==== Verfahrensverzeichnis ==== Gemäß Art 30 Abs. 2 DSVGO muss der Verein ein Verfahrensverzeichnis für die Datenverarbeitung von Personendaten der Mitglieder vorhalten. Das wird hiermit getan. ^ Verarbeitungstätigkeit ^ Ansprechpartner ^ Datum der Einführung ^ Zwecke der Verarbeitung ^ Kategorie betroffene Personen ^ Kategorie von personenbez. Daten ^ Kategorie von Empfängern ^ Drittlandstransfer ^ Löschfristen ^ Technische/organisatorische Maßnahmen ^ | Mitgliederverwaltung | Schatzmeister | 13.04.2018 | Einladungen zur MV, Abrechnung der Mitgliedsbeiträge, Mahnungen | Alle Mitglieder | Name, Adresse, Email-Adresse, Eintrittsdatum | Keine | Keine | 10 Jahre nach Austritt | Festplattenverschlüsselung, GPG-verschlüsselte Datenübertragung | | Jabber | admins | 13.04.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Nutzer der Services | UserID | Keine | Keine | bei Löschung des Kontos | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Funktionale Kommunikation mit dem Dienst | Nutzer der Services | IP-Adresse | Keine | Keine | bei Ende der Session | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Freiwillige Verbreitung der eigenen Daten | Nutzer der Services | zusätzliche Daten (Name, Adresse, Telefonnummer), Kontaktliste | Andere Jabber-Nutzer | Keine | jederzeit durch Nutzer, bei Löschung des Kontos | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Zustellung von Nachrichten, an User die gerade nicht online sind | Nutzer der Services | Chatnachrichten, versendete Dateien | Keine | Keine | bei Zustellung an Empfänger, bei Löschung des Kontos | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Webdienste | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Nutzer der Services | IP-Adressen | Keine | Keine | Bei Ende der Anfrage | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Debugging, Feststellung von Problemen | Nutzer der Services | Logs über Zugriffe ohne Personenbezogene Daten | Keine | Keine | 1 Woche | ::: | | Webseite | Pressesprecher, Admins | 22.05.2018 | Außendarstellung | Besucher der Webseite | Fotos, Impressum, Namen der Authorinnen | Besucher der Webseite | Keine | bei Widerruf der Einwilligung | Festplattenverschlüsselung, HTTPS | | Gitlab | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Nutzer der Services (nur Mitglieder aktiv) | Durch Benutzer eingegeben Daten, Nickname | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Gitmanager | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Nutzer der Services (nur Mitglieder aktiv) | Durch Benutzer eingegeben Daten, Nickname | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | LDAP | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Mitglieder | Name / Nick, SSH Keys, Passwort Hash, E-Mail Adresse | Name / Nick für andere Mitglieder sichtbar | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Shells | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Mitglieder | Nutzerdaten im Home | Andere Mitglieder, Externe Nutzer, falls durch das Mitglied erwünscht / erlaubt | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Debugging, Feststellung von Problemen | Mitglieder | Logs über Login-/Logoutzeiten, Logs über Verbindungsversuche über SSH | Keine | Keine | 1 Woche | ::: | | Ethercalc | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Eingetragene Nutzerdaten | Andere Nutzer | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Etherpads | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Eingetragene Nutzerdaten | Andere Nutzer, bei pads-intern nur Mitglieder | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Paste | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Gecryptede Nutzerdaten, keine Entschlüsselung durch uns möglich | Andere Nutzer mit Link | Durch Nutzer angebbar | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Status | Admins | 22.05.2018 | Kommunikation im Verein | Mitglieder, Nutzer der Services | Status, Kommentar, Veranstaltungsdaten, Nick, Zeiträume der Anwesenheit (alles selber eingetragen) | Mitglieder | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Wiki (intern) | Admins | 22.05.2018 | Kommunikation im Verein | Mitglieder | Eingetragene Daten, Cookies | Mitglieder | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Wiki (public) | Admins | 22.05.2018 | Außendarstellung, Kommunikation im Verein | Nutzer der Services | Durch Mitglieder eingetragene Daten, Cookies | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Mailserver | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Mitglieder, Korespondenten von Mitgliedern | E-Mails | Keine | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | ::: | ::: | ::: | Debugging, Feststellung von Problemen | Mitglieder, Korespondenten von Mitgliedern | Logs über die Zustellung und Abruf von E-Mails, mit E-Mail Adressen, IP-Adressen | Keine | Keine | 3 Tage | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Mailinglisten | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur | Nutzer der Services | Email-Adresse, Name | Keine | Keine | Keine | Festplattenverschlüsselung, TLS-verschlüsselte Datenübertragung | | Clubnetzwerk/Wifi | admins | 22.05.2018 | Außendarstellung, Bereitstellung freier Infrastruktur, Debugging | Nutzer der Services | IP-Adresse, MAC-Adresse | Keine | Keine | 1 Woche | Passwort, TLS-verschlüsselte Datenübertragung | ==== Datenschutzverordnung ==== === Webseite === Bei Besuch dieser Webseite (aachen.ccc.de / ccc.ac) sowie allen Unterseiten unter dieser Domain, im besonderen auch wiki.aachen.ccc.de / wiki.ccc.ac sowie gitlab.aachen.ccc.de / gitlab.ccc.ac wird auf unserem Webserver die Anfrage mit Datum und Uhrzeit erfasst und für 1 Woche gespeichert um Fehler mitzubekommen und beheben zu können. Die IP-Adresse wird dabei nur bei schweren Fehlern, z.B. bei fehlerhaften Anfragen, gespeichert, bei normalen Anfragen nicht. Bei Abbonierung unserer Ankündigungen kann eine E-Mail Adresse und ein Name angegeben werden. Der Name ist optional. Diese sind nur für uns sichtbar. Alle Daten werden nicht weitergegeben und werden durch Verschlüsselung und üblicher Sicherungsmaßnahen vor Zugriff durch Dritte geschützt. Das Wiki (wiki.aachen.ccc.de / wiki.ccc.ac), das Gitlab (gitlab.aachen.ccc.de / gitlab.ccc.ac) sowie weitere Unterseiten verwendet Cookies. Diese werden nicht zum Tracken von Benutzern verwendet. Sollte die Verwendung von Cookies nicht gewünscht sein können diese im Browser blockiert werden. Die DSGVO räumt jeder Person das Recht ein, Auskunft über die zu ihr gespeicherten Daten zu erhalten, fehlerhafte Daten zu berichtigen und (soweit nicht durch andere Gesetze eingeschränkt) die Löschung gespeicherter personenbezogener Daten zu verlangen. Derartige Anfragen können an vorstand@aachen.ccc.de gerichtet werden. === Jabber/XMPP === Der CCCAC bietet für Mitglieder und Freunde einen XMPP-Server an. Als Software wird 'prosody' eingesetzt. Für den Betrieb ist es notwendig ein Konto mit einer jabber-id anzulegen und dem Server die eigene IP mitzuteilen. Die jabber-id ist mit allen anderen Daten des Kontos verknüpft, die IP wird am Ende jeder Session gelöscht und ist nur für die Verbindungsaufnahme notwendig. Es ist möglich zusätzliche Daten, wie Name, Adresse, Telefonnummer mit eurer jabber-id zu verknüpfen. Diese werden im Server im vcard-Format gespeichert und anderen Nutzern (auch von anderen Jabber-Servern) angezeigt. Ebenfalls werden von euch in euer 'Roster' hinzugefügte Kontakte mit deren jabber-id auf dem Server gespeichert. Für die Benutzung des Dienstes als Kommunikationsplatform sind diese Informationen nicht notwendig und können von euch jederzeit wieder gelöscht werden. Nachrichten an Kontakte, die selbst gerade nicht online sind und daher nicht direkt zugestellt werden können, werden so lange auf dem Server gespeichert, bis sie zugestellt werden können. Gleiches gilt für Dateien, die über den Dienst verschickt werden. Für Mutli-User-Chats (MUC) gilt, dass im Default die letzten 100 Nachrichten gespeichert werden und neu eintretenden Usern zugestellt werden. Moderatoren der Chaträume ist es jedoch möglich die Länge dieser Historie zu verändern oder ganz abzuschalten. Es werden keine Metadaten über das Kommunikations- oder Nutzungsverhaltender der Nutzer gespeichert, auch nicht zum Zweck der Fehlerbehebung. Es gibt leider derzeit keine Methode, um Kontendaten, wie die vcard oder das Roster automatisch auf andere XMPP-Server zu migrieren. Auf Anfrage erhaltet ihr aber die Daten in den serverseitig gespeicherten Formaten (vcard, xml). Um einen Account für den XMPP-Server zu erhalten oder um Löschung oder Auskunft von Daten zu beantragen, wendet euch per Mail an dekalog@aachen.ccc.de. Die Anträge werden nach dem Prinzip des "Best Efforts" unverzüglich umgesetzt. Da keine Nutztungsstatistiken erhoben werden, gibt es keine Möglichkeit inaktive Konten automatisch nach einer Frist zu löschen. Die Löschung erfolgt daher nur durch expliziten Antrag. === Für Mitglieder === Nach Annahme des Mitgliedsantrags werden die hier angegebenen Daten zur Durchführung der Vereinstätigkeiten elektronisch gespeichert und verarbeitet. Sie sind jederzeit durch Verschlüsselung und übliche Sicherheitsmaßnahmen vor unbefugtem Zugriff geschützt und werden nicht an Dritte weitergegeben. Name, Anschrift und E-Mailadresse dienen der Mitgliederverwaltung (z.B. Zusendung der Einladung zur Mitgliederversammlung). Falls du deinen Mitgliedsbeitrag per Überweisung zahlst erhalten wir zudem deine Kontodaten. Auf diese Daten hat nur der Vorstand Zugriff. Nach Austritt werden sie für die Dauer der gesetzlichen Aufbewahrungsfrist (derzeit zehn Jahre) vorgehalten und anschließend gelöscht. Du erhälst zudem eine Mailadresse @aachen.ccc.de die der Vereinsinternen Kommunikation, u.a. per Mailingliste, dient. Der Nickname ist für alle anderen Mitglieder sichtbar. Deine Mails können entweder bei uns gespeichert werden oder an eine andere E-Mail Adresse weitergeleitet werden. Im Falle einer Weiterleitung haben nur Serveradministratoren Zugriff auf diese E-Mail Adresse. Metadaten über den E-Mail Verkehr werden für drei Tage zu Administrativen Zwecken in Logs gespeichert. Diese Daten, sowie weitere bei Nutzung unserer Infrastruktur dort abgelegte private Dateien (z.B. im Home-Verzeichnis auf den Shell-Servern), werden im Regelfall sechs Monate nach dem Austritt gelöscht, auf Wunsch früher. Die DSGVO räumt jeder Person das Recht ein, Auskunft über die zu ihr gespeicherten Daten zu erhalten, fehlerhafte Daten zu berichtigen und (soweit nicht durch andere Gesetze eingeschränkt) die Löschung gespeicherter personenbezogener Daten zu verlangen. Derartige Anfragen können an vorstand@aachen.ccc.de gerichtet werden. ==== Quellen und Vorlagen ==== https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf https://www.datenschutzzentrum.de/uploads/praxisreihe/PraxisReihe-1-Datenschutz-bei-Vereinen.pdf