Datenschutzgrundverordnung

P

Peter Bünger

User
Hallo Flieger,

im kommenden Mai tritt die neue Datenschutzgrundverordnung DSGVO in Kraft. Diese betrifft vom Grundsatz her auch sämtliche Vereine, die persönliche Daten ihrer Mitglieder erfassen und verarbeiten. Es ergeben sich daraus Fragen, ob z.B. ein Datenschutzbeauftragter benannt werden muss oder ob die Vereinssatzung geändert werden muss.

Desweiteren hat ja nahezu jeder Verein eine eigene Webseite, möglicherweise auch ein Forum. Für beides werden üblicherweise persönliche Daten gespeichert, das fängt mit der IP-Adresse an und hört bei den Cookies noch lange nicht auf.

Als Kassenwart und Webmaster interessiert mich nun, wie Ihr diese Thematik handhabt. Ich könnte mir auch gut vorstellen, dass von unseren Dachverbänden vielleicht irgend eine Art Leitfaden zur Verfügung gestellt wird. Habe aber diesbezüglich noch keine Infos erhalten.

Gruß,
Peter
 
O

onki

User
Hallo Peter,

in der aktuellen c't ist eine kleine Abhandlung zu dem Thema drin mit Tips.
Das ist zumindest mal ein Anfang.
Ich sehe es aber wie du, da müssen wir uns vorbereiten denn die Abmahn-Ratten wetzen schon wieder die Messer.

Gruß
Onki
 
BZFrank

BZFrank

User
Peter Bünger schrieb:
Als Kassenwart und Webmaster interessiert mich nun, wie Ihr diese Thematik handhabt. Ich könnte mir auch gut vorstellen, dass von unseren Dachverbänden vielleicht irgend eine Art Leitfaden zur Verfügung gestellt wird. Habe aber diesbezüglich noch keine Infos erhalten.
Zum Vergrößern anklicken....

Das ist echt ein ziemlich übles Thema, zumal es jeden Verein gleich welcher Grösse betrifft.

Wir handhaben es so: Jedes Mitglied bekommt ein Schreiben, in dem es mitgeteilt bekommt welche Daten gespeichert werden, das der Vorstand insb. der Kassierer zum Zwecke der Abrechnung des Mitgliedsbetrags Zugriff drauf hat und das es damit einverstanden ist. Neumitglieder erhalten das bei der Aufnahme. Das wird vom Mitglied unterschrieben, zurückgeschickt und archiviert. Desweiteren wird eine kurze Doku angelegt wer welchen Zugriff darauf hat, wo gespeichert wird (separates Vereins-Laptop, nur lokale Speicherung, keine Anbindung an Clouddienste).

Für die Webseite fahre ich ein extremes Regime: Statische Seiten, keine Tracker, keine Cookies, keine direkten Links auf YouTube o.ä., kein Logging (IP-Addressen gelten als persönliche Daten!), keine Werbung, kein Forum, kein Seitenzähler, externe Links als solche gekennzeichnet. Dazu noch ein Hinweis das die Webseite keine persönlichen Daten speichert. Das dürfte übertrieben sein, aber bei den möglichen drakonischen Strafen bleibe ich lieber auf der sicheren Seite.
 
S

Stein Elektronik

Gast
Ja,

das ist in der Tat ein Problem.

Auch wir werden im Verein von jedem Mitglied eine neue Einverständniserklärung anfordern.
Sollte aber jemand der Speicherung und Weitergabe von Daten an die notwendigen Partner komplett widersprechen, dann müßte man in der Konsequenz dessen Mitgliedschaft beenden.

Um ein Mitglied zu verwalten, müssen die Daten ja gespeichert werden, Sie müssen auch u.U. an den DMFV und das angeschlossene Versicherungsunterehmen weitergeleitet werden.
Und bei Bankeinzug müssen auch die Kontodaten an die betreuende Bank weitergegeben werden. Ich glaube nicht, dass unser Kassierer große Lust hat, die Mitgliedsbeiträge von denen, die widersprechen, in bar einzukassieren.
Und selbst wenn das Vereinsmitglied überweist, muss dieses ja irgendwo gespeichert werden.
 
F

flusiflieger

User
BZFrank schrieb:
... Desweiteren wird eine kurze Doku angelegt wer welchen Zugriff darauf hat, wo gespeichert wird (separates Vereins-Laptop, nur lokale Speicherung, keine Anbindung an Clouddienste).
Zum Vergrößern anklicken....


Als Verarbeiter von personenbezogenen Daten ist man auch in technischer Hinsicht für die Sicherheit der Daten verantwortlich.
In der DSGVO gibt es den unschönen Begriff "Stand der Technik". Dieser Begriff ist bewußt schwammig gehalten.

Für den Verarbeiter ergibt sich daraus, dass von ihm erwartet werden kann, stets grundlegende Sicherungsmaßnahmen wie z.B. Verschlüsselung der relevanten Datenträger, z.B. mit Bitlocker, durchzuführen. Wenn das Vereins-Laptop gestohlen würde und die Festplatte ist gegen unbefugten Zugriff nicht geschützt, könnten die Verantwortlichen im Verein und damit der Verein ein Problem bekommen. Genauso müssen die Daten mit aktuellen Mitteln gegen den Diebstahl durch Computerviren, Trojaner usw. geschützt werden.

Solche Maßnahmen müssen durchgeführt und auch in die Doku aufgenommen werden.
 
BZFrank

BZFrank

User
flusiflieger schrieb:
Solche Maßnahmen müssen durchgeführt und auch in die Doku aufgenommen werden.
Zum Vergrößern anklicken....

z.b. Samsung SSDs verschlüsseln automatisch alle Daten 256bit AES sofern ein Harddisk-Passwort im Bios gesetzt wird. Ein Zugriff auf die Daten ist nur möglich wenn das Passwort korrekt eingegeben wird, auch nach Ausbau. Dazu kommt noch ein aktuell gepatches OS mit Virenscanner aktiv. Ich denke das ist dann erstmal 'Stand der Technik'.
 
F

flusiflieger

User
Passt, das ist Stand der Technik.

Nun kommt aber die nächste Herausforderung.

Der geübte Vereins-Kassierer macht pflichtbewusst ein Backup der relevanten Daten, die auf dem vom Verein angeschafften HighTech-Notebook gegen Fremdzugriff gesichert sind.
Dafür verwendet er, da der Vereins-USB-Stick nicht auffindbar ist, einen privat angeschafften USB-Stick und den verliert er auf dem Parkplatz vor dem Vereinsgelände und findet ihn nicht wieder.
Leider hat er vergessen, Passwort-Schutz und Verschlüsselung des USB-Sticks einzurichten.
Alle Bankdaten der Vereinsmitglieder sind auf dem Stick in einer Excel-Datei gespeichert.
Die Excel-Datei hat keinen Passwort-Schutz.

Und nun?
Was tun?
:cool:
 
guckux

guckux

Vereinsmitglied, Seniorenbeauftragter
BZFrank

BZFrank

User
guckux schrieb:
Guckux Frank
oder Truecrypt...
Zum Vergrößern anklicken....

Danke, aber das wird nicht mehr weiterentwickelt und tut auf Windows 10 zur Verschlüsselung der Systempartition nur 'manchmal' (eingeschränkter Support für UEFI). Wenn dann Veracrypt. Aber auch das ist mir zu heikel, wenn Kleinweich wieder mal schief gewickelt ist kommt ein Update nachdem dann nichts mehr geht. Daher HD-Verschluesselung per BIOS, so nah am Metall das Windows installieren kann was es will.

Flusi: Da hilft nur die entsprechenden Leute briefen sowas eben nicht zu tun.
 
O

onki

User
Hallo zusammen,

man sieht wir sind hier in Deutschland und jeder ist perfekt in vorauseilendem Gehorsam.
Das ist alles ein totaler Overkill, der hier beschrieben wird.
Es geht mir lediglich darum, unsere Website mit einer Datenschutzerkärung zu versehen um irgendwelche Anwalts-Vollpfosten davon abzuhalten eine Abmahnung zu versenden, nachdem sie unsere Seite gescannt haben.
Den Rest werden wir so beibehalten, das interessiert eh niemanden, weil das viel zu viel Arbeit zur Überprüfung ist.

Gruß
Onki
 
F

flusiflieger

User
Peter Bünger schrieb:
...

Als Kassenwart und Webmaster interessiert mich nun, wie Ihr diese Thematik handhabt. Ich könnte mir auch gut vorstellen, dass von unseren Dachverbänden vielleicht irgend eine Art Leitfaden zur Verfügung gestellt wird. Habe aber diesbezüglich noch keine Infos erhalten.

Gruß,
Peter
Zum Vergrößern anklicken....

Hallo Peter,

der Landessportbund Hessen hat eine recht brauchbare Übersicht zu den wichtigsten Anforderungen, welche sich für Vereine aus der DSGVO ergeben,
veröffentlicht: http://www.lsbh-vereinsberater.de/recht-steuern-und-versicherungen/recht/datenschutz/datenschutz-grundverordnung/

Gruss
Axel
 
Claus Eckert

Claus Eckert

Moderator
Teammitglied
onki schrieb:
...
Es geht mir lediglich darum, unsere Website mit einer Datenschutzerkärung zu versehen um irgendwelche Anwalts-Vollpfosten davon abzuhalten eine Abmahnung zu versenden, nachdem sie unsere Seite gescannt haben.
Den Rest werden wir so beibehalten, das interessiert eh niemanden, weil das viel zu viel Arbeit zur Überprüfung ist.

Gruß
Onki
Zum Vergrößern anklicken....

Hallo Rainer

Hast Du denn personenbezogene Daten auf der Website? Das werden doch jetzt schon die Wenigsten machen. Auf Cookies kann man auch verzichten. Dann dürfte zumindest der öffentlich sichtbare Teil schon mal nicht abmahnfähig sein.

Alles im Innenverhältnis des Vereins, klärt man in den Organen des Vereins. Also der MGV. Zum Beispiel die Verwendung der Webcam, die Veröffentlichung von Bildern usw.
Und wenn weniger als zehn Menschen im Verein mit den Daten der Mitglieder betraut sind, 1. Vorstand, 2.Vorstand, Kassier, Schriftführer, dann benötigt man auch keinen Datenschutzbeauftragten.

Was da sonst noch auf uns zukommt, wird sich zeigen.
 
Rennsemmel

Rennsemmel

User
Hallo !

Mit Veracrypt kann man ja auch verschlüsselte Datencontainer erzeugen. Wer seine Festplatte also nicht voll verschlüsseln will, kan das so machen.
Problematisch ist da eher die sichere Löschung von SSD - Festplatten.
Das Funktioniert eigentlich sehr gut. Benutze das auch beruflich.

Grüße,
Sebastian
 
.Claus

.Claus

User
Der normale Bürger wird durch solche Gesetze eh verarscht und eine Datensicherheit vorgetäuscht, die es nicht gibt.
BND, NSA und wie sie alle heißen greifen alle Internet Daten an den Internet-Knoten ab, ganz offiziell.
Die Einwohnerämter verkaufen unsere Daten auch.
Den Rest erledigt der Bürger selbst und liefert seine Daten eh freiwillig ab mit Apps, Facebook, WhatsApp, Google und Co.
George Orwell 1984 ist harmlos dagegen.
 
Claus Eckert

Claus Eckert

Moderator
Teammitglied
Hallo Axel

Wenn immer alles so klar wäre in Gesetzen und Verordnungen, könnten wir uns die Fragen und Diskussionen darüber sparen. ;)
 
S

Stein Elektronik

Gast
Wie macht Ihr das mit der Dokumentation.

Beispiel: Modellflugverein mit einem Geschäftsführer, einem Vorstandsvositzenden und einem Kassierer.
Jeder der 3 ist am Datenverarbeitungs- und Speicherprozess in der einen oder anderen Weise beteiligt.

Ist da eine Dokumentation notwendig, wer was und wie macht....?

Ich hätte mir gewünscht, dass der DMFV da mal eine rechtssichere Anleitung gibt. Nicht jeder Vorstand hat die Zeit, sich durch die ganzen Gesetze zu wühlen.
 
R

rkopka

User
Stein Elektronik schrieb:
Auch wir werden im Verein von jedem Mitglied eine neue Einverständniserklärung anfordern.
Sollte aber jemand der Speicherung und Weitergabe von Daten an die notwendigen Partner komplett widersprechen, dann müßte man in der Konsequenz dessen Mitgliedschaft beenden.
Zum Vergrößern anklicken....
Ist eigentlich unnötig, da es da einen Passus gibt:
6 1

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

Damit brauche ich im Verein eigentlich keine zusätzliche Einverständniserklärung. Bei neuen Mitgliedern kann man aber das Formular entsprechend ändern.

RK
 
F

flusiflieger

User
Stein Elektronik schrieb:
Wie macht Ihr das mit der Dokumentation.

Beispiel: Modellflugverein mit einem Geschäftsführer, einem Vorstandsvositzenden und einem Kassierer.
Jeder der 3 ist am Datenverarbeitungs- und Speicherprozess in der einen oder anderen Weise beteiligt.

Ist da eine Dokumentation notwendig, wer was und wie macht....?

Ich hätte mir gewünscht, dass der DMFV da mal eine rechtssichere Anleitung gibt. Nicht jeder Vorstand hat die Zeit, sich durch die ganzen Gesetze zu wühlen.
Zum Vergrößern anklicken....

Hans-Willi,

sicher ist eine Dokumentation notwendig. Wie willst Du ohne eine Dokumentation etwas nachweisen? Etwa per mündlicher Behauptung?

Ggfls. benötigt Ihr im Verein kein Verzeichnis der Verarbeitungstätigkeiten, ansonsten habt Ihr im Verein die selben Regularien zu erfüllen, wie Du mit Deinem Gewerbe. Irgendwie klingt Dein Beitrag nach...ich habe mich mit dem Thema auch beruflich noch überhaupt nicht auseinandergesetzt...:confused:

Gruss
Axel
 
S

Stein Elektronik

Gast
flusiflieger schrieb:
Hans-Willi,

sicher ist eine Dokumentation notwendig. Wie willst Du ohne eine Dokumentation etwas nachweisen? Etwa per mündlicher Behauptung?

Irgendwie klingt Dein Beitrag nach...ich habe mich mit dem Thema auch beruflich noch überhaupt nicht auseinandergesetzt...:confused:

Gruss
Axel
Zum Vergrößern anklicken....

Doch habe ich.zumindest für meine Firma...ich hatte nur die wirre Hoffnung, dass man bei einem kleinen Modellflugverein die Nummer etwas einfacher gestaltet hätte. Wir machen das alles ehrenamtlich und haben noch andere Sachen zu tun.
 
Du musst dich anmelden oder registrieren, um hier zu antworten.

Ähnliche Themen

Eckart Müller
Webcam mit Raspberry Pi
2
Antworten
21
Aufrufe
33K
bonzadog
B
Herbert Stammler
Datenschutzerklärung
Antworten
0
Aufrufe
60K
Herbert Stammler
Herbert Stammler
Ansicht hell / dunkel umschalten
Oben Unten