DSGVO: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) (MitgliederDB bereinigen: done) |
Leo (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
Wir nehmen die neue [https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung|EU Datenschutzgrundverordnung (DSGVO)] als Anlass, bei uns angefallene personenbezogenen Daten zu dokumentieren und ggf. Abläufe an die gesetzlichen Forderungen anzupassen. | Wir nehmen die neue [https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung|EU Datenschutzgrundverordnung (DSGVO)] als Anlass, bei uns angefallene personenbezogenen Daten zu dokumentieren und ggf. Abläufe an die gesetzlichen Forderungen anzupassen. | ||
Ziel ist es eine maximale Transparenz zu haben und sich mit der Thematik allgemein intensiver zu befassen. | Ziel ist es eine maximale Transparenz zu haben und sich mit der Thematik allgemein intensiver zu befassen. | ||
| − | + | ==Verarbeitungstätigkeit 1: Mitgliederverwaltung== | |
| − | * ... | + | ===Daten und Zweck=== |
| + | Um Mitglied zu werden, werden folgende Informationen abgefragt: (siehe auch https://mitgliedsantrag.on-i.de) | ||
| + | |||
| + | * Name | ||
| + | * Adresse | ||
| + | * Email | ||
| + | * Bankdaten | ||
| + | |||
| + | Der Name und die Bankdaten werden benötigt, um den Mitgliedsbeitrag per Lastschrift einzuziehen. | ||
| + | Die Emailadresse wird benötigt, um Kontakt mit dem Mitglied herzustellen und Informationen (bspw. Mitgliederversammlung) zuzustellen. | ||
| + | Die Adresse und der Name werden benötigt, falls der Kommunikationskanal Email nicht zuverlässig funktioniert. Hierfür gibt es diverse Gründe (Spamfilter, Mitglied ändert Emailadresse, ...). | ||
| + | |||
| + | ''Frage: Was wären die gesetzlichen Grundlagen für die Erhebung der Daten? Oder ist das bei den oben genannten Daten quasi implizit?'' | ||
| + | |||
| + | === Schutz === | ||
| + | Wir müssen nach §32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo) technisch organisatorische Maßnahmen (TOM) treffen, um die Sicherheit der Datenverarbeit zu gewährleisten. | ||
| + | |||
| + | zu § 1): Wir gewährleisten Integrität und Verfügbarkeit der Daten durch folgende Maßnahmen: | ||
| + | |||
| + | * Vertraulichkeit: Nur der Vorstand, die Finanzprüfer und die zentralen Administratoren können auf die Daten zugreifen. Es gibt einen dedizierten virtuellen Server für die oben genannten Daten. | ||
| + | * Integrität der Daten: Die Daten werden in einem System mit Änderungshistorie gespeichert. | ||
| + | * Wiederherstellen der Daten nach technischem Zwischenfall: Die Daten werden täglich per Backup auf einem anderen physichen Gerät gesichert. | ||
| + | * Stand der Technik: Zugriff auf die Daten ist der HTTPS (Nutzername+Passwort) bzw. SSH (Key) gesichert. | ||
| + | * Belastbarkeit (Was passiert bspw. bei DDoS): Der Server ist physisch in der Nähe und die Daten können somit 'zur Not' auch ohne Internetanbindung zugegriffen werden. | ||
| + | * Bewertung und Evaluierung der Wirksamkeit: Jährlich müssen die hier beschriebenen Maßnahmen auf Aktualität und Richtigkeit überprüft werden. | ||
| + | |||
| + | |||
| + | |||
| + | == Verarbeitungstätigkeit 2: ... == | ||
| + | ... | ||
| − | + | == TODOs == | |
| − | + | ||
| − | + | ||
| − | + | ||
| − | |||
* Mitgliedsantrag: Speicherfrist erwähnen; Zwecke, Löschfristen, Rechtsgrundlage (extra Datenschutzerklärung?) | * Mitgliedsantrag: Speicherfrist erwähnen; Zwecke, Löschfristen, Rechtsgrundlage (extra Datenschutzerklärung?) | ||
| − | * | + | * Antragsformular: Emailversand weiter betreiben jedoch müssen nach Abarbeitung die Emails gelöscht werden |
* Weiterleitung von mitgliederverwaltung and vorstand deaktivieren | * Weiterleitung von mitgliederverwaltung and vorstand deaktivieren | ||
* MitgliederDB bereinigen (Seite + Dateien) | * MitgliederDB bereinigen (Seite + Dateien) | ||
Version vom 5. Mai 2018, 21:11 Uhr
Wir nehmen die neue Datenschutzgrundverordnung (DSGVO) als Anlass, bei uns angefallene personenbezogenen Daten zu dokumentieren und ggf. Abläufe an die gesetzlichen Forderungen anzupassen.
Ziel ist es eine maximale Transparenz zu haben und sich mit der Thematik allgemein intensiver zu befassen.
Inhaltsverzeichnis |
Verarbeitungstätigkeit 1: Mitgliederverwaltung
Daten und Zweck
Um Mitglied zu werden, werden folgende Informationen abgefragt: (siehe auch https://mitgliedsantrag.on-i.de)
- Name
- Adresse
- Bankdaten
Der Name und die Bankdaten werden benötigt, um den Mitgliedsbeitrag per Lastschrift einzuziehen. Die Emailadresse wird benötigt, um Kontakt mit dem Mitglied herzustellen und Informationen (bspw. Mitgliederversammlung) zuzustellen. Die Adresse und der Name werden benötigt, falls der Kommunikationskanal Email nicht zuverlässig funktioniert. Hierfür gibt es diverse Gründe (Spamfilter, Mitglied ändert Emailadresse, ...).
Frage: Was wären die gesetzlichen Grundlagen für die Erhebung der Daten? Oder ist das bei den oben genannten Daten quasi implizit?
Schutz
Wir müssen nach §32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo) technisch organisatorische Maßnahmen (TOM) treffen, um die Sicherheit der Datenverarbeit zu gewährleisten.
zu § 1): Wir gewährleisten Integrität und Verfügbarkeit der Daten durch folgende Maßnahmen:
- Vertraulichkeit: Nur der Vorstand, die Finanzprüfer und die zentralen Administratoren können auf die Daten zugreifen. Es gibt einen dedizierten virtuellen Server für die oben genannten Daten.
- Integrität der Daten: Die Daten werden in einem System mit Änderungshistorie gespeichert.
- Wiederherstellen der Daten nach technischem Zwischenfall: Die Daten werden täglich per Backup auf einem anderen physichen Gerät gesichert.
- Stand der Technik: Zugriff auf die Daten ist der HTTPS (Nutzername+Passwort) bzw. SSH (Key) gesichert.
- Belastbarkeit (Was passiert bspw. bei DDoS): Der Server ist physisch in der Nähe und die Daten können somit 'zur Not' auch ohne Internetanbindung zugegriffen werden.
- Bewertung und Evaluierung der Wirksamkeit: Jährlich müssen die hier beschriebenen Maßnahmen auf Aktualität und Richtigkeit überprüft werden.
Verarbeitungstätigkeit 2: ...
...
TODOs
- Mitgliedsantrag: Speicherfrist erwähnen; Zwecke, Löschfristen, Rechtsgrundlage (extra Datenschutzerklärung?)
- Antragsformular: Emailversand weiter betreiben jedoch müssen nach Abarbeitung die Emails gelöscht werden
- Weiterleitung von mitgliederverwaltung and vorstand deaktivieren
- MitgliederDB bereinigen (Seite + Dateien)
- done
- Eintrittsdokumente&co aus git entfernen und in Ordner übertragen
- git Historie löschen
