DSGVO

Aus Piratenwiki
Wechseln zu: Navigation, Suche
DSGVO


Am 25. Mai 2018 trat die Europäische Datenschutzgrundverordnung in Kraft.
Die Umsetzung innerhalb der Partei hat entsprechend dokumentiert zu werden. Hier ist der Platz dafür.

Allgemeine Informationen

Begriffsdefinitionen

Einige Begrifflichkeiten bzw. Begriffsbestimmungen haben sich geändert (Art. 4 DSGVO; ErwG 26–37 DSGVO).

  • Verarbeitung: „jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführt[e] Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […]“
  • Einschränkung der Verarbeitung: „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“ – bisher unter dem Begriff „Sperrung“ geführt
  • Auftragsverarbeiter: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ – es wird nicht mehr von einem AuftragsDATENverarbeiter gesprochen.
  • Anonymisieren: Diese Definition, die bisher in § 3 Abs. 6 BDSG a. F. zu finden war, entfällt.

Definition Datenschutzmangamentsystem

Artikel 32 DS-GVO (Datenschutz-Grundverordnung) legt die Schutzziele fest, an denen ein für die Datenverarbeitung personenbezogener Daten Verantwortlicher, seine technischen und organisatorischen Maßnahmen zum Schutz der Daten auszurichten hat. Durch das beschriebene Datenschutzmanagementsystem soll ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung etabliert werden.

Ziele des Datenschutzmanagementsystems

Im Rahmen des Datenschutzmanagementsystems der Piratenpartei Deutschland werden die getroffenen technischen und organisatorischen Maßnahmen regelmäßig hinsichtlich ihrer Eignung, die gewünschten Schutzziele zu erreichen, überprüft. Hierfür hat mindestens jährlich eine entsprechendes Audit stattzufinden. Bei Bedarf sind die technischen und organisatorischen Maßnahmen anzupassen. Auf Anfrage weist die Piratenpartei Deutschland die Durchführung dieser Überprüfungen und Anpassungen durch Überlassung des letzten Audits entsprechend Berechtigten nach. Dem Datenschutzverantwortlichen der jeweiligen Gliederung obliegt die Pflicht, die getroffenen Maßnahmen regelmäßig hinsichtlich ihrer Eignung und Wirksamkeit zu überprüfen, d.h. dass sie die gewünschten Schutzziele erreicht.

Einführung und ständige Weiterentwicklung des Datenschutzmanagementsystems

Die Verfahren im Rahmen Datenschutzmanagementsystem folgen dem PDCA-Zyklus (Plan, Do, Check, Act) mit dem Ziel, einen kontinuierlichen Verbesserungsprozess zu etablieren. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant („plan“), im „kleinen Kreis“ diskutiert bzw. getestet („do“), die Wirksamkeit überprüft („check“), gegebenenfalls angepasst und dann "im Großen“ eingeführt („act“). Da es sich bei diesem Verfahren um einen nie endenden Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat.

  1. plan - plan umfasst das Erkennen von Verbesserungspotentialen (auch beispielsweise durch sich ändernde Anforderungen), die Analyse des aktuellen Zustands sowie das Entwickeln eines neuen Konzeptes
  2. do - do bedeutet das Ausprobieren beziehungsweise Testen und praktische Optimieren des Konzeptes mit schnell realisierbaren, einfachen Mitteln.
  3. check - Der im Kleinen realisierte Prozessablauf und seine Resultate werden sorgfältig überprüft und bei Erfolg für die Umsetzung auf breiter Front allgemein freigegeben.
  4. act - die neue allgemeine Vorgabe wird auf breiter Front eingeführt, festgeschrieben und regelmäßig auf Einhaltung überprüft (siehe Audits). Hier handelt es sich tatsächlich um eine „große Aktion“, die im Einzelfall umfangreiche organisatorische Aktivitäten (z. B. Änderung von Arbeitsplänen, Stammdaten, die Durchführung von Schulungen) sowie erhebliche Investitionen (z.B. im Falle einer Umsetzung in allen Gliederungen) umfassen kann. Die Verbesserung dieses Standards beginnt wiederum mit der Phase plan.

Ziele des Datenschutzmanagementsystems

  • Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpannen
  • Im Falle des Eintritts, Begrenzung des Schadens und des Risikos für die betroffenen Personen
  • Nachweis der datenschutzkonformen Umsetzung der Anforderungen der DS-GVO, womit Bußgelder vermieden oder zumindest vermindert werden können, da der Vorwurf der Fahrlässigkeit entkräftet werden kann

Prüfkriterien des Datenschutzmanagementsystems

Der Schutzbedarf orientiert sich an den personenbezogenen Daten. Hierzu werden diese der Empfehlung des BSI folgend in drei Schutzbedarfsklassen eingeteilt (BSI-Standard 100-2):

  • normal: Die Schadenauswirkungen sind begrenzt und überschaubar
  • hoch: Die Schadenauswirkungen können beträchtlich sein
  • sehr hoch: Die Schadenauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Weiterhin geht in die Beurteilung das Risiko für die Betroffenen anhand der folgenden Kriterien mit ein:

  • Eintrittswahrscheinlichkeit eines bestimmten Risikos
  • Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen

Anhand dieser Schutzbedarfsklassen werden die Anforderungen an die jeweiligen technischen und organisatorischen Maßnahmen definiert.

Bundesverband

Datenschutzmangamentsystem

Im Zuge der Einführung der DSGVO und des Datenschutzmanagementsystems übernimmt die Koordination der stellvertretender Vorsitzende Sebastian. Stellvertretender Koordinator ist Tobias.

Verzeichnisse von Verarbeitungstätigkeiten

Der Bundesverband hat drei Verfahren identifiziert, bei denen personenbezogenen Daten verarbeitet werden.
Eine Dokumentation innerhalb der einzelnen Verfahren folgt.

Kommunikation Allgemein

Das Verfahren "Kommunikation Allgemein" beschreibt sämtliche Kommunikation intern wie extern im Bundesverband.

Mitglieder

Das Verfahren "Mitglieder" beschreibt die Mitgliederverwaltung im Bundesverband.

Buchhaltung

Das Verfahren "Buchhaltung" beschreibt die Buchhaltung im Bundesverband.

Vereinbarungen zur Auftragsverarbeitung

  • folgt

Informationen & Vorlagen

Webseite anpassen

Um der DSGVO gerecht zu werden, sind beim Betrieb von Webseiten einige Dinge zu beachten:

  • Impressum und Datenschutzerklärung müssen aktualisiert werden. Der von eRecht24 ist hier eine gute erste Anlaufstelle und deckt in den meisten Fällen alles ab. Bei Rückfragen dazu gerne an Borys Sobieski wenden.
  • Kontaktformulare überprüfen. Diese müssen die Daten per SSL verschicken und benötigen eine Einwilligung zur Datenverarbeitung inkl. Checkbox. Beispiel:

Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht.

Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@XYZ.de widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.

  • Abschließen von Auftragsverarbeitungs-Verträgen mit externen Dienstleistern.
  • Hinweis auf die Nutzung von Cookies implementieren (Cookie-Banner).

Vorlage Verpflichtungserklärung

Vorlage Vereinbarung zur Auftragsverarbeitung

Abgerufen von „https://wiki.piratenpartei.de/wiki/index.php?title=DSGVO&oldid=2636055