DSGVO

Wir nehmen die neue Datenschutzgrundverordnung (DSGVO) als Anlass, bei uns angefallene personenbezogenen Daten zu dokumentieren und ggf. Abläufe an die gesetzlichen Forderungen anzupassen.

Ziel ist es eine maximale Transparenz zu haben und sich mit der Thematik allgemein intensiver zu befassen.

Verarbeitungstätigkeit 1: Mitgliederverwaltung

Daten und Zweck

Um Mitglied zu werden, werden folgende Informationen abgefragt: (siehe auch https://mitgliedsantrag.on-i.de)

• Name
• Adresse
• Email
• Bankdaten

Der Name und die Bankdaten werden benötigt, um den Mitgliedsbeitrag per Lastschrift einzuziehen. Die Emailadresse wird benötigt, um Kontakt mit dem Mitglied herzustellen und Informationen (bspw. Mitgliederversammlung) zuzustellen. Die Adresse und der Name werden benötigt, falls der Kommunikationskanal Email nicht zuverlässig funktioniert. Hierfür gibt es diverse Gründe (Spamfilter, Mitglied ändert Emailadresse, ...).

Frage: Was wären die gesetzlichen Grundlagen für die Erhebung der Daten? Oder ist das bei den oben genannten Daten quasi implizit?

Schutz

Wir müssen nach §32 DSGVO (https://dsgvo-gesetz.de/art-32-dsgvo) technisch organisatorische Maßnahmen (TOM) treffen, um die Sicherheit der Datenverarbeit zu gewährleisten.

zu § 1): Wir gewährleisten Integrität und Verfügbarkeit der Daten durch folgende Maßnahmen:

• Vertraulichkeit: Nur der Vorstand, die Finanzprüfer und die zentralen Administratoren können auf die Daten zugreifen. Es gibt einen dedizierten virtuellen Server für die oben genannten Daten.
• Integrität der Daten: Die Daten werden in einem System mit Änderungshistorie gespeichert.
• Wiederherstellen der Daten nach technischem Zwischenfall: Die Daten werden täglich per Backup auf einem anderen physichen Gerät gesichert.
• Stand der Technik: Zugriff auf die Daten ist der HTTPS (Nutzername+Passwort) bzw. SSH (Key) gesichert.
• Belastbarkeit (Was passiert bspw. bei DDoS): Der Server ist physisch in der Nähe und die Daten können somit 'zur Not' auch ohne Internetanbindung zugegriffen werden.
• Bewertung und Evaluierung der Wirksamkeit: Jährlich müssen die hier beschriebenen Maßnahmen auf Aktualität und Richtigkeit überprüft werden.

Vom Antrag zur Mitgliederdatenbank - Der Weg der Daten

An dieser Stellen wird der Vollständigkeit halber beschrieben, welchen Daten die Daten nehmen. Daraus ergibt sich u.a. auch, wo temporär personenbezogene Daten gespeicherte werden.

Der Weg der Daten bei Eintritt

• Nutzer füllt Antrag online aus (https://mitgliedsantrag.on-i.de)
• Ein pdf (PD1) zum Unterschreiben wird temporär auf dem Server erzeugt, damit das pdf an den Nutzer per Mail geschickt werden kann. Das pdf wird auf dem Server am Ende des Tages gelöscht (del PD1).
• Die eingetragenen Daten, werden in maschinenlesbarer Form (PD2) auch auf dem Server temporär gespeichert. Sie werden per Email an mitgliederverwaltung@on-i.de geschickt. Auf dem Server werden die Daten am Ende des Tages gelöscht (del PD2).
• Der Nutzer unterschreibt das pdf und schickt es per Email (PD3) oder per Post (PD4) an Opennet.
• Der Mitgliederverantwortliche führt die Liste der Mitglieder und erstellt einen neuen Eintrag (PD5) für das Mitglied unter Zuhilfenahme von (PD2) und (PD3 bzw PD4). Nach dem Eintragen wird die Email mit den maschinenlesbaren Daten gelöscht (del PD2). Zusätzlich wird die Email mit dem Unterschriebenen Formular gelöscht (del PD3).
• TODO: PD4 hier einarbeiten bei vollständiger Digitalisierung.
• Am Ende bleibt lediglich der Eintrag in der Mitgliederdatenbank (PD5) übrig. Alle anderen Kopien der Daten wurden gelöscht.

Aktionen bei Austritt / Löschkonzept

Alleinig in der Mitgliederdatenbank sind die personenbezogenen Daten, welche aus dem Mitgliedsantrag resultieren, zu finden. Es gibt keine Emails mit solchen Daten, da diese nach Bearbeitung gelöscht werden müssen. Somit genügt es die Daten aus der Mitgliedsdatenbank zu löschen.

TODO: Papierversion. Vollständige Umstellung auf Digital!

Verarbeitungstätigkeit 2: Opennet Node List

Da Opennet ein Community Projekt ist und die Nutzer sich selbstständig untereinander vernutzen sollen, gibt es einen gewissen Grundbedarf an Daten, damit diese Ziele umgesetzt werden können.

Es gibt ein zentrale Stelle mit allen Access Points (Teilnehmer des Netzes) unter: https://wiki.opennet-initiative.de/wiki/Opennet_Nodes

Dort sind u.a. folgende Daten zu finden:

• Adresse
• GPS Position
• gekürzter Name

Die Adresse und GPS Position werden für den technischen Betrieb (Vernetzung) benötigt.

Der gekürzte Name ist eine Zeichenkette, welche jeder Nutzer frei wählen und ändern kann.

Verarbeitungstätigkeit X: ...

...

TODO Machen (veraltet)

• Mitgliedsantrag: Speicherfrist erwähnen; Zwecke, Löschfristen, Rechtsgrundlage (extra Datenschutzerklärung?) (Infos siehe https://www.hamburger-sportbund.de/themen/datenschutz)
• Kontaktformular
• Weiterleitung von mitgliederverwaltung and vorstand deaktivieren
  • done
• MitgliederDB bereinigen (Seite + Dateien)
  • done
• Eintrittsdokumente&co aus git entfernen und in Ordner übertragen
• git Historie löschen

TODO Recherchieren

• Backup?
• Email aufbewahren und löschen nach 6y?