imported>El-sa am 13. März 2022 um 09:43 Uhr

2022-03-13T09:43:09Z

Neue Seite

{{Menu DSGVO}}

Am 25. Mai 2018 trat die Europäische Datenschutzgrundverordnung in Kraft. 
Die Umsetzung innerhalb der Partei hat entsprechend dokumentiert zu werden. Hier ist der Platz dafür.

==Allgemeine Informationen==

===Begriffsdefinitionen===
Einige Begrifflichkeiten bzw. Begriffsbestimmungen haben sich
geändert (Art. 4 DSGVO; ErwG 26–37 DSGVO).

* Verarbeitung: „jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführt[e] Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […]“
* Einschränkung der Verarbeitung: „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“ – bisher unter dem Begriff „Sperrung“ geführt
* Auftragsverarbeiter: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ – es wird nicht mehr von einem AuftragsDATENverarbeiter gesprochen.
* Anonymisieren: Diese Definition, die bisher in § 3 Abs. 6 BDSG a. F. zu finden war, entfällt.

===Definition Datenschutzmangamentsystem===

Artikel 32 DS-GVO (Datenschutz-Grundverordnung) legt die Schutzziele fest, an denen ein für die Datenverarbeitung personenbezogener Daten Verantwortlicher, seine technischen und organisatorischen Maßnahmen zum Schutz der Daten auszurichten hat. Durch das beschriebene Datenschutzmanagementsystem soll ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung etabliert werden.

==== Ziele des Datenschutzmanagementsystems ====
Im Rahmen des Datenschutzmanagementsystems der Piratenpartei Deutschland werden die getroffenen technischen und organisatorischen Maßnahmen regelmäßig hinsichtlich ihrer Eignung, die gewünschten Schutzziele zu erreichen, überprüft. Hierfür hat mindestens jährlich eine entsprechendes Audit stattzufinden. Bei Bedarf sind die technischen und organisatorischen Maßnahmen anzupassen. Auf Anfrage weist die Piratenpartei Deutschland die Durchführung dieser Überprüfungen und Anpassungen durch Überlassung des letzten Audits entsprechend Berechtigten nach. Dem Datenschutzverantwortlichen der jeweiligen Gliederung obliegt die Pflicht, die getroffenen Maßnahmen regelmäßig hinsichtlich ihrer Eignung und Wirksamkeit zu überprüfen, d.h. dass sie die gewünschten Schutzziele erreicht.

==== Einführung und ständige Weiterentwicklung des Datenschutzmanagementsystems ====
Die Verfahren im Rahmen Datenschutzmanagementsystem folgen dem PDCA-Zyklus (Plan, Do, Check, Act) mit dem Ziel, einen kontinuierlichen Verbesserungsprozess zu etablieren. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant („plan“), im „kleinen Kreis“ diskutiert bzw. getestet („do“), die Wirksamkeit überprüft („check“), gegebenenfalls angepasst und dann "im Großen“ eingeführt („act“). Da es sich bei diesem Verfahren um einen nie endenden Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat.

# plan - plan umfasst das Erkennen von Verbesserungspotentialen (auch beispielsweise durch sich ändernde Anforderungen), die Analyse des aktuellen Zustands sowie das Entwickeln eines neuen Konzeptes
# do - do bedeutet das Ausprobieren beziehungsweise Testen und praktische Optimieren des Konzeptes mit schnell realisierbaren, einfachen Mitteln.
# check - Der im Kleinen realisierte Prozessablauf und seine Resultate werden sorgfältig überprüft und bei Erfolg für die Umsetzung auf breiter Front allgemein freigegeben.
# act - die neue allgemeine Vorgabe wird auf breiter Front eingeführt, festgeschrieben und regelmäßig auf Einhaltung überprüft (siehe Audits). Hier handelt es sich tatsächlich um eine „große Aktion“, die im Einzelfall umfangreiche organisatorische Aktivitäten (z. B. Änderung von Arbeitsplänen, Stammdaten, die Durchführung von Schulungen) sowie erhebliche Investitionen (z.B. im Falle einer Umsetzung in allen Gliederungen) umfassen kann. Die Verbesserung dieses Standards beginnt wiederum mit der Phase plan.

==== Ziele des Datenschutzmanagementsystems ====
* Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpannen
* Im Falle des Eintritts, Begrenzung des Schadens und des Risikos für die betroffenen Personen
* Nachweis der datenschutzkonformen Umsetzung der Anforderungen der DS-GVO, womit Bußgelder vermieden oder zumindest vermindert werden können, da der Vorwurf der Fahrlässigkeit entkräftet werden kann

==== Prüfkriterien des Datenschutzmanagementsystems ====
Der Schutzbedarf orientiert sich an den personenbezogenen Daten. Hierzu werden diese der Empfehlung des BSI folgend in drei Schutzbedarfsklassen eingeteilt (BSI-Standard 100-2):
* normal: Die Schadenauswirkungen sind begrenzt und überschaubar
* hoch: Die Schadenauswirkungen können beträchtlich sein
* sehr hoch: Die Schadenauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Weiterhin geht in die Beurteilung das Risiko für die Betroffenen anhand der folgenden Kriterien mit ein:
* Eintrittswahrscheinlichkeit eines bestimmten Risikos
* Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen

Anhand dieser Schutzbedarfsklassen werden die Anforderungen an die jeweiligen technischen und organisatorischen Maßnahmen definiert.

==Bundesverband==

===Datenschutzmangamentsystem===

Im Zuge der Einführung der DSGVO und des Datenschutzmanagementsystems übernimmt die Koordination der stellvertretender Vorsitzende [[Benutzer:Sebulino| Sebastian]]. Stellvertretender Koordinator ist [[Benutzer:EscaP| Tobias]].

===Verzeichnisse von Verarbeitungstätigkeiten===
Der Bundesverband hat drei Verfahren identifiziert, bei denen personenbezogenen Daten verarbeitet werden. 
Eine Dokumentation innerhalb der einzelnen Verfahren folgt.

====Kommunikation Allgemein====

Das Verfahren "Kommunikation Allgemein" beschreibt sämtliche Kommunikation intern wie extern im Bundesverband. 

====Mitglieder====

Das Verfahren "Mitglieder" beschreibt die Mitgliederverwaltung im Bundesverband. 


====Buchhaltung====
Das Verfahren "Buchhaltung" beschreibt die Buchhaltung im Bundesverband. 



===Vereinbarungen zur Auftragsverarbeitung===

* folgt

==Informationen & Vorlagen==
===Webseite anpassen===
Um der DSGVO gerecht zu werden, sind beim Betrieb von Webseiten einige Dinge zu beachten:
* Impressum und Datenschutzerklärung müssen aktualisiert werden. Der [https://www.e-recht24.de/impressum-generator.html|Impressums-Generator von eRecht24] ist hier eine gute erste Anlaufstelle und deckt in den meisten Fällen alles ab. Bei Rückfragen dazu gerne an [[Benutzer:DerBorys|Borys Sobieski]] wenden.
* Kontaktformulare überprüfen. Diese müssen die Daten per SSL verschicken und benötigen eine Einwilligung zur Datenverarbeitung inkl. Checkbox. Beispiel:
<blockquote>
Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht.

Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@XYZ.de widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.
</blockquote>
* Abschließen von Auftragsverarbeitungs-Verträgen mit externen Dienstleistern.
* Hinweis auf die Nutzung von Cookies implementieren (Cookie-Banner).

===Vorlage Verpflichtungserklärung===
===Vorlage Vereinbarung zur Auftragsverarbeitung===

DSGVO - Versionsgeschichte

imported>El-sa am 13. März 2022 um 09:43 Uhr