Differences

This shows you the differences between two versions of the page.

Link to this comparison view

verein:dsgvo [2018-05-24 15:44] (current)
daniel created
Line 1: Line 1:
 +==== Verfahrensverzeichnis ====
 +
 +Gemäß Art 30 Abs. 2 DSVGO muss der Verein ein Verfahrensverzeichnis für die Datenverarbeitung von Personendaten der Mitglieder vorhalten. Das wird hiermit getan.
 +^ Verarbeitungstätigkeit ^ Ansprechpartner ^ Datum der Einführung ^ Zwecke der Verarbeitung ^ Kategorie betroffene Personen ^ Kategorie von personenbez. Daten ^ Kategorie von Empfängern ^ Drittlandstransfer ^ Löschfristen ^ Technische/​organisatorische Maßnahmen ^
 +| Mitgliederverwaltung | Schatzmeister | 13.04.2018 | Einladungen zur MV, Abrechnung der Mitgliedsbeiträge,​ Mahnungen | Alle Mitglieder | Name, Adresse, Email-Adresse,​ Eintrittsdatum | Keine | Keine | 10 Jahre nach Austritt | Festplattenverschlüsselung,​ GPG-verschlüsselte Datenübertragung |
 +| Jabber | admins | 13.04.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Nutzer der Services | UserID | Keine | Keine | bei Löschung des Kontos | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Funktionale Kommunikation mit dem Dienst | Nutzer der Services | IP-Adresse | Keine | Keine | bei Ende der Session | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Freiwillige Verbreitung der eigenen Daten | Nutzer der Services | zusätzliche Daten (Name, Adresse, Telefonnummer),​ Kontaktliste | Andere Jabber-Nutzer | Keine | jederzeit durch Nutzer, bei Löschung des Kontos | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Zustellung von Nachrichten,​ an User die gerade nicht online sind | Nutzer der Services | Chatnachrichten,​ versendete Dateien | Keine | Keine | bei Zustellung an Empfänger, bei Löschung des Kontos | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Webdienste | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Nutzer der Services | IP-Adressen | Keine | Keine | Bei Ende der Anfrage | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Debugging, Feststellung von Problemen | Nutzer der Services | Logs über Zugriffe ohne Personenbezogene Daten | Keine | Keine | 1 Woche | ::: |
 +| Webseite | Pressesprecher,​ Admins | 22.05.2018 | Außendarstellung | Besucher der Webseite | Fotos, Impressum, Namen der Authorinnen | Besucher der Webseite | Keine | bei Widerruf der Einwilligung | Festplattenverschlüsselung,​ HTTPS |
 +| Gitlab | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Nutzer der Services (nur Mitglieder aktiv) | Durch Benutzer eingegeben Daten, Nickname | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Gitmanager | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Nutzer der Services (nur Mitglieder aktiv) | Durch Benutzer eingegeben Daten, Nickname | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| LDAP | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Mitglieder | Name / Nick, SSH Keys, Passwort Hash, E-Mail Adresse | Name / Nick für andere Mitglieder sichtbar | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Shells | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Mitglieder | Nutzerdaten im Home | Andere Mitglieder, Externe Nutzer, falls durch das Mitglied erwünscht / erlaubt | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Debugging, Feststellung von Problemen | Mitglieder | Logs über Login-/​Logoutzeiten,​ Logs über Verbindungsversuche über SSH | Keine | Keine | 1 Woche | ::: |
 +| Ethercalc | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Eingetragene Nutzerdaten | Andere Nutzer | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Etherpads | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Eingetragene Nutzerdaten | Andere Nutzer, bei pads-intern nur Mitglieder | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Paste | Admins | 22.05.2018 | Bereitstellung freier Infrastruktur | Nutzer der Services | Gecryptede Nutzerdaten,​ keine Entschlüsselung durch uns möglich | Andere Nutzer mit Link | Durch Nutzer angebbar | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Status | Admins | 22.05.2018 | Kommunikation im Verein | Mitglieder, Nutzer der Services | Status, Kommentar, Veranstaltungsdaten,​ Nick, Zeiträume der Anwesenheit (alles selber eingetragen) | Mitglieder | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Wiki (intern) | Admins | 22.05.2018 | Kommunikation im Verein | Mitglieder | Eingetragene Daten, Cookies | Mitglieder | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Wiki (public) | Admins | 22.05.2018 | Außendarstellung,​ Kommunikation im Verein | Nutzer der Services | Durch Mitglieder eingetragene Daten, Cookies | Nutzer der Services | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Mailserver | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Mitglieder, Korespondenten von Mitgliedern | E-Mails ​ | Keine | Keine | 6 Wochen nach Austritt | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| ::: | ::: | ::: | Debugging, Feststellung von Problemen | Mitglieder, Korespondenten von Mitgliedern | Logs über die Zustellung und Abruf von E-Mails, mit E-Mail Adressen, IP-Adressen | Keine | Keine | 3 Tage | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Mailinglisten | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur | Nutzer der Services | Email-Adresse,​ Name  | Keine | Keine | Keine | Festplattenverschlüsselung,​ TLS-verschlüsselte Datenübertragung |
 +| Clubnetzwerk/​Wifi | admins | 22.05.2018 | Außendarstellung,​ Bereitstellung freier Infrastruktur,​ Debugging | Nutzer der Services | IP-Adresse, MAC-Adresse | Keine | Keine | 1 Woche | Passwort, TLS-verschlüsselte Datenübertragung |
 +
 +==== Datenschutzverordnung ====
 +
 +=== Webseite ===
 +Bei Besuch dieser Webseite (aachen.ccc.de / ccc.ac) sowie allen Unterseiten
 +unter dieser Domain, im besonderen auch wiki.aachen.ccc.de / wiki.ccc.ac sowie
 +gitlab.aachen.ccc.de / gitlab.ccc.ac wird auf unserem Webserver die Anfrage mit
 +Datum und Uhrzeit erfasst und für 1 Woche gespeichert um Fehler mitzubekommen
 +und beheben zu können. Die IP-Adresse wird dabei nur bei schweren Fehlern, z.B.
 +bei fehlerhaften Anfragen, gespeichert,​ bei normalen Anfragen nicht.
 +
 +Bei Abbonierung unserer Ankündigungen kann eine E-Mail Adresse und ein Name
 +angegeben werden. Der Name ist optional. Diese sind nur für uns sichtbar.
 +
 +Alle Daten werden nicht weitergegeben und werden durch Verschlüsselung und
 +üblicher Sicherungsmaßnahen vor Zugriff durch Dritte geschützt.
 +
 +Das Wiki (wiki.aachen.ccc.de / wiki.ccc.ac),​ das Gitlab
 +(gitlab.aachen.ccc.de / gitlab.ccc.ac) sowie weitere Unterseiten verwendet
 +Cookies. Diese werden nicht zum Tracken von Benutzern verwendet. Sollte die
 +Verwendung von Cookies nicht gewünscht sein können diese im Browser blockiert
 +werden.
 +
 +Die DSGVO räumt jeder Person das Recht ein, Auskunft über die zu ihr
 +gespeicherten Daten zu erhalten, fehlerhafte Daten zu berichtigen und (soweit
 +nicht durch andere Gesetze eingeschränkt) die Löschung gespeicherter
 +personenbezogener Daten zu verlangen. Derartige Anfragen können an
 +vorstand@aachen.ccc.de gerichtet werden.
 +
 +=== Jabber/XMPP ===
 +Der CCCAC bietet für Mitglieder und Freunde einen XMPP-Server an.
 +Als Software wird '​prosody'​ eingesetzt.
 +
 +Für den Betrieb ist es notwendig ein Konto mit einer jabber-id anzulegen und
 +dem Server die eigene IP mitzuteilen.
 +Die jabber-id ist mit allen anderen Daten des Kontos verknüpft, die IP wird
 +am Ende jeder Session gelöscht und ist nur für die Verbindungsaufnahme
 +notwendig.
 +
 +Es ist möglich zusätzliche Daten, wie Name, Adresse, Telefonnummer mit eurer
 +jabber-id zu verknüpfen. Diese werden im Server im vcard-Format gespeichert
 +und anderen Nutzern (auch von anderen Jabber-Servern) angezeigt.
 +Ebenfalls werden von euch in euer '​Roster'​ hinzugefügte Kontakte mit deren
 +jabber-id auf dem Server gespeichert.
 +Für die Benutzung des Dienstes als Kommunikationsplatform sind diese
 +Informationen nicht notwendig und können von euch jederzeit wieder gelöscht
 +werden.
 +
 +Nachrichten an Kontakte, die selbst gerade nicht online sind und daher nicht
 +direkt zugestellt werden können, werden so lange auf dem Server gespeichert,​
 +bis sie zugestellt werden können.
 +Gleiches gilt für Dateien, die über den Dienst verschickt werden.
 +Für Mutli-User-Chats (MUC) gilt, dass im Default die letzten 100 Nachrichten
 +gespeichert werden und neu eintretenden Usern zugestellt werden. Moderatoren
 +der Chaträume ist es jedoch möglich die Länge dieser Historie zu verändern
 +oder ganz abzuschalten.
 +Es werden keine Metadaten über das Kommunikations- oder Nutzungsverhaltender
 +der Nutzer gespeichert,​ auch nicht zum Zweck der Fehlerbehebung.
 +
 +Es gibt leider derzeit keine Methode, um Kontendaten,​ wie die vcard oder das
 +Roster automatisch auf andere XMPP-Server zu migrieren. Auf Anfrage erhaltet
 +ihr aber die Daten in den serverseitig gespeicherten Formaten (vcard, xml).
 +
 +Um einen Account für den XMPP-Server zu erhalten oder um Löschung oder
 +Auskunft von Daten zu beantragen, wendet euch per Mail an dekalog@aachen.ccc.de.
 +Die Anträge werden nach dem Prinzip des "Best Efforts"​ unverzüglich umgesetzt.
 +
 +Da keine Nutztungsstatistiken erhoben werden, gibt es keine Möglichkeit
 +inaktive Konten automatisch nach einer Frist zu löschen. Die Löschung erfolgt
 +daher nur durch expliziten Antrag.
 +
 +=== Für Mitglieder ===
 +Nach Annahme des Mitgliedsantrags werden die hier angegebenen Daten zur
 +Durchführung der Vereinstätigkeiten elektronisch gespeichert und verarbeitet.
 +Sie sind jederzeit durch Verschlüsselung und übliche Sicherheitsmaßnahmen
 +vor unbefugtem Zugriff geschützt und werden nicht an Dritte weitergegeben.
 +
 +Name, Anschrift und E-Mailadresse dienen der Mitgliederverwaltung (z.B.
 +Zusendung der Einladung zur Mitgliederversammlung). Falls du deinen
 +Mitgliedsbeitrag per Überweisung zahlst erhalten wir zudem deine
 +Kontodaten. Auf diese Daten hat nur der Vorstand Zugriff. Nach Austritt
 +werden sie für die Dauer der gesetzlichen Aufbewahrungsfrist (derzeit zehn
 +Jahre) vorgehalten und anschließend gelöscht.
 +
 +Du erhälst zudem eine Mailadresse <​nickname>​@aachen.ccc.de die der
 +Vereinsinternen Kommunikation,​ u.a. per Mailingliste,​ dient. Der Nickname ist
 +für alle anderen Mitglieder sichtbar. Deine Mails können entweder bei uns
 +gespeichert werden oder an eine andere E-Mail Adresse weitergeleitet werden.
 +Im Falle einer Weiterleitung haben nur Serveradministratoren Zugriff auf diese
 +E-Mail Adresse. Metadaten über den E-Mail Verkehr werden für drei Tage zu
 +Administrativen Zwecken in Logs gespeichert.
 +
 +Diese Daten, sowie weitere bei Nutzung unserer Infrastruktur dort abgelegte
 +private Dateien (z.B. im Home-Verzeichnis auf den Shell-Servern),​ werden im
 +Regelfall sechs Monate nach dem Austritt gelöscht, auf Wunsch früher.
 +
 +Die DSGVO räumt jeder Person das Recht ein, Auskunft über die zu ihr
 +gespeicherten Daten zu erhalten, fehlerhafte Daten zu berichtigen und (soweit
 +nicht durch andere Gesetze eingeschränkt) die Löschung gespeicherter
 +personenbezogener Daten zu verlangen. Derartige Anfragen können an
 +vorstand@aachen.ccc.de gerichtet werden.
 +
 +
 +
 +==== Quellen und Vorlagen ====
 +
 +https://​www.lda.bayern.de/​media/​muster_1_verein_verzeichnis.pdf
 +
 +https://​www.lda.bayern.de/​media/​dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf
 +
 +https://​www.baden-wuerttemberg.datenschutz.de/​wp-content/​uploads/​2018/​03/​OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf
 +
 +https://​www.datenschutzzentrum.de/​uploads/​praxisreihe/​PraxisReihe-1-Datenschutz-bei-Vereinen.pdf
  
Navigation



You are not allowed to add pages