (BBE) zu „Datenschutz und Datensicherheit“, insbesondere die Schritte 1-12 auf den Seiten 29ff. Darüber hinaus könnt Ihr bei der Stiftung Datenschutz zahlreiche [Webinare](https://stiftungdatenschutz.org/veranstaltungen/datenschutz-im-ehrenamt){target="_blank"} zum Thema besuchen. Ein Webinar zur DSGVO-konformen Nutzung von bestehenden Datenbeständen mit der Stiftung Datenschutz und uns findet Ihr [hier](https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/datenschutz-im-ehrenamt-datenbestaende-rechtskonform-nutzen-293){target="_blank"}.
### **Datenschutz**
Das Recht auf informationelle Selbstbestimmung ist ein Unterfall des verfassungsrechtlich verankerten **allgemeinen Persönlichkeitsrecht** (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG). Wichtige Rechtsgrundlage ist dafür die **DSGVO** (europäische Datenschutzgrundverordnung), welche am 25. Mai 2018 in Kraft getreten ist.
```{r 02_quiz1}
quiz(caption = NULL,
question("Welche Daten werden von der DSGVO geschützt?",
answer("Personenbezogene Daten", correct = TRUE),
answer("Organisations-/Unternehmensdaten"),
answer("Alle Daten"),
correct = "Richtig! Daten von nicht-natürlichen, also juristischen Personen, wie Vereinen und Unternehmen sind also nicht von der DSGVO geschützt. Hier gelten ggf. das Geschäftsgeheimnisgesetz (GeschGehG) sowie bilateral getroffene Vereinbarungen zur Datenverarbeitung.",
incorrect = "Leider falsch. Richtig wäre: Personenbezogene Daten. Daten von nicht-natürlichen, also juristischen Personen, wie Vereinen und Unternehmen sind also nicht von der DSGVO geschützt. Hier gelten ggf. das Geschäftsgeheimnisgesetz (GeschGehG) sowie bilateral getroffene Vereinbarungen zur Datenverarbeitung.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
Personenbezogene Daten sind **Informationen**, mit denen **natürliche Personen**, also Menschen, **identifiziert** werden (können).
![](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/personenbezogene-daten.png?raw=true){#id .class width=100% height=100%}
```{r 02_quiz2}
quiz(caption = NULL,
question("Nutzt die Definition von personenbezogenen Daten (Art. 4 DSGVO), um die Daten zu identifizieren, die unter den Schutzbereich der DSGVO fallen:",
answer("Name und Vorname", correct = TRUE),
answer("Privatanschrift", correct = TRUE),
answer("Ausweis-/Passnummer", correct = TRUE),
answer("Physische Merkmale (Geschlecht, Haarfarbe, etc.)", correct = TRUE),
answer("Standortdaten", correct = TRUE),
answer("Telefonnummer", correct = TRUE),
answer("IP-Adresse", correct = TRUE),
answer("Cookie-Kennung", correct = TRUE),
correct = "Richtig!",
incorrect = "Leider falsch. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Originalwortlaut Art 4 DSGVO).",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Eure neu erworbenen Datenkompetenzen möchtet Ihr nutzen, um Daten von Euren digitalen Bildungsangeboten zu analysieren: Ihr zieht Euch einen Export aus der Lernplattform und aus Eurem Videokonferenztool. Könnte es sich hierbei um personenbezogene Daten handeln?",
answer("Ganz klar ja!"),
answer("Nein!"),
answer("Es kommt drauf an, ob eine Anmeldung oder ein Login erforderlich sind oder die Personen über ihre IP Adresse identifizierbar sind.", correct = TRUE),
correct = "Richtig! Es handelt sich bei der Lernplattform um personenbezogene Daten, sobald ein Login mit Benutzernamen und Passwort für die Teilnehmenden erforderlich ist oder die über ihre IP-Adressen identifizierbar sind. Beim Videokonferenztool hängt es davon ab, ob eine Anmeldung notwendig ist oder die Klarnamen verwendet werden.",
incorrect = "Leider falsch. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Kann das durch eine Anmeldung oder die Verwendung von Namen bei Lernplattform und Videokonferenztool der Fall sein? Versuche es einfach nochmal! ",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Findet die DSGVO Anwendung auf den persönlichen oder familiären Bereich?",
answer("Ja"),
answer("Nein", correct = TRUE),
correct = "Richtig!",
incorrect = "Leider falsch. Die DSGVO gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird (Erwägungsgrund 18).",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Was versteht die DSGVO unter Datenverarbeitung? Das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, Anpassung, Veränderung, das Auslesen, Abfragen, die Verwendung, Offenlegung, den Abgleich, die Verknüpfung, Einschränkung, Löschung oder Vernichtung...",
answer("in automatisierten Vorgängen."),
answer("in nicht-automatisierten Vorgängen."),
answer("in automatisierten und nicht-automatisierten Vorgängen.", correct = TRUE),
correct = "Richtig! Also im Grunde alles, was man mit Daten tun kann.",
incorrect = "Leider falsch: Sowohl die menschliche als auch maschinelle Datenverarbeitung sind gemeint.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
Die Verarbeitung von personenbezogenen Daten unterliegt einem **Verbotsprinzip**: Nur wenn Ihr eine explizite Berechtigung zur Datenverarbeitung habt, dürft Ihr dies auch tun. Dabei sind die Rechtsgrundlagen bzw. **Erlaubnistatbestände** für die Datenverarbeitung folgende:
![](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/rechtmaessigkeit.png?raw=true){#id .class width=100% height=100%}
```{r 02_quiz3}
quiz(caption = NULL,
question("Darfst Du im Verein die Mitgliederdatenbank nutzen, um Monitoringdashboards und Prognosemodelle für die Vereinsentwicklung zu erstellen? Wenn ja, was ist die zugehörige Rechtsgrundlage?",
answer("Ich darf die Daten für diesen Zweck nicht nutzen."),
answer("Ich darf sie nutzen, wenn die Mitglieder eingewilligt haben, wobei hier der Zweck und dessen Interpretation entscheidend sind.", correct = TRUE),
answer("Ich darf sie nutzen, wenn die Verarbeitung der Vertragserfüllung dient, wobei hier der Zweck und dessen Interpretation entscheidend sind.", correct = TRUE),
answer("Ich darf sie durch berechtigtes Interesse nutzen (z.B. bei Erwägungsgrund 47-49 DSGVO).", correct = TRUE),
correct = "Richtig! Achte aber immer auf den Zweck und dessen Interpretation: Der Zweck 'Mitgliederverwaltung' kann durch Analysetools unterstützt werden, wenn Du aber 'Registrierung' als Zweck der Verarbeitung angegeben hast, dann solltest Du die Daten aus der Mitgliederdatenbank nicht für Analysezwecke nutzen.",
incorrect = "Leider falsch. Lebenswichtiges und öffentliches Interesse und auch eine rechtliche Verpflichtung spielen hier sicher keine Rolle, aber was denkst Du über die anderen drei Erlaubnistatbestände?",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
Auf Grund Eurer **Informationspflichten** (Art. 12-14 DSGVO) müsst Ihr bei der Datenerfassung auf **Rechtsgrundlage, Zweck, Speicherdauer, Kontaktdaten der Verantwortlichen, die Weitergabe an Dritte und Rechte der Betroffenen** hinweisen.
<!-- - Ihr seid zu der Einhaltung der folgenden **sieben** Kernpflichten verpflichtet: **Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit und Rechenschaft** (Art.5-7, 12-23 ff. DSGVO) -->
Außerdem müsst Ihr auf die folgenden **Betroffenenrechte** (Art. 15-21 DSGVO) hinweisen und diese berücksichtigen:
![](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/betroffenenrechte.png?raw=true){#id .class width=100% height=100%}
Bei **Erlöschung des Zwecks** müssen personenbezogene Daten gem. §35 BDSG spätestens nach *drei Jahren* gelöscht werden - außer es handelt sich um steuerlich relevante oder Sozialdaten (Frist von 10 Jahren). Alternativ zur Löschung können Daten auch **anonymisiert** werden, indem identifizierende Informationen wie Name, exakte Adresse oder E-Mail gelöscht werden, bis die Kombination von Merkmalsausprägungen wie Wohnort, Beruf und Geschlecht jeweils bei *min. drei Personen* vorhanden ist (oder bei keiner).
```{r 02_quiz4}
quiz(caption = NULL,
question("Wie lange dürfen Daten gespeichert werden?",
answer("Unbegrenzt"),
answer("Bis zur Erlöschung des Zwecks (Prinzip der Zweckbindung)"),
answer("Bis zur Erlöschung des Zwecks, allerdings kann eine längere Aufhebung durch konkurrierende Gesetzgebung nötig sein", correct = TRUE),
correct = "Richtig! Grundsätzlich gilt bei Erlöschung der Zweckbindung (z.B. Austritt eines Vereinsmitglieds) auch die Pflicht zur Löschung der Daten. Allerdings können der Löschung vertragliche Vereinbarungen und Satzungen entgegenstehen (§35 BDSG). Zudem kann eine eine gesetzliche Pflicht zur längeren Aufhebung bestehen, z.B. Dokumente, die für die Steuer relevant sind (10 Jahre, §257 HGB), und Sozialdaten (10 Jahre, §304 SGB). Bei einem Mitgliedsaustritt müssen deshalb Name, Anschrift, Daten zur Mitgliedschaft im Verein und Daten zur Beitragszahlung über 10 Jahre aufgehoben werden. Ansonsten gilt grundsätzlich die Frist zur Löschung nach drei Jahren.",
incorrect = "Leider falsch. Grundsätzlich gilt bei Erlöschung der Zweckbindung (z.B. Austritt eines Vereinsmitglieds) auch die Pflicht zur Löschung der Daten. Allerdings können der Löschung vertragliche Vereinbarungen und Satzungen entgegenstehen (§35 BDSG). Zudem kann eine eine gesetzliche Pflicht zur längeren Aufhebung bestehen, z.B. Dokumente, die für die Steuer relevant sind (10 Jahre, §257 HGB), und Sozialdaten (10 Jahre, §304 SGB). Bei einem Mitgliedsaustritt müssen deshalb Name, Anschrift, Daten zur Mitgliedschaft im Verein und Daten zur Beitragszahlung über 10 Jahre aufgehoben werden. Ansonsten gilt grundsätzlich die Frist zur Löschung nach drei Jahren.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
Da der **Datenschutz in Drittländern** (auch in den USA) nicht so ausgeprägt ist wie in der EU, solltet Ihr bei der Auswahl von datenverarbeitenden Tools darauf achten, wo sie ihren Hauptsitz und Server haben, und müsst ggf. zusätzliche Maßnahmen (z.B. rechtliche Vereinbarung, Passwortschutz, Verschlüsselung) ergreifen.
Am besten veröffentlicht Ihr auf Eurer Webseite Eure **Datenschutzerklärung sowie Kontaktdaten von Ansprechpartner:innen** und legt mit klar definierten **Verantwortlichen** ein **Verarbeitungsverzeichnis und Datenschutzmanagementsystem** an, das Ihr in festen Abständen **überprüft**:
![](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/datenschutzerklaerung.png?raw=true){#id .class width=100% height=100%}
```{r 02_quiz5}
quiz(caption = NULL,
question("Abschließend einmal zusammengefasst: Welche Kernpflichten umfasst die DSGVO?",
answer("Rechtmäßigkeit", correct = TRUE),
answer("Zweckbindung", correct = TRUE),
answer("Datenminimierung", correct = TRUE),
answer("Richtigkeit", correct = TRUE),
answer("Speicherbegrenzung", correct = TRUE),
answer("Vertraulichkeit", correct = TRUE),
answer("Rechenschaft", correct = TRUE),
correct = "Richtig!",
incorrect = "Leider falsch - richtig sind alle sieben.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
<br>
#### **Datenschutz in der Praxis**
```{r 02_quiz6}
quiz(caption = NULL,
question("Weil Ihr den morgendlichen und bitter benötigten Kaffee über Euren Arbeitslaptop verschüttet, verliert Ihr die Mitgliedsdaten Eures 20 Mitglieder starken Vereins, die Ihr lokal in einer Excel gespeichert hattet. Die Daten sind unwiderruflich verschwunden. „Kein Problem“, denkt Ihr, „für von Kaffee eliminierte Daten bin ich ja nicht haftungspflichtig.“ Ist das richtig?",
answer("Ja"),
answer("Nein", correct = TRUE),
correct = "Richtig! Die Datenpanne (Art. 4 DSGVO) könnt, müsst Ihr aber nicht unebdingt innerhalb der 72h der zuständigen Behörde melden, da das Risiko für Betroffene hier nicht sehr groß ist. Den Vorfall sowie Eure Überlegungen zur Meldepflicht solltet Ihr trotzdem dokumentieren.",
incorrect = " Leider falsch! Eure sieben Kernpflichten (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Datenreduktion, Vertraulichkeit und Rechenschaft) beinhalten gem. Art. 5 DSGVO auch den Grundsatz der Vertraulichkeit. Damit seid Ihr verpflichtet Daten durch dem Risiko angemessene technische und organisatorische Maßnahmen vor Zugriff und Verlust zu sichern. Dass Endgeräte kaputtgehen, ist durchaus zu erwarten. Eine doppelte Datensicherung durch externe, digitale Speicher wie USB oder Cloud-Lösung ist notwendig. Die Datenpanne (Art. 4 DSGVO) könnt, müsst Ihr aber nicht unbedingt innerhalb von 72h der zuständigen Behörde melden, da das Risiko für Betroffene hier nicht sehr groß ist. Den Vorfall sowie Eure Überlegungen zur Meldepflicht solltet Ihr trotzdem dokumentieren.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Zum Austausch von personenbezogenen Daten nutzt die HR-Abteilung Eures Unternehmens passwortgeschützte Ordnerstrukturen in der Google Cloud. Zugang haben lediglich Mitarbeitende der Personalabteilung. Ist das unbedenklich?",
answer("Ja"),
answer("Nein", correct = TRUE),
correct = "Richtig! Es ist zwar lobenswert, dass die hochsensiblen Daten durch Passwörter geschützt werden, aber Google ist ein US-Amerikanischer Anbieter, weshalb mit dem Kippen des Privacy Shields 2020 (Schrems II) das Nutzen von US-Amerikanischen Tools zur Speicherung personenbezogener Daten unzulässig ist. Das ist zwar erstmal eine ziemlich schlechte Nachricht, aber auch wir sind derzeit noch in der Umstellung – und erwarten hier auch Korrekturen und Eingriffe der Gesetzgebenden. Bis dahin nutzen wir – wo möglich – digitale Tools aus der EU oder hosten Alternativen, wie z.B. IDGARD oder eine eigene Instanz von NextCloud.",
incorrect = " Leider falsch! Es ist zwar lobenswert, dass die hochsensiblen Daten durch Passwörter geschützt werden, aber Google ist ein US-Amerikanischer Anbieter, weshalb mit dem Kippen des Privacy Shields 2020 (Schrems I) das Nutzen von US-Amerikanischen Tools zur Speicherung personenbezogener Daten unzulässig ist. Das ist zwar erstmal eine ziemlich schlechte Nachricht, aber auch wir sind derzeit noch in der Umstellung – und erwarten hier auch Korrekturen und Eingriffe der Gesetzgebenden. Bis dahin nutzen wir – wo möglich – digitale Tools aus der EU oder hosten Alternativen, wie z.B. IDGARD oder eine eigene Instanz von NextCloud.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Zum Abschluss noch der Klassiker: Ihr habt vermutlich eine Vereinswebseite. Sind hier (zustimmungspflichtige) Cookie-Hinweise notwendig?",
answer("Ja, es ist immer ein Cookie-Hinweis mit expliziter Einwilligung notwendig."),
answer("Nein, der Cookie-Hinweis ist optional."),
answer("Für technisch notwendige Cookies brauche ich einen Cookie-Hinweis, aber keine explizite Einwilligung.", correct = TRUE),
answer("Für Cookies, die über die technisch notwendigen Cookies hinausgehen (z.B. Tracking, Marketing), müssen Betroffene die Möglichkeit zum Opt-In freiwillig wahrnehmen.", correct = TRUE),
correct = "Richtig! Für technisch notwendige Cookies braucht es keine explizite Einwilligung, für alles weitere hingegegen schon. Aber: durch die Informationspflicht ist ein Banner mit Cookie-Hinweis Pflicht!",
incorrect = "Leider falsch! Auch hier kommt es wieder drauf an: während für alle Cookies eine Informationspflicht gilt, benötigen technisch notwendige Cookies im Gegensatz zu allen weiteren Cookies keine explizite Einwilligung.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
### **Datenethik**
- Darüber hinaus solltet Ihr Euch auch mit Euren Anforderungen an Datenethik beschäftigen, denn nur weil etwas augenscheinlich legal ist, heißt es noch lange nicht, dass es auch moralisch ist - eine Inspiration kann die **Charta der digitalen Grundrechte** sein.
- Prüft, ob Eure **Datengrundlage ausreicht**, um Sachverhalte zu bewerten, und diese Bewertung **sinnvoll ist**
- Evaluiert Eure Datengrundlage und sucht gezielt nach **Verzerrungen** wie historischem Bias.
- Überlegt Euch, ob Eure Datenanalyse zu **struktureller Benachteiligung, Diskriminierung oder (negativer) Politisierung** von Menschen führen kann.
- Denkt bei der Programmierung von Algorithmen darüber nach, ob die zu treffende **Entscheidung** überhaupt **maschinell** anhand von sozio-demographischen Merkmalen und deren Proxies getroffen werden sollte - das gilt insbesondere bei Algorithmen, die über **Zugang zu essentiellen Bereichen** wie dem Arbeits- und Finanzmarkt oder auch über den Zugang zu **zivilgesellschaftlichen Programmen** entscheiden.
Einige ethische Fragen solltet Ihr Euch vor und während Eurer Datenprojekte stellen:
![](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/ethische-fragen.png?raw=true){#id .class width=100% height=100%}
#### **Datenethik in der Praxis**
```{r 02_quiz}
quiz(caption = NULL,
question("Wie könnt Ihr Daten zu Geschlecht und Aussehen sensibel erheben?",
answer("Mit Selbstidentifikation mit gängigen Merkmalsausprägungen "),
answer("Mit Selbstidentifikation mit einigen Vorschlägen, Opt Out (die Möglichkeit die Frage unbeantwortet zu lassen) und Freitextfeld"),
answer("Mit Selbstidentifikation mit einigen Vorschlägen, Opt Out und Freitextfeld sowie Fremdidentifikation (wie andere Menschen den:die Befragte:n wahrnehmen würden)", correct = TRUE),
correct = "Richtig!",
incorrect = " Leider falsch! Lies doch nochmal unter diesen Links nach: https://nibi.space/geschlechtsabfragen, https://citizensforeurope.org/wp-content/uploads/Broschu%CC%88re_2012-Einzelseiten.pdf",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Eurer Projektpartner bittet Euch bei der geplanten Datenanalyse zur Polizeilichen Kriminalitätsstatistik (PKS) vorhandene demographische Merkmalen (Geschlecht und Nationalität) zu berücksichtigen. Ihr findet das Ganze aus ethischer Perspektive bedenklich – zu Recht?",
answer("Ja", correct = TRUE),
answer("Nein"),
correct = "Richtig! Die Polizeiliche Kriminalstatistik enthält viele spannende Daten – allerdings kann die geplante Analyse – falls statistische signifikante Beobachtungen gemacht werden - leicht politisiert werden, z.B. um für die Ausweisung von Migrant:innen zu
werben. Besonders kritisch ist hier auch, dass die Polizeistatistik neben den genannten Merkmalen wenig Informationen zu sonstigen demographischen Merkmalen enthält, weshalb sog. Confounding Variables (zu dt. Störfaktoren) wie Alter und Einkommen nicht identifiziert werden können.",
incorrect = "Leider falsch! Die Polizeiliche Kriminalstatistik enthält viele spannende Daten – allerdings kann die geplante Analyse – falls statistische signifikante Beobachtungen gemacht werden - leicht politisiert werden, z.B. um für die Ausweisung von Migrant:innen zu
werben. Besonders kritisch ist hier auch, dass die Polizeistatistik neben den genannten Merkmalen wenig Informationen zu sonstigen demographischen Merkmalen enthält, weshalb sog. Confounding Variables (zu dt. Störfaktoren) wie Alter und Einkommen nicht identifiziert werden können.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
),
question("Von welchen Kriterien könnt Ihr solche ethischen Überlegungen zu Datenanalysen leiten lassen?",
answer("Ich kann überlegen, ob die Datenanalyse zu Diskriminierung einer Politisierung des Themas und/oder zur strukturellen Benachteiligung von Gruppen führen könnte", correct = TRUE),
answer("Ich kann evaluieren, ob die Datengrundlage überhaupt ausreicht, um den Sachverhalt wissenschaftlich zu bewerten, und das auch sinnvoll ist", correct = TRUE),
answer("Ich kann prüfen, ob die Daten repräsentativ oder eventuell (historisch) verzerrt sind", correct = TRUE),
answer("Ich kann mir bei der Programmierung von Algorithmen Gedanken darüber machen, ob die Entscheidung überhaupt maschinell und automatisiert erfolgen sollte", correct = TRUE),
answer("Ich kann bei der Programmierung von Algorithmen darüber nachdenken, ob Entscheidungen durch Algorithmen auf Basis von sozio-demographischen Merkmalen und deren Proxies im Anwendungsfall überhaupt fair sind", correct = TRUE),
correct = "Richtig! Darüber hinaus gibt es aber noch wesentlich mehr Möglichkeiten. Legt idealerweise selbst einen Katalog an, der Euch als Entscheidungshilfe dient.",
incorrect = " Leider falsch! Zumindest die genannten vier sollten alle angewandt werden. Darüber hinaus gibt es aber noch wesentlich mehr Möglichkeiten. Legt idealerweise selbst einen Katalog an, der Euch als Entscheidungshilfe dient.",
allow_retry = TRUE,
try_again_button = "Nochmal versuchen"
)
)
```
### Und jetzt Ihr: Eigenes Datenverarbeitungsverzeichnis erstellen (optional)
Ihr arbeitet mit personenbezogenen Daten und möchtet ein **Datenverarbeitungsverzeichnis** anlegen? Zur Erstellung eines solchen Verzeichnisses gibt es im Netz zahlreiche Informationen. Hier geht es zu den Veröffentlichungen der [Datenschutzkonferenz (DKI)](https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Allgemein/Verzeichnis-Verarbeitungstaetigkeiten.html){target="_blank"} und [bitkom](https://www.bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf){target="_blank"}.
Wir haben für Euch zudem ein **Muster in Excel** erstellt, das Ihr [hier](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/MusterDatenverarbeitungsverzeichnis.xlsx?raw=true){target="_blank"} herunterladen könnt.
<center>
![*Template: Datenverarbeitungsverzeichnis*](https://github.com/CorrelAid/lernplattform/blob/main/abbildungen/02_datenschutz-und-datenethik/Verarbeitungsverzeichnis.png?raw=true){#id .class width=100% height=100%}
</center>
<br>
### Zusätzliche Ressourcen
- [Publikation](https://www.b-b-e.de/fileadmin/Redaktion/06_Service/02_Publikationen/2021/2021-bbe-reihe-forum-3.pdf){target="_blank"} des Bundesnetzwerks Bürgerschaftliches Engagement (BBE) zu „Datenschutz und Datensicherheit“, insbesondere die Schritte 1-12 auf den Seiten 29ff.
- [Webinare](https://stiftungdatenschutz.org/veranstaltungen/datenschutz-im-ehrenamt){target="_blank"} der Stiftung Datenschutz
- Informationsseiten des:der [Berliner Datenschutzbeauftragten](https://www.datenschutz-berlin.de/){target="_blank"}
- [Data Ethics Canvas (dt.)](http://theodi.org/wp-content/uploads/2021/07/Data-Ethics-Canvas-German-Colour.pdf){target="_blank"} des Open Data Institutes
- [Coded Bias](https://www.netflix.com/title/81328723){target="_blank"}, eine Netflixdokumentation zu Bias (zu dt. Verzerrungen) in Algorithmen