Hier erhalten Sie die Grundlagen zum Datenschutz im Verein.
I. Seit Mai 2018 gilt die EU-DSGVO
-
Daten dürfen nur mit Erlaubnis der Mitglieder erhoben und gespeichert werden
-
Verein darf nur Daten speichern, die für die Vereinsarbeit notwendig sind
-
Verein sorgt dafür, dass die Daten sicher gespeichert sind
-
Verein hat seinem Mitglied gegenüber Auskunftspflicht
-
Datenpannen sind meldepflichtig
II. Was benötigt der Verein
-
-
Verfahrensverzeichnis das enthalten muss, welche Daten und warum diese gespeichert werden
-
Auftragsverarbeitungsvertrag mit Softwarehersteller, wenn die Daten auf Servern vom Hersteller liegen
-
Regelmäßige Backups um vor Datenverlust geschützt zu sein
-
Zugriffkontrolle zu den Daten
-
Nicht mehr benötigte Daten sollten gelöscht werden (Löschassistent)
-
-
-
Rechnung älter als 10 Jahr
II. Verzeichnis von Verarbeitungstätigkeiten
Art. 30 DSGVO
Absatz 1: Verzeichnis aller Verarbeitungstätigkeiten, was folgende Angaben enthält:
-
Den Namen und die Kontaktdaten des Verantwortlichen
-
Die Zwecke der Verarbeitung (warum werden die Daten gespeichert)
-
Welche personenbezogenen Daten werden gespeichert z.B.:
-
Anschrift, Geschlecht und Geburtsdatum
-
-
Zahlungsarten und Bankverbindungen
-
An wen werden die Daten weitergegeben
-
Werden die Daten ins Ausland weitergegeben
-
nach welchen Fristen werden Daten gelöscht
technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
IV. Auf die folgenden Themen muss auf dem Server geachtet werden
-
Geräte auf denen gearbeitet wird, sollten mit Passwort geschützt sein
-
Geräte sollten sich automatisch sperren
-
Geräte müssen alle aktuellen Software-Updates installiert haben
-
Betriebssystem-Updates (Windows, MacOS, iOS, Linux, Android)
-
-
Zusätzliche Programme wie Webbrowser, Office- oder PDF-Programme
-
Es sollte nur einen Administrator-Account geben
-
Jeder Nutzer bekommt ein eigenes Benutzerkonto, damit Änderungen korrekt protokolliert werden können
-
Nutzer sollen nur die Rechte bekommen, die Sie für Ihre Tätigkeit benötigen, wofür es Lese- und Schreibrechte gibt
-
Passworte sollten einen Mindeststandard erfüllen
|
|
Sicherungen werden auf dem Server automatisch erstellt und verteilt
Auf dem Server werden 10 Datensicherungen gespeichert, die auf alle Server gespiegelt werden und einmal in den Standort der Firma ComMusic heruntergeladen.
Dadurch werden komplette Datenverluste vermieden. Daten können jederzeit wieder hergestellt werden.
Die Server sind nur eingeschränkt über das Internet erreichbar und zwar ausschließlich wie folgt:
-
ComMusic-Software (verschlüsselt RSA2048, AES-256)
-
Login bei Verein24 - per EV-SSL-Zertifikat gesichert und verschlüsselt
-
mit Zertifikaten abgesichertes, verschlüsseltes VPN (nur für geschulte Mitarbeiter von ComMusic)
-
weitere Kommunikation mit SSL-Zertifikat gesichert und verschlüsselt
Für jeden Verein existiert eine eigene Access-Datenbank auf einem der Server.
Alle Daten des Vereins - die Datenbank selbst, sowie Ehrungs- und Meldedateien, Reporterdokumente und Protokolle - liegen mit AES-256 verschlüsselt auf dem Server.
Bei Bedarf werden die Daten entschlüsselt und anschließend wieder verschlüsselt.
Der Schlüssel dafür liegt nur auf dem Server in einem abgesicherten Bereich und wird permanent auf unberechtigte Zugriffe überwacht.
V. Weitere Dokumente zum Thema Datenschutz mit ComMusic
Leitfaden DSGVO
Sicherheitsmechanismen im Serverbetrieb
Datenschutzerklärung ComMusic
Hinweise und Muster zum Verzeichnis über Verarbeitungstätigkeiten
