DSGVO

Wir nehmen die neue Datenschutzgrundverordnung (DSGVO) als Anlass, bei uns angefallene personenbezogenen Daten zu dokumentieren und ggf. Abläufe an die gesetzlichen Forderungen anzupassen.

Ziel ist es eine maximale Transparenz zu haben und sich mit der Thematik allgemein intensiver zu befassen.

Verarbeitungstätigkeit 1: Mitgliederverwaltung

Daten und Zweck

Um Mitglied zu werden, werden folgende Informationen abgefragt: (siehe auch https://mitgliedsantrag.on-i.de)

• Name
• Adresse
• Email
• Bankdaten

Der Name und die Bankdaten werden benötigt, um den Mitgliedsbeitrag per Lastschrift einzuziehen. Die Emailadresse wird benötigt, um Kontakt mit dem Mitglied herzustellen und Informationen (bspw. Mitgliederversammlung) zuzustellen. Die Adresse und der Name werden benötigt, falls der Kommunikationskanal Email nicht zuverlässig funktioniert. Hierfür gibt es diverse Gründe (Spamfilter, Mitglied ändert Emailadresse, ...).

Frage: Was wären die gesetzlichen Grundlagen für die Erhebung der Daten? Oder ist das bei den oben genannten Daten quasi implizit?

Schutz

Wir müssen nach §32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo) technisch organisatorische Maßnahmen (TOM) treffen, um die Sicherheit der Datenverarbeit zu gewährleisten.

zu § 1): Wir gewährleisten Integrität und Verfügbarkeit der Daten durch folgende Maßnahmen:

• Vertraulichkeit: Nur der Vorstand, die Finanzprüfer und die zentralen Administratoren können auf die Daten zugreifen. Es gibt einen dedizierten virtuellen Server für die oben genannten Daten.
• Integrität der Daten: Die Daten werden in einem System mit Änderungshistorie gespeichert.
• Wiederherstellen der Daten nach technischem Zwischenfall: Die Daten werden täglich per Backup auf einem anderen physichen Gerät gesichert.
• Stand der Technik: Zugriff auf die Daten ist der HTTPS (Nutzername+Passwort) bzw. SSH (Key) gesichert.
• Belastbarkeit (Was passiert bspw. bei DDoS): Der Server ist physisch in der Nähe und die Daten können somit 'zur Not' auch ohne Internetanbindung zugegriffen werden.
• Bewertung und Evaluierung der Wirksamkeit: Jährlich müssen die hier beschriebenen Maßnahmen auf Aktualität und Richtigkeit überprüft werden.

Löschkonzepte

Alleinig in der Mitgliederdatenbank sind die personenbezogenen Daten, welche aus dem Mitgliedsantrag resultieren, zu finden. Es gibt keine Emails mit solchen Daten, da diese nach Bearbeitung gelöscht werden müssen. Somit genügt es die Daten aus der Mitgliedsdatenbank zu löschen.

Verarbeitungstätigkeit 2: Opennet Node List

Da Opennet ein Community Projekt ist und die Nutzer sich selbstständig untereinander vernutzen sollen, gibt es einen gewissen Grundbedarf an Daten, damit diese Ziele umgesetzt werden können.

Es gibt ein zentrale Stelle mit allen Access Points (Teilnehmer des Netzes) unter: https://wiki.opennet-initiative.de/wiki/Opennet_Nodes

Dort sind u.a. folgende Daten zu finden:

• Adresse
• GPS Position
• gekürzter Name

Die Adresse und GPS Position werden für den technischen Betrieb (Vernetzung) benötigt.

Der gekürzte Name ist eine Zeichenkette, welche jeder Nutzer frei wählen und ändern kann.

Verarbeitungstätigkeit X: ...

...

TODOs

• Mitgliedsantrag: Speicherfrist erwähnen; Zwecke, Löschfristen, Rechtsgrundlage (extra Datenschutzerklärung?)
• Antragsformular: Emailversand weiter betreiben jedoch müssen nach Abarbeitung die Emails gelöscht werden
• Weiterleitung von mitgliederverwaltung and vorstand deaktivieren
• MitgliederDB bereinigen (Seite + Dateien)
  • done
• Eintrittsdokumente&co aus git entfernen und in Ordner übertragen
• git Historie löschen